网络活动进程怎么判断异常？

1. 了解网络

在收集数据之前，企业需要知道“正常”行为是什么样的。Larsen只从Blue Coat的K9网络获取了5%的数据，因为这些是表现异常的行为。

托管安全供应商Dell Secureworks安全战略主管Jeff Williams表示，企业也需要这样做，通过分析其网络，企业就可以知道哪些行为属于异常行为，找出他们需要注意的5%的数据。

“如果你了解你的网络，知道哪些系统应该和哪些其他系统通信，以及它们之间的通信情况，应该发生的频率等，都能够帮助了解何为‘正常行为’，”他表示，“只有你了解何为正常行为，才能够找出异常行为。”

2. 收集所有数据

企业还需要配置其防火墙和其他设备来收集正确的数据。在很多情况下，企业只会存储丢弃的流量，因为他们认为这些数据是最有趣的。但防火墙管理公司FireMon首席技术官Jody Brazil表示，最严重的攻击往往能够穿过防火墙。

他表示，企业通常会禁用最常用的防火墙规则上的日志，很多时候因为防火墙负担过重。

Brazil表示：“如果防火墙在做自己的工作以及丢弃流量，而你信任你购买的这个技术，那我们为什么要将重点放在被丢弃的流量，而不是通过防火墙的流量?”

3. 找出愚蠢的异常行为

很多安全团队试图找出每个进入其网络的威胁，他们很快就会不堪重负。事实上，企业应该从简单的入手，找出那些看似愚蠢的异常行为，首先弄清楚是怎么回事。

Blue Coat的Larsen只注重那些最“招摇”的异常流量来减少其团队的工作量。在其RSA大会的展示中，他查看了访问了被列为“可疑网站”的用户，随后设置了更高的标准，检查点击超过30个可疑网站的10名用户，其中一名用户访问了37次包含35个x的.com顶级域名。他试图找出异常行为中的异常行为，这往往可能是真正的目标。

4. 结合威胁情报

很多时候，安全团队并不需要大量流量来发现恶意活动，而是流量的来向或去向。免费的黑名单和威胁数据源，再结合企业的防火墙日志，往往就能够找出恶意攻击。

Brazil表示，现在有很多像样的威胁情报源，以及廉价的工具，企业可以结合这两者与其防火墙数据来找出恶意活动。

5.回过头来检查

Blue Coat的Larsen表示，收集