附录 L:信息内容函数
编辑附录 L:信息内容函数
编辑信息内容函数检测存储桶中字符串所包含的信息量中的异常情况。当分析数据字节大小可能不足以识别数据泄露或 C2C 活动时,可以使用这些函数作为更复杂的方法。
机器学习功能包括以下信息内容函数:
-
info_content
、high_info_content
、low_info_content
Info_content、High_info_content、Low_info_content
编辑info_content
函数检测存储桶中字符串所包含的信息量中的异常情况。
如果您想监控异常高的信息量,请使用 high_info_content
。如果您想查看信息内容下降的情况,请使用 low_info_content
。
这些函数支持以下属性:
-
field_name
(必填) -
by_field_name
(可选) -
over_field_name
(可选) -
partition_field_name
(可选)
有关这些属性的更多信息,请参阅创建异常检测作业 API。
示例 1:使用 info_content 函数分析子域名字符串。
{ "function" : "info_content", "field_name" : "subdomain", "over_field_name" : "highest_registered_domain" }
如果您在异常检测作业的检测器中使用此 info_content
函数,它将对 subdomain
字符串中存在的信息进行建模。它会检测信息内容与其它 highest_registered_domain
值相比不寻常的异常情况。异常情况可能表明 DNS 协议遭到滥用,例如恶意命令和控制活动。
在此示例中,高值和低值都被视为异常。在许多用例中,high_info_content
函数通常是更合适的选择。
示例 2:使用 high_info_content 函数分析查询字符串。
{ "function" : "high_info_content", "field_name" : "query", "over_field_name" : "src_ip" }
如果您在异常检测作业的检测器中使用此 high_info_content
函数,它将对 DNS 查询字符串中保留的信息内容进行建模。它会检测 src_ip
值,其中信息内容与其它 src_ip
值相比异常高。此示例与 info_content
函数的示例类似,但它仅报告信息内容高于预期值的异常情况。
示例 3:使用 low_info_content 函数分析消息字符串。
{ "function" : "low_info_content", "field_name" : "message", "by_field_name" : "logfilename" }
如果您在异常检测作业的检测器中使用此 low_info_content
函数,它将对每个 logfilename
的消息字符串中存在的信息内容进行建模。它会检测信息内容与其过去行为相比较低的异常情况。例如,此函数会检测一组滚动日志文件中信息量异常低的情况。低信息量可能表明进程已进入无限循环或日志记录功能已被禁用。