异常行为分析，是一种检测未知威胁的一种新型技术，它是一种通过不断收集历史流量数据，建立流量和行为模型的一种“动态检测”技术，有别于基于特征检测的防火墙只能检测到库文件中已有威胁的“静态检测”。

　　为什么需要异常行为分析？

异常行为检测技术可以检测从网络层到应用层的用户、服务器的异常行为，提前发现潜在威胁。技术原理上主要是在网络层通过新建会话数、新建报文数等几十种参量进行流量跟踪；而在应用层可以通过收集访问者和服务器不同维度的访问记录，对协议进行深度剖析，数据关联分析及对比，判断是否为异常行为或未知威胁，进行预警和提前防范。

在信息化发展、应用深入而且不断增多、新的漏洞不断被发现、攻击技术增强等等因素共同作用下，网络攻击正变得更加智能化和复杂化。基于预先特征库的下一代防火墙、入侵防御等安全设备，由于其原理是必须在了解攻击特征的前提下才能进行有效防御，所以这类设备对新型攻击、未曾出现的攻击，无法做到防御。

所谓安全，是既能够防范已知的威胁，还要同时对新型威胁做出判断和预警，在其发生破坏之前阻断或者控制它。异常行为分析技术的出现可以很好地弥补这一“传统设备”的缺陷，对阻断和防范新型威胁发生有效的作用。

　　异常行为分析可以分析什么？

总体上可分两点，通过网络层特征检测DDoS攻击，以及通过应用层特征检测其他复杂攻击。

网络层，异常行为分析技术通过对流经设备的流量进行连续、实时监控来分析流量信息，利用统计分析、关联分析和机器学习等多种技术手段来检测流量和用户或应用行为中的异常模式，以发现异常行为。异常可以与同类对象做比较而得出，也可以与历史数据做比较而得出。

应用层特征检测攻击，基于用户行为的分析，对需要保护的目标建立一个动态、自适应的访问模型。通过正常情况下的访问模型，在攻击发生时，都会有一定的特点，判断其某些行为特征上会与正常的访问是否有所区别，通过量化某些应用协议的维度，异常行为分析模型可以发现这种差异，进而识别出哪些是“正常的”，哪些是“异常的”。

　　异常行为分析如何工作？

目前国内安全厂商中，采用这一技术的不多，山石网科公司是目前在该项技术上比较完备的，其研发生产的智能下一代防火墙相将这一技术实现了产品落地，并有客户为此买单，根据初步的结果显示，用户对此产品比较满意。

山石网科采用的异常行为分析基于历史流量的多维度观测，采用基线和自适应机器学习等方法，通过流量在不同维度的变化发现异常，进而使用数据回溯的方式定位攻击来源或目的地。此方法非常适用于捕获数据流量异常，如DoS/DDoS、应用层DOS、SPAM、扫描攻击等等。下面以异常行为分析方法如何检测到HTTP DoS举例。

HTTP DOS等是令各大厂商以及互联网企业最头疼的。它的巨大危害性主要表现在三个方面：发起方便、过滤困难、影响深远。一方面，攻击者并不需要控制大批的傀儡机，取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理，攻击者通过匿名代理对攻击目标发起HTTP请求。另一方面，攻击在HTTP层发起，极力模仿正常用户的网页请求行为，与网站业务紧密相关；最后，攻击会引起严重的连锁反应，不仅仅是直接导致被攻击的Web前端响应缓慢，还间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务，增大它们的压力，甚至对日志存储服务器都带来影响。

异常行为分析方法首先可以通过角色不同，如受害者和攻击者两种不同的角色做不同的分析检测。比如，对于受害者在持续一段时间内(比如设定120秒)HTTP协议的内连新建会话数和内连活跃会话数都比较高，那么在这两个条件同时超出了各自的上线阈值时即被评定为网络异常参量，即构成了HTTP Dos这种异常行为。这只是其中一种方法，与之相关联的其他参量有异常也会认为可能造成HTTP Dos攻击。利用异常行为分析方法可以提前发现未知威胁提前告警。

(责任编辑：安博涛)