风险对象介绍
风险对象功能对检测对象的会话特征进行多维度监控统计,根据检测结果,结合检测对象的历史统计数据、威胁相关信息,对检测对象的健康状况进行综合分析,告知用户现网状态,并对未知风险、未来风险进行预判报警。风险对象功能相关概念解释如下:
- 检测对象:可配置风险对象功能的对象,当前支持3种检测对象:子网、主机/服务器、服务。
- 参量:会话的基本统计指标,例如每秒内连入流量。参量统计值是判断特定对象是否异常的基本条件。
- 基线:判定参量是否正常的参考值。基线值由系统根据参量的历史数据计算得出。
- 参量异常:当参量值高于上限阈值或者低于下限阈值时,参考值即被判断为异常。此时系统会发出异常告警。上下限阈值可用户手动配置,也可由系统根据历史数据学习生成。
- 异常行为:当检测对象的多个参量发生异常时,系统将分析其参量异常的关联关系,判断检测对象是否产生了异常行为。若判定存在异常行为,系统会发出异常行为告警。
- 敏感度:用户指定的对异常的敏感程度,在不指定上下限阈值的情况下,敏感度数值越小,系统越难检测出异常(系统的默认阈值会根据敏感度的变化而变化以达到指定的敏感效果)。
- 健康评分:反映检测对象在最近一天内的健康状况。该评分有健康(80到100分)、亚健康(50到80分)、非健康(50分以下)三档,根据检测对象的威胁状况(主要针对主机/服务器)、流量的异常情况(参量异常、行为异常)综合计算得出。
- 异常分析特征库:异常分析特征库包含异常相关信息,包括异常描述、异常原因以及异常建议等。异常分析特征库帮助用户分析以及解决异常。默认情况下,StoneOS会每日自动更新异常分析特征库,用户可以根据需要更改异常分析特征库更新配置。StoneOS支持在线更新和本地更新两种方式供用户进行选择。