行為分析使用機器學習、人工智能、大數據和分析，通過分析日常活動中的差異來識別惡意行為。

讓我們定義行為分析

惡意攻擊有一個共同點——它們的行為都與系統或網絡中的正常日常行為不同。公司通常可以通過與某些類型的知名攻擊直接相關的簽名來識別惡意行為。然而，隨著攻擊者變得越來越老練，他們不斷開發新的策略、技術和程序 (TTP)，使他們不僅能夠進入易受攻擊的環境，而且還能在不被發現的情況下橫向移動。

這就是行為分析的用武之地。借助大量未經過濾的端點數據，安全人員現在可以使用基于行為的工具、算法和機器學習來確定日常用戶的正常行為是什么——什么不是。行為分析可以識別日常規范參數之外的事件、趨勢和模式（包括當前的和歷史的）。

通過關注這些異常情況，安全團隊可以在攻擊者完全執行攻擊計劃之前及早獲得可見性并識別攻擊者的意外行為策略。行為分析還可以幫助發現根本原因，并為未來識別和預測類似攻擊提供洞察力。

哪些行為說明了不法活動？

異常的事件時間、異常的操作順序或增加的數據移動只是環境中惡意活動的幾個跡象。以下是一些可能導致識別正在進行的攻擊的不那么正常行為的具體示例。

• 看起來合法的文件中的鏈接加載到內存中，然后遠程加載腳本以追蹤發送回攻擊者的機密數據。
• 惡意代碼被注入到已安裝的應用程序（如 Microsoft Word、Flash、Adobe PDF Reader、Web 瀏覽器或 JavaScript）中，以針對漏洞然后執行惡意代碼。
• 本機系統工具（例如通常被認為高度可信的 Microsoft Windows Management Instrumentation (WMI) 和 Microsoft PowerShell 腳本語言）旨在讓腳本遠程運行。

行業脈搏：行為分析現在是“必備”

早在 2016 年初，SANS 研究所就在白皮書《使用分析預測未來的攻擊和違規》中認識到行為分析的重要性。作者在結論中指出：“利用更先進的數據分析平臺來獲取更多不同類型的數據，專注于提高網絡威脅可見性，以及自動化檢測和響應行動，可能會在安全團隊現在和未來幫助他們發展到迎接這些挑戰。”

好吧，未來就在這里，在 2018 年，行為分析本質上是高級端點安全的基線要求。事實上，在其端點保護平臺魔力象限報告中，Gartner 將機器學習和行為監控視為有遠見者和領導者的優勢。該報告還指出，“2018 年和 2019 年最具遠見和領先的供應商將是那些使用從其 [端點檢測和響應] 能力收集的數據來提供為其客戶量身定制的可行指導和建議的供應商。”2017 年 17% 的違規行為是由人為錯誤造成的（而不是蓄意的惡意）。

答案：仰望云端

為了充分發揮行為分析的作用，公司必須利用云及其巨大的計算能力、無限的可擴展性和易于管理。云提供了一種主動方法，將大數據與強大的分析相結合，以幫助智取最新、最具威脅性的新興攻擊。

例如，云支持流式分析，可以監控正常和異常的端點活動，并將其與任何未過濾的歷史端點數據進行比較。通過分析這些事件流并將它們與看起來像正常的事件流進行比較，云創建了一個全球威脅監控系統，不僅可以檢測攻擊，還可以預測以前從未見過的攻擊。

這種強大的方法對于基于簽名的傳統 AV 解決方案根本不可能，但對于下一代防病毒(NGAV) 軟件來說卻是不可能的。云中的 NGAV 提供與端點的雙向通信，因此可以監控所有未過濾的端點數據并將其轉化為預測分析，從而主動保護公司免受復雜的攻擊。此外，云提供了大多數公司已經通過其他企業軟件體驗到的基礎設施優勢——簡化、成本更低的運營、更快的部署以及最新和最具創新性的技術。