前不久，山石网科发布了下一代智能防火墙的新版本。该版本新增和完善了异常行为检测、六大威胁防护、风险分布和威胁监控、监控和预警内容的报表功能等诸多功能。该版本发布的异常行为检测功能尤其引人瞩目。该功能独有的异常行为分析技术可用于帮助管理员判断是否为异常行为或威胁，并进行预警和提前防范。

下面让我们详细了解一下——异常行为分析技术。

分析什么？

根据山石网科官网的资料显示，异常行为分析技术通过对流经设备的流量进行连续、实时监控来分析流量信息，利用统计分析、关联分析和机器学习等多种技术手段来检测流量和用户/应用行为中的异常模式，以发现异常行为。异常可以与同类对象做比较而得出，也可以与历史数据做比较而得出。
该技术包含两个重要的概念，一是异常参量的多维度检测，异常参量检测的种类包括数百个,如：外/内连会话的知名端口数、活跃会话平均入/出包数、外/内连新建会话数等等。针对每个参量，系统对预处理的历史数据执行统计分析，通过一段时间的自学习生成由连续基准值连成的基线，并监测每个参量的阀值上限和阀值下限。当iNGFW检测每个参量的详细信息，当检测真实值超过阈值上限值或低于阈值下限值时，该参量会告警。

怎么分析？

异常行为技术分析另一个重要概念是异常行为和未知威胁提前预警。单个参量异常并不一定能构成异常行为，系统会将不同参量随时间推移而产生的这些异常参量关联起来，以确定是否能够构成异常行为。虽然单个异常行为可能只表明一些随机的攻击企图，基于这些检测的预警可能是被认为是“误报”，但基于一组相关事件的检测就有更高的确定性，可以被认为是潜在的未知威胁。

iNGFW正是利用这种利用统计分析、关联分析的方法是，通过接收异常参量的信息，基于网络资源异常检测的结果，通过异常参量、告警类型、告警时间的序列关系等若干约束建立规则，通过匹配规则，建立与异常行为之间的关联关系，当能够匹配规则时，可以触发检测对象异常行为的告警。这类告警从作用对象上分，可分为攻击者和受害者两种；从级别上分，可分为高、中、低和未定义四种级别。

数字化结果

为了直观地帮助用户看到网络状态，iNGFW通过 “行为信誉指数”将内网对象的风险级别进行量化，这个分数的评定包括未知威胁和已知威胁两部分：未知威胁检测是通过异常行为分析技术，对每种异常参量和异常行为评出各自的分数，分数随风险级别的不同而不同，这些分数会参与到BRI的评分中。已知威胁检测是通过六大威胁防护模块，检测出的与该内网对象相关的已知威胁也会参与到BRI的评分中。
对于检测结果中管理员不关注的异常参量或异常行为，可以通过多种手段进行人工调控。比如可以取消关注某个/某些异常参量或异常行为，可以根据实际情况手工调整单个参量上下限阈值、可以对整体进行敏感度调整，从而减少“误报”或“漏报”。

总之，iNGFW通过独有的技术率先展示一种基于大数据分析的针对未知威胁的检测方法，并将这种方法通过图形和列表的形式，最简便、最直观的展现出来，而这种方法已经获得了世界著名分析机构Gartner的认可。