在區分正常行為和異常行為時，直接的方法是觀察行為特徵的表現。
因此，在 Snort 產生的警報訊息中，如何辨識和判斷異常行為，是網路管理員需要考慮的重要問題。

這篇就來介紹常見的異常行為特徵～

本篇大綱
一、異常行為特徵
二、行為特徵時間分析
三、行為特徵次數分析
四、行為特徵順序分析
五、結論

一、異常行為特徵

分析異常行為特徵主要是基於人類的行為習慣原則，因為這些習慣難以改變，所以在異常偵測的理論中，行為特徵成為重要的偵測依據。
透過分析行為特徵，可以判斷出異常行為。這種分析主要涉及三個方面的考慮，分別為：

1. 行為特徵時間分析
2. 行為特徵次數分析
3. 行為特徵順序分析

接下就來一一介紹。

二、行為特徵時間分析

行為特徵時間分析涉及確定特定活動所需的時間以及完成該活動的時間。
舉例來說，想像個上班族，每天早上八點出門，八點半抵達公司，每天都花費半小時的時間。這個人的行為特徵可以被描述如下：

User Behavior:{WORK;8:00;8:30;30min}

但是，如果某一天，這個上班族八點出門，卻要到九點才到達公司，而且在公司待了一個小時，我們可以判定這位上班族發生了不尋常的行為。
因此，分析行為特徵的時間對於判斷使用者的行為習慣至關重要。

此外，行為特徵時間分析也可用於偵測在一段時間內某個事件發生的次數。在網路攻擊事件中，例如 DoS 攻擊，攻擊者會在單位時間內使某個事件的負載超過極限，從而導致系統出現問題。

三、行為特徵次數分析

行為特徵次數分析涉及使用者對某一事件的發生頻率，通常會結合時間進行分析，即單位時間內該事件發生的次數。例如，如果一個人每週平均跑步四次，我們可以記錄他的行為模式如下：

User Behavior:{RUN ; a week; 4 times}

如果這個事件屬於普遍頻繁的類別，可以將次數轉換為百分比的方式來表示。也就是說，如果一般情況下該事件平均發生五次，而該用戶只跑了四次，那麼該用戶的行為模式可以轉換如下：

User Behavior:{RUN ; a week; 4/5}

四、行為特徵順序分析

行為特徵順序分析是一種涉及較大變化的方法，因為它涉及對組合事件的分析，而不僅僅是單一事件的分析。
在行為特徵分析中，通常會有一個起始事件，也就是我們最先記錄的事件特徵。
舉例來說，考慮一個事件：某人從家裡出發前往公司。這個事件首先包括離開家的動作和時間，接著可能包括選擇交通工具的類型和時間，最後是到達公司的動作和時間等等。其特徵模型如下：

User Behavior:{[home;07:40],[bus;08:00],[office;08:40]}
User Behavior:{[home;07:30],[car;07:35],[office;08:30]}

透過以上記錄，我們可以了解每個事件的動作和發生時間，也可以記錄同一事件內部不同動作的變化，從而多重記錄使用者的行為。這種分析方法適用於涉及多個連續事件的情況，有助於更全面地了解使用者的行為習慣和模式。

五、結論

• 我們根據與來源 IP 或目的 IP （使用者）相關的警報事件的時間、頻率以及它們的組合來觀察 IP（使用者）的活動模式。
• 透過分析 IP（使用者）引發的事件組合以及資料庫中的頻次統計數據，我們可以判斷 IP 引發的事件是否具有入侵企圖或其他潛在危險。
• 透過在單位時間內對頻次進行統計，我們可以辨識出可疑 IP 的異常行為，從而採取適當的防範措施，提高網路安全性。