异常检测指识别用户活动、网络行为或系统事件中可能预示威胁的偏差。异常类型可能包括:
异常登录模式:用户在异常时间登录、从境外IP地址登录,或短时间内从多个地理位置登录,这些都可能是凭证被盗的信号。
权限提升:普通用户突然执行命令或访问管理员预留资源,基于行为基线分析可将其标记为异常。
横向移动:某个账户或进程访问其通常不会交互的系统,此行为被视为网络异常。检测横向移动是网络异常检测的应用场景之一。
数据泄露行为:出站流量突然激增(尤其是涉及敏感数据或流向未知目的地时),是典型的数据异常检测场景。
异常进程行为:进程意外启动、从非标准目录执行,或对注册表进行修改(未授权),这些会被端点异常检测系统标记。
应用滥用:用户执行超出其正常应用使用范围的操作(如批量下载报告或导出仪表板),可能预示内部威胁。
意外服务活动:新端口被开启、服务频繁重启,或协议被用于非预期用途,这些均属于网络行为异常检测的范畴。
基于时间的异常:时间序列异常检测可用于监控一段时间内 CPU使用率、内存峰值、身份验证尝试或登录失败等指标的偏差。