当基于签名的模式最初被引入互联网安全时，是作为一种过滤流量的更快的决策模式，当时签名数据库还是可管理的，并且零日攻击只是想象得到，一般不会执行。

　　然而，当试图为不断增加的新签名扩展签名模式时，问题就出现了。今年三大臭名昭著的恶意软件（即Stuxnet、Duqu和Flame）暴露了基于签名的技术的弊端，这些恶意软件能够在不被检测到的情况下实施攻击。因为对于各种基于签名的产品而言，这些恶意软件是未知的。除了这三个恶意软件，多态恶意软件和模糊技术同样暴露了签名技术和零日检测的不足之处。

　　这些恶意软件的攻击事件让安全社区的很多人呼吁使用基于异常的监控模式。在本文中，我们将介绍基于异常的恶意软件监控以及探索这种模式给企业恶意软件防御带来的好处。

　　定义基于异常的监控

　　基于异常的监控模式并不是一个新概念，事实上，这是一种旧的安全模式，以前被称为“全部拒绝”或者“允许特例”。在互联网安全早期阶段，在Web成为服务前端之前，这种模式非常流行，当时服务更少且更易于管理。

　　想要理解基于异常的监控模式，首先需要了解异常的定义：偏离正常；奇怪的条件、情况或者质量；不协调或不一致之处。在基于异常的监控模式定义中，重要的是，要明白每一个异常并不一定代表恶意事件，并且，异常检测技术历来都存在误报的问题。

　　异常是指不正常的事件，这也就意味着人对异常的处理决定着异常是否为恶意事件。在本文的后面，我们将介绍基于异常的监控模式中可以帮助决策者的一些可用的工具和方法。

　　异常采集的过程

　　为了理解异常检测技术如何运作，我们有必要初步讨论一些采集技术。采集技术可分为两种基本类型：启发式方法和政策标准方法。

　　启发式方法依赖于研究环境，这种方法主要是采集网络流量的统计数据。采集引擎将分析网络流量，并采集IP地址、服务和流量的统计数据。然后进行统计分析，以确定网络环境中的最高值和最低值、平均值和其他相关流量数据。接着，基于这些不同的数值建立标准，流量随后会与所设立的正常基准进行对比。与基准匹配的流量将被认为是正常流量，而所有其他流量被视为异常。启发式方法提供了更快的设置，但这种方法更容易将恶意事件视为正常行为，例如，当在“学习”阶段出现恶意活动时。

　　另一种采集技术是政策标准方法，有时也被称为知识标准方法。这种方法借鉴于软件可靠性中使用的运行标准定义。在这种方法中，标准可以被当做可执行的进程及其相关概率。如果说启发式方法依赖于研究环境的机器，那么，政策标准方法则依赖于操作员，操作员需要了解环境并能够通过已知数据建立标准到机器，操作员还需要了解政策、服务、资产以及服务如何访问网络中的资产。随后，这些知识被量化和输入到标准中。这种政策标准模式非常适用于小型受限的环境，而这种模式最大的缺点就是需要劳动密集型的前期工作来定义标准。大型企业环境可能认为这种模式成本太高，尤其是考虑到这种方法同样可能产生很多误报。

　　每种方法都有各自的长处和短处。在这两种方法中，异常处理都属于劳动密集型工作，且需要决策者。虽然异常检测技术提供处理异常的方法，实际上，它们只是提供决策支持功能，仍然需要知识渊博的网络管理分析师来处理异常。在安全领域，分析师历来被视为是薄弱环节，但基于异常监控方法的发展非常依赖于分析师的角色。