5、网络安全中的异常检测与行为分析

网络安全中的异常检测与行为分析

1. 引言

在复杂的网络基础设施中，入侵检测和警报关联技术是识别和监控安全威胁的重要工具。入侵检测系统（IDS）能够监控网络流量，一旦发现可疑行为就会触发安全警报。而警报关联方法则可以将这些警报整合为多步骤的攻击场景。

入侵检测技术的研究已经有大约30年的历史，其基于这样一个假设：入侵者的行为与合法用户的行为有明显差异，许多未经授权的操作是可以被检测到的。入侵检测技术大致可分为基于签名和基于异常的方法。

• 基于签名的方法 ：依赖于攻击签名数据库，当实时流量中的情况与数据库中的签名匹配时，就会触发警报并记录事件。然而，其有效性高度依赖于签名数据库，如果数据库中没有相应的签名，IDS就无法识别攻击。
• 基于异常的方法 ：当网络中出现不符合预定义标准的异常行为时触发警报。例如，HTTP流量使用非标准端口（如端口63）就会被标记为可疑。正常行为可以通过离线学习和研究编程到系统中，也可以在处理网络流量时在线学习。

在复杂网络中，大多数入侵并非孤立事件，而是特定攻击序列的不同阶段，早期阶段为后期阶段做准备。因此，大量的IDS传感器会产生众多警报，这促使了自动警报关联技术的研究。警报关联的目标是找出警报之间的因果关系，从孤立的警报中重建攻击场景。现有的警报关联方法可分为以下几类：
| 关联方法 | 描述 |
| — | — |
| 基于场景的关联 | 根据预定义的攻击场景进行关联 |
| 基于规则的关联 | 依据特定规则进行关联 |
| 统计关联 | 运用统计方法进行关联