在零日检测中使用基于异常的监控

安恒信息

当基于签名的模式最初被引入互联网安全时，是作为一种过滤流量的更快的决策模式，当时签名数据库还是可管理的，并且零日攻击只是想象得到，一般不会执行。

然而，当试图为不断增加的新签名扩展签名模式时，问题就出现了。今年三大臭名昭著的恶意软件(即Stuxnet、Duqu和Flame)暴露了基于签名的技术的弊端，这些恶意软件能够在不被检测到的情况下实施攻击。因为对于各种基于签名的产品而言，这些恶意软件是未知的。除了这三个恶意软件，多态恶意软件和模糊技术同样暴露了签名技术和零日检测的不足之处。

这些恶意软件的攻击事件让安全社区的很多人呼吁使用基于异常的监控模式。在本文中，我们将介绍基于异常的恶意软件监控以及探索这种模式给企业恶意软件防御带来的好处。

定义基于异常的监控

基于异常的监控模式并不是一个新概念，事实上，这是一种旧的安全模式，以前被称为“全部拒绝”或者“允许特例”。在互联网安全早期阶段，在Web成为服务前端之前，这种模式非常流行，当时服务更少且更易于管理。

想要理解基于异常的监控模式，首先需要了解异常的定义：偏离正常;奇怪的条件、情况或者质量;不协调或不一致之处。在基于异常的监控模式定义中，重要的是，要明白每一个异常并不一定代表恶意事件，并且，异常检测技术历来都存在误报的问题。

异常是指不正常的事件，这也就意味着人对异常的处理决定着异常是否为恶意事件。在本文的后面，我们将介绍基于异常的监控模式中可以帮助决策者的一些可用的工具和方法。

异常采集的过程

为了理解异常检测技术如何运作，我们有必要初步讨论一些采集技术。采集技术可分为两种基本类型：启发式方法和政策标准方法。

启发式方法依赖于研究环境，这种方法主要是采集网络流量的统计数据。采集引擎将分析网络流量，并采集IP地址、服务和流量的统计数据。然后进行统计分析，以确定网络环境中的最高值和最低值、平均值和其他相关流量数据。接着，基于这些不同的数值建立标准，流量随后会与所设立的正常基准进行对比。与基准匹配的流量将被认为是正常流量，而所有其他流量被视为异常。启发式方法提供了更快的设置，但这种方法更容易将恶意事件视为正常行为，例如，当在“学习”阶段出现恶意活动时。

另一种采集技术是政策标准方法，有时也被称为知识标准方法。这种方法借鉴于软件可靠性中使用的运行标准定义。在这种方法中，标准可以被当做可执行的进程及其相关概率。如果说启发式方法依赖于研究环境的机器，那么，政策标准方法则依赖于操作员，操作员需要了解环境并能够通过已知数据建立标准到机器，操作员还需要了解政策、服务、资产以及服务如何访问网络中的资产。随后，这些知识被量化和输入到标准中。这种政策标准模式非常适用于小型受限的环境，而这种模式最大的缺点就是需要劳动密集型的前期工作来定义标准。大型企业环境可能认为这种模式成本太高，尤其是考虑到这种方法同样可能产生很多误报。

每种方法都有各自的长处和短处。在这两种方法中，异常处理都属于劳动密集型工作，且需要决策者。虽然异常检测技术提供处理异常的方法，实际上，它们只是提供决策支持功能，仍然需要知识渊博的网络管理分析师来处理异常。在安全领域，分析师历来被视为是薄弱环节，但基于异常监控方法的发展非常依赖于分析师的角色。

异常处理

潜在的模型有决策树、模糊逻辑、神经网络、马尔可夫和聚类分析等模型。异常处理可以依赖于几个模型中的任一个模型或者模型组合。在大多数情况下，这些模型可以在任一采集环境中运作，但它们通常只适用于一个环境。

决策树类似于攻击树和错误树，其结构主要基于可被视为故障的事件，然后通过反向分析来确定导致故障的原因或活动错误。由于故障或入侵的原因通常不是单个事件，这种分析非常适用于模型组合。然而，为了建立一个代表树，预测各种问题的能力变得非常重要，否则，零日攻击将可能威胁到这种模型。鉴于其离散性，这种方法适用于操作基于政策/标准的数据。

逻辑模糊主要适用于异常检测和恶意行为之间的灰色地带。这种处理方法基于模糊集理论，其特征在于判断是否存在本质近似，模糊逻辑通常会提供平均流量模式以及从平均值得出的标准偏差值范围。有了这些信息，用户可以确定哪些行为应被认为是异常行为。统计学家和数学家批评模糊逻辑技术缺乏严格的界限，他们通常更愿意选择概率模型。这种方法可用于基于政策/标准或启发式采集技术。

神经网络，顾名思义，可以被认为是人类神经系统的数学表达式，这种模型通常用于预测分析。神经网络可以通过理解输入到输出的映射来创建一个标准，通过研究过去的模式，预测未来的模式。这个标准可以帮助创建一个趋势，然后使用概率模型来帮助可视化和确定相关异常事件和活动的可能性。当这种分析应用于流量和资产时，神经网络可以帮助解释异常行为。虽然这种模型在两种情况下都可以使用，但神经网络通常应用于启发式采集技术。

贝叶斯分析依赖于对所有路径的了解以及加权路径的能力，它有时被用于神经网络异常检测来进行入侵检测。加权路径可以基于流量数据、过去的攻击模式、其他标准或标准组合。加权的值将被转换成百分比，从而使操作员基于量化值(用于预测漏洞)来分配资产。贝叶斯分析能与两种采集技术协同使用，不过，它常用于启发式采集技术。

马尔可夫模型也可用于分析概率系统(状态发生变化时)，这种模型可用于几种采集方法。当建模离散空间时，马尔可夫过程被称为马尔可夫链，该模型被称为离散空间马尔可夫模型。当建模一个没有得到很好定义的空间时，部署的马尔可夫模型被称为连续空间马尔可夫模型。同样，对于指定固定时间间隔转换的时间空间，需要使用离散时间马尔可夫模型，而在任何时间允许转换的模型被称为连续时间马尔可夫模型。

通过结合马尔可夫建模和回报分析，马尔可夫回报分析提供了有意义的数据，这些数据可用于评估潜在的入侵异常行为。马尔可夫模型选择基于问题空间。静态的良好定义的环境(例如基于政策/标准环境中定义的环境)使用离散模型，而与启发式相关的更流畅的环境则更适合连续时间/空间马尔可夫模型。

当确定数据中的模式时，聚类分析很好用，因为它提供了对网络活动的可视化支持。由于恶意事件通过不只针对站点的一个资产目标，它们通常是相关的，而不是单一活动。新异常活动将反映在聚类中，这些聚类经常会形成模式。虽然聚类分析可用于显示各种模式，但确定必要的参数仍然需要不断努力。聚类分析可以用于任一采集方法。

基于异常监控的未来

因为很多上面描述的方法适用于在大型企业环境，大数据的增长将继续推动异常检测技术和更好的可视化工具。与现有的基于签名的技术相比，基于异常监控模型可能捕捉更多恶意活动，例如零日攻击、内部人员威胁和高级持续性威胁。

捕捉和处理如此庞大数据量的能力极具吸引力，但处理异常数据还需要大量的额外工作，并需要安全专家在分析编写方面的技能。企业部署基于异常的监控仍然需要一定时间。混合模式有可能最先出现，大型企业中的小团体使用政策/标准方法，而大团体则使用启发式方法。探索使用新模式中遇到的困难并不是简单的事情，但异常检测模式提供的优势将提高整体系统和网络安全态势。

网路游侠

http://weibo.com/1408734653/zfx03llVk