22、高级数据查询与异常检测策略

高级数据查询与异常检测策略

1. 数据查询基础

数据查询有多种方式，从简单宽泛的查询入手，有助于将大型数据集缩减为可操作的组件。在查询过程中，误报会拖慢分析进度，但通过仔细调整可以减少误报。攻击通常分多个阶段进行，且多数阶段都有检测的可能性。研究和开发数据中的独特特征，有助于构建高效的查询。同时，应避免使用串行处理的指标以及过于复杂的逻辑条件，以便于理解和执行查询。大多数报告应检测模式，并将高度特定的项目转化为指标，而特定指标通过情报管理系统处理比分散在多个不同报告的列表中更好。

2. 基础查询与高级查询的区别

2.1 定义与特点

基础查询和高级查询之间没有明确的客观分界线，关键在于查询能否高效有效地实现报告目标。一般来说，高级查询不基于特定已知指标或简单模式，例如使用多个非关联数据源的查询，或查找多个主机行为共性的查询。增加查询复杂度可以提供更多灵活性来发现细微的可疑活动，但也意味着需要更多的分析和调查工作来理解和分析查询结果。

2.2 误报的影响

基础查询使用已知恶意指标构建报告时，通常能得到高保真度的结果。即使基础查询中的特征组合产生误报，也容易追溯到某个或多个特征不够具体或独特。简单查询缺乏特异性会导致通用性和保真度之间的权衡，大多数使用多个不寻常事件特征的基础查询，其通用性提高的同时，报告的保真度会降低。报告存在一个权衡曲线，越通用的报告误报可能性越高，保真度越低，但很难确切知道报告在曲线上的位置。高级查询需要更多地应对误报问题，因此需要有一个关于预期误报基础率的理论基础。

2.3 误报悖论示例

假设一个繁忙的 Web 服务器受到攻击，编写一个 IDS 签