In cybersecurity, Anomaly-Based Detection is a technique that identifies potential threats by spotting deviations from "normal" behavior. Unlike traditional methods that look for specific "fingerprints" of known viruses, this approach focuses on the context and patterns of activity to find things that just don't belong.
How It Works: The Two Phases
To find an anomaly, the system must first know what "normal" looks like. It typically operates in two distinct phases:
1. The Training Phase (Establishing a Baseline)
During this stage, the system monitors the network or host for a period of time to build a profile of normal activity. It gathers data on:
Standard working hours for specific users.
Typical volume of data transferred.
Commonly accessed files and servers.
Standard protocols and ports used.
2. The Monitoring Phase (Deviation Detection)
Once the baseline is set, the system compares live activity against it. If a data point falls outside the established "mathematical boundaries" or statistical norms, it triggers an alert.
Detailed Examples of Anomalies
1. "Impossible Travel" (User Behavior)
A user logs in from an office in New York at 9:00 AM. Ten minutes later, the same account attempts to log in from Singapore.
Why it's flagged: Since it is physically impossible to travel that distance in ten minutes, the system flags this as a potential credential theft or session hijack.
2. Midnight Data Exfiltration (Network Traffic)
A marketing employee’s computer typically uploads about 50MB of data to the cloud during work hours. Suddenly, at 3:00 AM on a Sunday, that same computer begins uploading 10GB of encrypted data to an unknown IP address in a different country.
Why it's flagged: The volume, the time of day, and the destination are all extreme deviations from the "marketing employee" baseline.
3. Lateral Movement (Internal Probing)
A workstation in the HR department, which normally only communicates with the payroll server, suddenly starts trying to "ping" or connect to multiple servers in the Engineering and Research & Development departments.
Why it's flagged: This is a classic sign of an attacker who has compromised one machine and is now "looking around" (reconnaissance) to find more valuable targets.
4. Dormant Account Activity
An administrator account that has been inactive for six months suddenly logs in and starts changing permissions on the company's main database.
Why it's flagged: The baseline for this account is "zero activity." Any sudden burst of high-privilege actions is highly suspicious.
Anomaly-Based vs. Signature-Based Detection
| Feature | Signature-Based (Traditional) | Anomaly-Based (Modern/AI) |
| Logic | "Does this look like a known threat?" | "Does this look different from normal?" |
| Best For | Detecting known malware/viruses. | Detecting Zero-Day (unknown) exploits. |
| Pros | Very fast; Low false-positive rate. | Proactive; Can catch "stealthy" insiders. |
| Cons | Blind to new, never-seen-before attacks. | Can have high False Positives (flagging unusual but legal work). |
Why is it used?
Zero-Day Protection: It is the only way to catch attacks that have no existing signature (brand-new malware).
Insider Threats: It can detect a disgruntled employee stealing data, even if they are using their legitimate login credentials.
Polymorphic Malware: It catches malware that changes its own code to avoid signature-based scanners, because the behavior of the malware (encrypting files, etc.) remains anomalous.
సైబర్ సెక్యూరిటీలో అనామలీ-ఆధారిత గుర్తింపు (Anomaly-Based Detection) అనేది సాధారణ ప్రవర్తన (Normal Behavior) నుండి విభిన్నంగా ఉండే పనులను గుర్తించే ఒక పద్ధతి. సులభంగా చెప్పాలంటే, ఒక సిస్టమ్ లేదా నెట్వర్క్లో "సాధారణంగా జరిగే పనులు ఏవి?" మరియు "అసాధారణంగా జరిగే పనులు ఏవి?" అనే తేడాని బట్టి ఇది ముప్పులను గుర్తిస్తుంది.
సాంప్రదాయ పద్ధతులు తెలిసిన వైరస్ల "ఫింగర్ప్రింట్స్" (Signatures) కోసం వెతుకుతాయి, కానీ ఈ పద్ధతి ప్రవర్తన (Behavior) మీద దృష్టి పెడుతుంది.
ఇది ఎలా పని చేస్తుంది? (రెండు దశలు)
ఒక పని అసాధారణమైనదా కాదా అని చెప్పాలంటే, ముందుగా "సాధారణం" అంటే ఏమిటో సిస్టమ్కు తెలియాలి. దీనికోసం ఇది రెండు దశల్లో పనిచేస్తుంది:
1. శిక్షణ దశ (Training Phase - బేస్లైన్ ఏర్పాటు)
ఈ దశలో, సిస్టమ్ నెట్వర్క్ను కొంతకాలం పరిశీలించి ఒక "బేస్లైన్" (Baseline) సిద్ధం చేస్తుంది. అంటే:
యూజర్లు సాధారణంగా ఏ సమయంలో లాగిన్ అవుతారు?
రోజుకు ఎంత డేటా ట్రాన్స్ఫర్ అవుతుంది?
ఏ ఏ ఫైల్స్ లేదా సర్వర్లను ఎక్కువగా ఉపయోగిస్తారు?
2. పర్యవేక్షణ దశ (Monitoring Phase - విచలనాన్ని గుర్తించడం)
బేస్లైన్ సిద్ధమైన తర్వాత, సిస్టమ్ నిరంతరం పర్యవేక్షిస్తుంది. ఏదైనా పని ముందే నిర్ణయించిన "సాధారణ పరిమితుల" కంటే భిన్నంగా ఉంటే, వెంటనే అలర్ట్ చేస్తుంది.
అనామలీ-ఆధారిత గుర్తింపుకు ఉదాహరణలు
1. అసాధ్యమైన ప్రయాణం (Impossible Travel)
ఒక యూజర్ ఉదయం 9:00 గంటలకు హైదరాబాద్ నుండి లాగిన్ అయ్యారు. సరిగ్గా పది నిమిషాల తర్వాత, అదే అకౌంట్ నుండి అమెరికా లో లాగిన్ అవ్వడానికి ప్రయత్నం జరిగింది.
ఎందుకు గుర్తిస్తుంది: 10 నిమిషాల్లో అంత దూరం వెళ్లడం అసాధ్యం. కాబట్టి, ఆ యూజర్ పాస్వర్డ్ ఎవరో దొంగిలించారని సిస్టమ్ అనుమానిస్తుంది.
2. అర్ధరాత్రి భారీ డేటా బదిలీ (Network Traffic)
ఒక ఆఫీస్ ఉద్యోగి కంప్యూటర్ నుండి రోజుకు 50MB డేటా మాత్రమే క్లౌడ్లోకి వెళ్తుంది. కానీ ఒక ఆదివారం అర్ధరాత్రి 3:00 గంటలకు, అదే కంప్యూటర్ నుండి 10GB డేటా విదేశీ ఐపీ అడ్రస్కు వెళ్తోంది.
ఎందుకు గుర్తిస్తుంది: సమయం, డేటా పరిమాణం (Volume) మరియు వెళ్తున్న ప్రదేశం.. ఇవన్నీ బేస్లైన్ కంటే చాలా భిన్నంగా ఉన్నాయి.
3. అంతర్గత గూఢచర్యం (Lateral Movement)
HR విభాగంలోని ఒక కంప్యూటర్ సాధారణంగా పేరోల్ సర్వర్తో మాత్రమే కనెక్ట్ అవుతుంది. కానీ అకస్మాత్తుగా ఆ కంప్యూటర్ ఇంజనీరింగ్ లేదా రీసెర్చ్ సర్వర్లలోకి చొరబడటానికి ప్రయత్నిస్తోంది.
ఎందుకు గుర్తిస్తుంది: ఆ కంప్యూటర్ యొక్క పరిమితి దాటి కొత్త సర్వర్లను వెతకడం అసాధారణ ప్రవర్తనగా పరిగణించబడుతుంది.
4. నిద్రాణమైన అకౌంట్ల యాక్టివిటీ (Dormant Account)
గత ఆరు నెలలుగా వాడకంలో లేని ఒక అడ్మిన్ అకౌంట్, అకస్మాత్తుగా లాగిన్ అయ్యి డేటాబేస్ పర్మిషన్లను మార్చడం ప్రారంభించింది.
ఎందుకు గుర్తిస్తుంది: ఆ అకౌంట్ ప్రవర్తన ప్రకారం అది "సున్నా యాక్టివిటీ"లో ఉండాలి. ఒక్కసారిగా కీలక మార్పులు చేయడం అనుమానాస్పదం.
సిగ్నేచర్ వర్సెస్ అనామలీ గుర్తింపు
| ఫీచర్ | సిగ్నేచర్-ఆధారిత (Signature-Based) | అనామలీ-ఆధారిత (Anomaly-Based) |
| తర్కం | "ఇది పాత వైరస్లా ఉందా?" | "ఇది సాధారణం కంటే భిన్నంగా ఉందా?" |
| ప్రయోజనం | తెలిసిన వైరస్లను ఆపుతుంది. | కొత్త రకం (Zero-day) దాడులను గుర్తిస్తుంది. |
| లాభం | తక్కువ తప్పుడు హెచ్చరికలు. | తెలియని ముప్పుల నుండి రక్షణ. |
| లోపం | కొత్త వైరస్లను గుర్తించలేదు. | అప్పుడప్పుడు సాధారణ పనులను కూడా తప్పుగా గుర్తించవచ్చు. |
దీని వల్ల లాభం ఏమిటి?
కొత్త దాడుల గుర్తింపు (Zero-Day Attacks): మార్కెట్లోకి కొత్తగా వచ్చిన, ఇంకా ఎవరికీ తెలియని వైరస్లను కూడా ఇది పసిగట్టగలదు.
లోపలి వ్యక్తుల నుండి రక్షణ: కంపెనీలో పనిచేసే వారే డేటా దొంగిలించడానికి ప్రయత్నిస్తే, వారి ప్రవర్తనలోని మార్పుల ద్వారా వారిని పట్టుకోవచ్చు.
No comments:
Post a Comment
Note: only a member of this blog may post a comment.