附录 L：信息内容函数

信息内容函数检测存储桶中字符串所包含的信息量中的异常情况。当分析数据字节大小可能不足以识别数据泄露或 C2C 活动时，可以使用这些函数作为更复杂的方法。

机器学习功能包括以下信息内容函数：

info_content 函数检测存储桶中字符串所包含的信息量中的异常情况。

如果您想监控异常高的信息量，请使用 high_info_content。如果您想查看信息内容下降的情况，请使用 low_info_content。

这些函数支持以下属性：

有关这些属性的更多信息，请参阅创建异常检测作业 API。

示例 1：使用 info_content 函数分析子域名字符串。

{
  "function" : "info_content",
  "field_name" : "subdomain",
  "over_field_name" : "highest_registered_domain"
}

如果您在异常检测作业的检测器中使用此 info_content 函数，它将对 subdomain 字符串中存在的信息进行建模。它会检测信息内容与其它 highest_registered_domain 值相比不寻常的异常情况。异常情况可能表明 DNS 协议遭到滥用，例如恶意命令和控制活动。

示例 2：使用 high_info_content 函数分析查询字符串。

{
  "function" : "high_info_content",
  "field_name" : "query",
  "over_field_name" : "src_ip"
}

如果您在异常检测作业的检测器中使用此 high_info_content 函数，它将对 DNS 查询字符串中保留的信息内容进行建模。它会检测 src_ip 值，其中信息内容与其它 src_ip 值相比异常高。此示例与 info_content 函数的示例类似，但它仅报告信息内容高于预期值的异常情况。

示例 3：使用 low_info_content 函数分析消息字符串。

{
  "function" : "low_info_content",
  "field_name" : "message",
  "by_field_name" : "logfilename"
}

如果您在异常检测作业的检测器中使用此 low_info_content 函数，它将对每个 logfilename 的消息字符串中存在的信息内容进行建模。它会检测信息内容与其过去行为相比较低的异常情况。例如，此函数会检测一组滚动日志文件中信息量异常低的情况。低信息量可能表明进程已进入无限循环或日志记录功能已被禁用。