當組織內發生數據泄露事件時，泄漏檢測系統（BDS）能夠給我們提供足夠有效的提醒，但如果敏感等級設置的非常低的話，我們還需要考慮風險報告的假陽性問題。而基于異常的檢測系統能夠檢測到很多傳統BDS無法發現的網絡攻擊活動。

為了檢測網絡入侵活動，BDS需要識別事件模式，需要識別的事件流包括：

1. 網絡活動-例如DNS活動和HTTP請求。

2. 主機活動-例如用戶登錄和程序調用。

3. 對網絡中所發生的各種活動進行分析-例如沙盒技術針對程序行為特性的分析報告等等。

檢測網絡入侵

BDS的其中一個目標就是提供高效率的自動化檢測服務，并盡可能地降低假陽性。這也就意味著，BDS的敏感度閾值需要進行設置，并且在收集到了大量有效證據之后才可以生成警報信息。

如果閾值設置的非常低，那么BDS系統所收集到的信息雖然可以用于檢測攻擊，但是其自動化識別的可信度并不高。不過，此時的BDS可以識別具有明顯意圖的惡意行為模式，因為這種行為與正常的網絡流量相比是不正常的。

異常檢測系統實現的基礎是惡意活動必須在某些事件流中產生異常。但不幸的是，在現實的攻擊場景中，并不是所有的惡意活動都會產生異常，而某些良性活動有時卻會產生異常，因此這種基于異常的檢測系統其報告假陽性也很高。盡管這種單純基于異常的檢測系統在一般情況下可能會不起作用，但是它仍然可以給研究人員提供一種思路，以幫助他們在某些看似無關聯的事件之間建立聯系。

Hunting系統

一個Hunting系統可以給研究人員提供一系列的異常觀察結果，其中包括：

1. 指向特定主機、網絡或國家地區的流量信息；

2. 會話時間與持續時間；

3. 特定工具、應用程序和協議的使用情況；

但需要注意的是，系統所觀察到的結果并不一定是系統遭到入侵的結果。比如說，用戶在執行云端遠程備份任務時，很可能會產生大量向外部主機發送的數據。或者說，網絡管理員如果使用新的工具來提高生產力的話，同樣有可能導致網絡流量出現異常，而上述這些情況都將可能讓系統的檢測結果產生較高的假陽性。然而，當一個Hunting系統能夠像人類一樣對觀察到的結果進行分析、排序和關聯的話，系統的檢測能力將會大大提升。

　　Hunting工具所要實現的功能

基本上，一款Hunting工具應該具備以下五種功能：

1. Collects：收集各種各樣的事件流樣本（登錄記錄、DNS解析和網絡流數據等等）。

2. Models：對每種類型的事件流以及涉及到的元素（用戶、主機和網絡）進行建模。

3. Reports：基于已建立的模型報告事件流中觀察到的異常活動。

4. Presents：用不同的方法收集觀察報告，以支持更加復雜的安全分析。

5. Expands：通過獲取網絡或主機的額外信息來擴展分析能力。

網絡健康

很明顯，Hunting工具的“Collects”功能以及“Presents”功能的設計難度并不大，而為了生成足夠有效的觀測報告，“Models”和“Reports”組件則需要使用更加新穎的方式來進行開發。除此之外，此類工具的目標用戶需要是經驗豐富的用戶，他不僅需要足夠了解他所需要處理的網絡情況，而且還需要具備一定的網絡安全技術，而這也是很多企業都缺乏的資源。

因此，我們建議廣大管理員可以考慮使用托管安全服務提供商（MSSP）所提供的Hunting服務，而這種服務可以給客戶提供一種實現主動安全管理的新方法。而廣大CISO或CIO們可以考慮根據自己組織所處的網絡環境來開發適合自己使用的Hunting工具。

對異常事件的處理能力將關系到網絡的健康情況，其中有些問題可能會跟安全無關，但是只要問題存在，組織的運營效率就會受到影響，因此基于異常智能分析的網絡檢測系統可能會是大家可以考慮的工具之一。