Hunting系统：简述如何通过智能分析异常来检测网络入侵行为

当组织内发生数据泄露事件时，泄漏检测系统（BDS）能够给我们提供足够有效的提醒，但如果敏感等级设置的非常低的话，我们还需要考虑风险报告的假阳性问题。而基于异常的检测系统能够检测到很多传统BDS无法发现的网络攻击活动。

为了检测网络入侵活动，BDS需要识别事件模式，需要识别的事件流包括：

网络活动-例如DNS活动和HTTP请求。

主机活动-例如用户登录和程序调用。

对网络中所发生的各种活动进行分析-例如沙盒技术针对程序行为特性的分析报告等等。

检测网络入侵

BDS的其中一个目标就是提供高效率的自动化检测服务，并尽可能地降低假阳性。这也就意味着，BDS的敏感度阈值需要进行设置，并且在收集到了大量有效证据之后才可以生成警报信息。

如果阈值设置的非常低，那么BDS系统所收集到的信息虽然可以用于检测攻击，但是其自动化识别的可信度并不高。不过，此时的BDS可以识别具有明显意图的恶意行为模式，因为这种行为与正常的网络流量相比是不正常的。

异常检测系统实现的基础是恶意活动必须在某些事件流中产生异常。但不幸的是，在现实的攻击场景中，并不是所有的恶意活动都会产生异常，而某些良性活动有时却会产生异常，因此这种基于异常的检测系统其报告假阳性也很高。尽管这种单纯基于异常的检测系统在一般情况下可能会不起作用，但是它仍然可以给研究人员提供一种思路，以帮助他们在某些看似无关联的事件之间建立联系。

Hunting系统

一个Hunting系统可以给研究人员提供一系列的异常观察结果，其中包括：

指向特定主机、网络或国家地区的流量信息；

会话时间与持续时间；

特定工具、应用程序和协议的使用情况；

但需要注意的是，系统所观察到的结果并不一定是系统遭到入侵的结果。比如说，用户在执行云端远程备份任务时，很可能会产生大量向外部主机发送的数据。或者说，网络管理员如果使用新的工具来提高生产力的话，同样有可能导致网络流量出现异常，而上述这些情况都将可能让系统的检测结果产生较高的假阳性。然而，当一个Hunting系统能够像人类一样对观察到的结果进行分析、排序和关联的话，系统的检测能力将会大大提升。

Hunting工具所要实现的功能

基本上，一款Hunting工具应该具备以下五种功能：

Collects：收集各种各样的事件流样本（登录记录、DNS解析和网络流数据等等）。

Models：对每种类型的事件流以及涉及到的元素（用户、主机和网络）进行建模。

Reports：基于已建立的模型报告事件流中观察到的异常活动。

Presents：用不同的方法收集观察报告，以支持更加复杂的安全分析。

Expands：通过获取网络或主机的额外信息来扩展分析能力。

网络健康

很明显，Hunting工具的“Collects”功能以及“Presents”功能的设计难度并不大，而为了生成足够有效的观测报告，“Models”和“Reports”组件则需要使用更加新颖的方式来进行开发。除此之外，此类工具的目标用户需要是经验丰富的用户，他不仅需要足够了解他所需要处理的网络情况，而且还需要具备一定的网络安全技术，而这也是很多企业都缺乏的资源。

因此，我们建议广大管理员可以考虑使用托管安全服务提供商（MSSP）所提供的Hunting服务，而这种服务可以给客户提供一种实现主动安全管理的新方法。而广大CISO或CIO们可以考虑根据自己组织所处的网络环境来开发适合自己使用的Hunting工具。

对异常事件的处理能力将关系到网络的健康情况，其中有些问题可能会跟安全无关，但是只要问题存在，组织的运营效率就会受到影响，因此基于异常智能分析的网络检测系统可能会是大家可以考虑的工具之一。

* 参考来源：lastline，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM