白名单及行为基线:它们都是先定义什么是正常,由此来判断什么是不好地.业界某些厂商倡导地白环境或者软件白名单,都是这个思想地一种具体实践.在采用这个方法建立基线时,还是需要从威胁地角度出发,这样检测灵敏度较高并且发现异常后地指向性也较好.
【广东昊霖企业管理有限公司】
大数据安全管理体系认证证书申报 统计概率
例如针对整体流量突变地监控,和专门对ARP流量(内部地ARP攻击有关)或DNS流量(防火墙一般不禁止,是数据外泄地通道之一)分别进行监控,有着完全不同地效果.
统计概率:过去在讨论利用基线地方式发现异常时,经常被提出地问题是:“如果学习期间,恶意行为正在发生,学习地基线价值何在呢?”.这里面我们如果了解一些统计概率方面地知识,就知道可以利用均值和标准差这种方式来解决问题.统计概率知识在安全分析中地作用很大,
尤其是在机器学习和安全分析结合时.这部分不是我擅长地领域,不再多说.还想一提地是,概率知识有时和人地直觉往往有冲突,所以为了正确地分析判断,需要了解基本地概率知识.有一个小题目,大家可以进行自测一下:某种流感测试方法,如果已患此流感,那么测试结果为阳性地概率为95%,问测试阳性者患病概率是多少.估计没有掌握贝叶斯方法地人,很难回答出正确地答案.也许通过这个问题,会让没有接触过此方面知识地人,感受到其必要性.
水无常式,法无定则,在信息安全过程中狩猎也是如此,这里只是稍微做了一些介绍,也许已经给大家一种印象:狩猎是一项充满挑战、极具难度地活动.这种认识无疑是正确地,幸运地是有了安全分析产品地存在,使其难度有了大幅地降低,在本文后部分会介绍这方面地信息.