异常处理

　　潜在的模型有决策树、模糊逻辑、神经网络、马尔可夫和聚类分析等模型。异常处理可以依赖于几个模型中的任一个模型或者模型组合。在大多数情况下，这些模型可以在任一采集环境中运作，但它们通常只适用于一个环境。

　　决策树类似于攻击树和错误树，其结构主要基于可被视为故障的事件，然后通过反向分析来确定导致故障的原因或活动错误。由于故障或入侵的原因通常不是单个事件，这种分析非常适用于模型组合。然而，为了建立一个代表树，预测各种问题的能力变得非常重要，否则，零日攻击将可能威胁到这种模型。鉴于其离散性，这种方法适用于操作基于政策/标准的数据。

　　逻辑模糊主要适用于异常检测和恶意行为之间的灰色地带。这种处理方法基于模糊集理论，其特征在于判断是否存在本质近似，模糊逻辑通常会提供平均流量模式以及从平均值得出的标准偏差值范围。有了这些信息，用户可以确定哪些行为应被认为是异常行为。统计学家和数学家批评模糊逻辑技术缺乏严格的界限，他们通常更愿意选择概率模型。这种方法可用于基于政策/标准或启发式采集技术。

　　神经网络，顾名思义，可以被认为是人类神经系统的数学表达式，这种模型通常用于预测分析。神经网络可以通过理解输入到输出的映射来创建一个标准，通过研究过去的模式，预测未来的模式。这个标准可以帮助创建一个趋势，然后使用概率模型来帮助可视化和确定相关异常事件和活动的可能性。当这种分析应用于流量和资产时，神经网络可以帮助解释异常行为。虽然这种模型在两种情况下都可以使用，但神经网络通常应用于启发式采集技术。

　　贝叶斯分析依赖于对所有路径的了解以及加权路径的能力，它有时被用于神经网络异常检测来进行入侵检测。加权路径可以基于流量数据、过去的攻击模式、其他标准或标准组合。加权的值将被转换成百分比，从而使操作员基于量化值（用于预测漏洞）来分配资产。贝叶斯分析能与两种采集技术协同使用，不过，它常用于启发式采集技术。

　　马尔可夫模型也可用于分析概率系统（状态发生变化时），这种模型可用于几种采集方法。当建模离散空间时，马尔可夫过程被称为马尔可夫链，该模型被称为离散空间马尔可夫模型。当建模一个没有得到很好定义的空间时，部署的马尔可夫模型被称为连续空间马尔可夫模型。同样，对于指定固定时间间隔转换的时间空间，需要使用离散时间马尔可夫模型，而在任何时间允许转换的模型被称为连续时间马尔可夫模型。

　　通过结合马尔可夫建模和回报分析，马尔可夫回报分析提供了有意义的数据，这些数据可用于评估潜在的入侵异常行为。马尔可夫模型选择基于问题空间。静态的良好定义的环境（例如基于政策/标准环境中定义的环境）使用离散模型，而与启发式相关的更流畅的环境则更适合连续时间/空间马尔可夫模型。

　　当确定数据中的模式时，聚类分析很好用，因为它提供了对网络活动的可视化支持。由于恶意事件通过不只针对站点的一个资产目标，它们通常是相关的，而不是单一活动。新异常活动将反映在聚类中，这些聚类经常会形成模式。虽然聚类分析可用于显示各种模式，但确定必要的参数仍然需要不断努力。聚类分析可以用于任一采集方法。

　　基于异常监控的未来

　　因为很多上面描述的方法适用于在大型企业环境，大数据的增长将继续推动异常检测技术和更好的可视化工具。与现有的基于签名的技术相比，基于异常监控模型可能捕捉更多恶意活动，例如零日攻击、内部人员威胁和高级持续性威胁。

　　捕捉和处理如此庞大数据量的能力极具吸引力，但处理异常数据还需要大量的额外工作，并需要安全专家在分析编写方面的技能。企业部署基于异常的监控仍然需要一定时间。混合模式有可能最先出现，大型企业中的小团体使用政策/标准方法，而大团体则使用启发式方法。探索使用新模式中遇到的困难并不是简单的事情，但异常检测模式提供的优势将提高整体系统和网络安全态势。