Hunting系统：简述如何通过智能分析异常来检测网络入侵行为

正文

请到「今天看啥」查看全文

检测网络入侵

BDS的其中一个目标就是提供高效率的自动化检测服务，并尽可能地降低假阳性。这也就意味着，BDS的敏感度阈值需要进行设置，并且在收集到了大量有效证据之后才可以生成警报信息。

如果阈值设置的非常低，那么BDS系统所收集到的信息虽然可以用于检测攻击，但是其自动化识别的可信度并不高。不过，此时的BDS可以识别具有明显意图的恶意行为模式，因为这种行为与正常的网络流量相比是不正常的。

异常检测系统实现的基础是恶意活动必须在某些事件流中产生异常。但不幸的是，在现实的攻击场景中，并不是所有的恶意活动都会产生异常，而某些良性活动有时却会产生异常，因此这种基于异常的检测系统其报告假阳性也很高。尽管这种单纯基于异常的检测系统在一般情况下可能会不起作用，但是它仍然可以给研究人员提供一种思路，以帮助他们在某些看似无关联的事件之间建立联系。

Hunting系统

一个Hunting系统可以给研究人员提供一系列的异常观察结果，其中包括：

请到「今天看啥」查看全文