当前，全球信息化技术发展日新月异，从政府、社会到企业都高度重视信息化技术的应用融合，企业信息化建设与数字化转型不断深入。与之而来的就是基于信息技术的网络攻击成本也逐步下降，网络攻击手法更加复杂多变，网络攻击逐渐组织化、专业化，日益泛滥的网络威胁往往会让企业网络安全管理工作疲于奔命。

对于企业而言，复杂的网络攻击行为已然阻碍了企业的健康发展，而那些基于特征和规则的传统威胁检测技术也正在逐步落后于时代，已无法应对网络安全新形势下的新型威胁和未知威胁，满足与时俱进的网络安防需求。

这种情况下，基于行为分析的新威胁检测技术不断衍生发展并逐渐流行。行为风险分析，通过收集大量数据，并基于数据搭建训练模型，查找异常行为和高风险行为。

这种方法通常需要为正常的网络行为设定基准，通过机器学习等模型来检查网络活动并计算风险评分，根据风险评分查看异常情况，最终确定行为风险级别。这有助于减少误报并帮助安全团队确定风险优先级，从而将安全团队的工作量减少到更易于管理的水平。

行为风险分析有几种手段，包括：

1. 异常建模：使用机器学习模型和异常检测来识别异常行为，比如用户从无法识别的IP地址访问网络，用户从与其角色无关的敏感文档存储库下载大量知识产权（IP），或者流量从组织没有业务往来的国家或地区的服务器发来。

2. 威胁建模：使用来自威胁情报源的数据和违反规则/策略的情况，寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。

3. 访问异常建模：确定用户是否在访问不寻常的资产或不应该访问的资产。这需要提取用户角色、访问权限及/或身份证件方面的数据。

4. 身份风险剖析：根据人力资源数据、观察名单或外部风险指标，确定事件所涉及的用户风险级别。例如，最近没有被公司考虑升职的员工也许更有可能对公司怀恨在心，企图进行报复。

5. 数据分类：标记与事件有关的所有相关数据，如涉及的事件、网段、资产或账户，为安全团队提供上下文信息。

目前，基于行为风险分析的技术已广泛在网络安全检测产品中进行应用。由聚铭网络自主研发的聚铭网络流量智能分析审计系统，结合了失陷分析、威胁情报分析、异常行为分析、未知威胁分析、网络异常分析、域名异常分析、攻击威胁特征分析、隐蔽通道分析八大分析引擎，为客户在面临高级威胁入侵时，及时察觉，及时止损。

在异常行为分析引擎中，系统异常流量检测分析功能集成聚铭网络自主研发的智能动态基线、模式信息熵等生成算法，通过一段时间对学习对象流量特征分析、建模，智能生成该对象多维度的网络特征，实施多维度的纵深检测机制，有效增加检测的准确性，降低误报概率。

其中，未授权连接可根据当前网络环境配置学习周期、学习的源目的地址类型以及产生事件的名称和级别，通过机器学习智能识别出网络内正常的流量加以记录，将学习到的流量进行建模。

学习过程中不对连接进行检测，学习结束后，当前界面列表中展示学习到的正常流量的ip总量，每小时统计一次。通过记录的正常流量对全流量连接进行检测，建模后未记录的流量被检测到时，就会上报用户定义的名称为发现新连接的安全事件。

未授权连接的使用价值在于：

1、学习地址设置为外到内，能更快的发现外来入侵网络，只要有非正常范围的会话来到就会对应产生一条发现新连接的安全事件，在第一时间内就能发现外来的访问，从而对这种外来连接进行阻断以免产生更严重的后果；

2、学习地址设置成内到内，能检查私拉网线的情况，起到保护内网安全的作用；

3、学习地址设置为内到外，出现发现未连接安全事件时，则可以与已有功能态势感知中的失陷功能联动起来确认当前ip地址对应的主机或者服务器失陷情况，尽快对失陷的ip进行阻断。【更多精彩可关注“聚铭网络”公众号】