附录 L:信息内容函数

编辑

信息内容函数检测存储桶中字符串所包含的信息量中的异常情况。当分析数据字节大小可能不足以识别数据泄露或 C2C 活动时,可以使用这些函数作为更复杂的方法。

机器学习功能包括以下信息内容函数:

  • info_contenthigh_info_contentlow_info_content

Info_content、High_info_content、Low_info_content

编辑

info_content 函数检测存储桶中字符串所包含的信息量中的异常情况。

如果您想监控异常高的信息量,请使用 high_info_content。如果您想查看信息内容下降的情况,请使用 low_info_content

这些函数支持以下属性:

  • field_name (必填)
  • by_field_name (可选)
  • over_field_name (可选)
  • partition_field_name (可选)

有关这些属性的更多信息,请参阅创建异常检测作业 API

示例 1:使用 info_content 函数分析子域名字符串。

{
  "function" : "info_content",
  "field_name" : "subdomain",
  "over_field_name" : "highest_registered_domain"
}

如果您在异常检测作业的检测器中使用此 info_content 函数,它将对 subdomain 字符串中存在的信息进行建模。它会检测信息内容与其它 highest_registered_domain 值相比不寻常的异常情况。异常情况可能表明 DNS 协议遭到滥用,例如恶意命令和控制活动。

在此示例中,高值和低值都被视为异常。在许多用例中,high_info_content 函数通常是更合适的选择。

示例 2:使用 high_info_content 函数分析查询字符串。

{
  "function" : "high_info_content",
  "field_name" : "query",
  "over_field_name" : "src_ip"
}

如果您在异常检测作业的检测器中使用此 high_info_content 函数,它将对 DNS 查询字符串中保留的信息内容进行建模。它会检测 src_ip 值,其中信息内容与其它 src_ip 值相比异常高。此示例与 info_content 函数的示例类似,但它仅报告信息内容高于预期值的异常情况。

示例 3:使用 low_info_content 函数分析消息字符串。

{
  "function" : "low_info_content",
  "field_name" : "message",
  "by_field_name" : "logfilename"
}

如果您在异常检测作业的检测器中使用此 low_info_content 函数,它将对每个 logfilename 的消息字符串中存在的信息内容进行建模。它会检测信息内容与其过去行为相比较低的异常情况。例如,此函数会检测一组滚动日志文件中信息量异常低的情况。低信息量可能表明进程已进入无限循环或日志记录功能已被禁用。