附录 L：信息内容函数

信息内容函数检测存储桶中字符串包含的信息量的异常。当分析数据的大小（以字节为单位）可能不够时，这些函数可用作识别数据泄露或 C2C 活动事件的更复杂方法。

机器学习功能包括以下信息内容函数

info_content 函数检测存储桶中字符串包含的信息量的异常。

如果要监控异常高的信息量，请使用 high_info_content。如果要查看信息内容的下降，请使用 low_info_content。

这些函数支持以下属性

有关这些属性的更多信息，请参见创建异常检测作业 API。

示例 1：使用 info_content 函数分析子域名字符串。

{
  "function" : "info_content",
  "field_name" : "subdomain",
  "over_field_name" : "highest_registered_domain"
}

如果在异常检测作业的检测器中使用此 info_content 函数，它会对 subdomain 字符串中存在的信息进行建模。它检测信息内容与其他 highest_registered_domain 值相比异常的情况。异常可能表示滥用 DNS 协议，例如恶意命令和控制活动。

示例 2：使用 high_info_content 函数分析查询字符串。

{
  "function" : "high_info_content",
  "field_name" : "query",
  "over_field_name" : "src_ip"
}

如果在异常检测作业的检测器中使用此 high_info_content 函数，它会对 DNS 查询字符串中包含的信息内容进行建模。它检测 src_ip 值，其中信息内容与其他 src_ip 值相比异常高。此示例类似于 info_content 函数的示例，但它仅在信息内容量高于预期时报告异常。

示例 3：使用 low_info_content 函数分析消息字符串。

{
  "function" : "low_info_content",
  "field_name" : "message",
  "by_field_name" : "logfilename"
}

如果在异常检测作业的检测器中使用此 low_info_content 函数，它会对每个 logfilename 的消息字符串中存在的信息内容进行建模。它检测信息内容与过去行为相比较低的情况。例如，此函数检测滚动日志文件集合中异常低的信息量。信息量低可能表示进程已进入无限循环或日志记录功能已被禁用。