程式行為分析 v.s. 日誌行為分析

資料來源 : 啄木科技

前言

近年來針對政府機關以及企業的攻擊頻傳，常見有政府機關所存放的資料遭到外洩，被駭客透過管道販售(例如:暗網)，同時知名大廠受到勒索病毒威脅的新聞亦不罕見。這些單位可謂是駭客眼中最重要的目標，因為一旦成功入侵，往往可以從中獲得龐大的利益，且規模越大的公司就越容易成為目標，畢竟營收越高，能要求的贖金往往也就越多。 另一方面，從企業的角度來看，在遭到入侵後可能會造成巨大的損失。除了機密資料如技術文件、人事資料等可能遭外洩，若是檔案被加密而無法存取，甚至將造成產線停擺。而無論實際損失輕重如何，資安事件對單位造成的信譽損失都無法忽視。如今資安防護已逐漸成為各組織/企業所重視的項目，除了防毒軟體之外，可能還會添購類似SIEM(Security Information and Event Management)的日誌統整或行為分析產品。雖然這兩類產品都可以發掘異常或惡意行為，但所處理的面向則相當不同，以下將介紹並比較這兩類產品的主要差異。

程式行為分析

程式行為分析通常著重在單一系統上，利用已知的病毒特徵與行為做偵測，分析程式特徵或程式執行中的行為。常見的行為如網路連線、檔案讀寫操作、新增或修改登錄值等。

日誌行為分析

透過系統設定或是安裝特定軟體後可以得到各種軟體的日誌(比如IIS伺服器、防毒軟體、DHCP伺服器)，日誌行為分析便是將這些蒐集來的日誌處理過後再分析。這其中可能包含了部分的程式行為紀錄(將觀測到的程式行為結果寫進日誌)，所以廣義上日誌行為分析可能包含了部分程式行為分析。而由於日誌蒐集的全面性較高，日誌行為分析除了對惡意軟體的行為分析外，還可以囊括諸如網路設備、使用者操作行為等要素，所呈現的結果往往也比程式行為分析來得更具體。

兩相比較

 下表大致上列出兩者之間的差異：

整體而言，單單只有程式行為分析是不夠的，程式行為分析往往是當下或者是短時間內的行為，對於需要長期觀察才能判斷的事件容易有所遺漏。此外，有些分析需要從多臺設備著手，只看其中一臺稍嫌不足；這一點由於日誌行為分析是分析多個設備上所收集的資料，可以結合網路設備以及多臺設備上的使用者行為與程式行為，所以能夠做出更準確的偵測。舉例而言，若想偵測是否有內部成員偷偷洩漏內部機密，那麼程式行為分析所能提供的能見度往往有限，而日誌行為分析將能提供更大的可見度。當然，日誌行為分析也是有缺點的，它所需要的儲存空間往往比程式行為分析大很多，但對於大企業來說，儲存空間與更完善的偵測兩者之間的取捨，往往會選擇後者。