異常行為分析，是一種檢測未知威脅的一種新型技術，它是一種通過不斷收集歷史流量數據，建立流量和行為模型的一種“動態檢測”技術，有別于基于特征檢測的防火墻只能檢測到庫文件中已有威脅的“靜態檢測”。

為什么需要異常行為分析？

異常行為檢測技術可以檢測從網絡層到應用層的用戶、服務器的異常行為，提前發現潛在威脅。技術原理上主要是在網絡層通過新建會話數、新建報文數等幾十種參量進行流量跟蹤；而在應用層可以通過收集訪問者和服務器不同維度的訪問記錄，對協議進行深度剖析，數據關聯分析及對比，判斷是否為異常行為或未知威脅，進行預警和提前防范。

在信息化發展、應用深入而且不斷增多、新的漏洞不斷被發現、攻擊技術增強等等因素共同作用下，網絡攻擊正變得更加智能化和復雜化。基于預先特征庫的下一代防火墻、入侵防御等安全設備，由于其原理是必須在了解攻擊特征的前提下才能進行有效防御，所以這類設備對新型攻擊、未曾出現的攻擊，無法做到防御。

所謂安全，是既能夠防范已知的威脅，還要同時對新型威脅做出判斷和預警，在其發生破壞之前阻斷或者控制它。異常行為分析技術的出現可以很好地彌補這一“傳統設備”的缺陷，對阻斷和防范新型威脅發生有效的作用。

異常行為分析可以分析什么？

總體上可分兩點，通過網絡層特征檢測DDoS攻擊，以及通過應用層特征檢測其他復雜攻擊。

網絡層，異常行為分析技術通過對流經設備的流量進行連續、實時監控來分析流量信息，利用統計分析、關聯分析和機器學習等多種技術手段來檢測流量和用戶或應用行為中的異常模式，以發現異常行為。異常可以與同類對象做比較而得出，也可以與歷史數據做比較而得出。

應用層特征檢測攻擊，基于用戶行為的分析，對需要保護的目標建立一個動態、自適應的訪問模型。通過正常情況下的訪問模型，在攻擊發生時，都會有一定的特點，判斷其某些行為特征上會與正常的訪問是否有所區別，通過量化某些應用協議的維度，異常行為分析模型可以發現這種差異，進而識別出哪些是“正常的”，哪些是“異常的”。

異常行為分析如何工作？

目前國內安全廠商中，采用這一技術的不多，山石網科公司是目前在該項技術上比較完備的，其研發生產的智能下一代防火墻相將這一技術實現了產品落地，并有客戶為此買單，根據初步的結果顯示，用戶對此產品比較滿意。

山石網科采用的異常行為分析基于歷史流量的多維度觀測，采用基線和自適應機器學習等方法，通過流量在不同維度的變化發現異常，進而使用數據回溯的方式定位攻擊來源或目的地。此方法非常適用于捕獲數據流量異常，如DoS/DDoS、應用層DOS、SPAM、掃描攻擊等等。下面以異常行為分析方法如何檢測到HTTP DoS舉例。

HTTP DOS等是令各大廠商以及互聯網企業最頭疼的。它的巨大危害性主要表現在三個方面：發起方便、過濾困難、影響深遠。一方面，攻擊者并不需要控制大批的傀儡機，取而代之的是通過端口掃描程序在互聯網上尋找匿名的HTTP代理或者SOCKS代理，攻擊者通過匿名代理對攻擊目標發起HTTP請求。另一方面，攻擊在HTTP層發起，極力模仿正常用戶的網頁請求行為，與網站業務緊密相關；最后，攻擊會引起嚴重的連鎖反應，不僅僅是直接導致被攻擊的Web前端響應緩慢，還間接攻擊到后端的Java等業務層邏輯以及更后端的數據庫服務，增大它們的壓力，甚至對日志存儲服務器都帶來影響。

異常行為分析方法首先可以通過角色不同，如受害者和攻擊者兩種不同的角色做不同的分析檢測。比如，對于受害者在持續一段時間內（比如設定120秒）HTTP協議的內連新建會話數和內連活躍會話數都比較高，那么在這兩個條件同時超出了各自的上線閾值時即被評定為網絡異常參量，即構成了HTTP Dos這種異常行為。這只是其中一種方法，與之相關聯的其他參量有異常也會認為可能造成HTTP Dos攻擊。利用異常行為分析方法可以提前發現未知威脅提前告警。