浅谈大型网络入侵检测建设（二）

但我们面对入侵事件时，常常面临两种尴尬局面：

2.3.1、数据很少：仅有部分系统\应用默认日志

如侦探破案一般，发现入侵事件最重要的是有证据。通常系统默认的日志等数据无法满足入侵事件分析需求，必须开发专门的探测器。先需要梳理场景对抗需求，搞清楚检测某类攻击所需数据类别与纬度，并将此作为数据采集系统的开发需求。

2.3.2、数据很多：大型网络中各类数据很多，甚至多至无法记录。

数据并非越多越好，特别是大型网络的海量数据，如全部汇集存储是难以支撑的。且大量的噪音数据也只会带来硬件与人力成本的增加。真正流入最后存储与分析系统的数据，必然是经过精简与格式化之后的。

2.4、数据分析

有了数据不等于有检测能力，首先第一个问题就是如何理解你获得的数据，这就是数据格式化。

如何定义格式化数据：

1） ?分析规则决定数据纬度

2） 关联逻辑定义字段扩展

有了格式化好的数据，就实现了数据自动化分析的第一步，接下来才是分析引擎与规则建设。

三、分析能力

但凡有一点渗透经验的人，对于无论是杀毒软件还是waf\ids 系统都知道使用各种逃避检测的手段。现在我们面对的是有一定反检测能力的攻击者，特别是高级APT攻击通常较为隐蔽不易触发单点的安全策略和检测，需要更多纬度和大视角的数据分析。

美国《2013年财年国防授权法案》：国防部下一代主机安全系统不能再是杀毒软件或任何基于签名的技术。传统安全产品单纯依靠特征库的检测模式，效果已大打折扣。黑客工具千变万化，攻击手法层出不穷，但他们的目的不变，行为就是殊途同归的。所以，在原有特征检测技术之外，用行为模型能更好的检测入侵，我们提出以下检测模型：