流量基线与威胁建模

流量基线与威胁建模，是从 “被动特征检测” 升级到 “主动行为检测” 的关键手段，专门解决 IDS/AV 对新型攻击、无文件攻击、未知威胁漏报的问题。简单说：

• 流量基线 = 你的网络 / 业务的 “正常画像”
• 威胁建模 = 把攻击者的行为拆成可检测的模式两者结合，才能在没有攻击特征的情况下，识别出 “偏离正常的恶意行为”。

---

一、先搞懂：什么是流量基线？

流量基线是企业网络 / 业务的 “正常行为基准”，它不是一个静态值，而是一套包含时间、业务、场景的多维画像。

1. 核心维度（基线必须按这些维度细分）

表格

维度	示例
带宽 / 流量大小	Web 业务：白天高峰 100-200Mbps，夜间低谷低于 10Mbps；数据库业务：日向外 POST 数据不超过 100MB
协议 / 端口占比	HTTP/HTTPS 占比 90% 以上，SSH / 数据库端口仅内部访问，几乎无外网流量
访问关系	外网用户仅访问 Web 服务，内网主机不主动向外发起大量连接
时间模式	业务访问高峰在 9:00-18:00，非高峰时段流量极低
单主机行为	某服务器的访问 IP、请求频率、数据量，长期稳定在固定区间

2. 建立基线的 5 个关键步骤

1. 采集周期：至少采集 7-30 天的全量流量，必须覆盖业务高峰、低谷、促销、节假日等所有场景，避免用 “一周的高峰数据” 当成全年基线。
2. 特征提取：按上面的 5 个维度，分业务、分网段统计均值、方差、分位数（比如 95 分位、99 分位）。
3. 阈值设定：用统计方法（如均值 ±3σ、99 分位）设置告警阈值，避免一刀切的 “超过 X 就是异常”。
4. 基线验证：对比实际业务场景，调整阈值。比如业务促销期流量会翻倍，必须单独设置促销期基线。
5. 持续更新：业务上线新功能、扩容带宽、新增网段后，必须同步更新基线，避免用旧基线误判新业务流量。

---

二、再搞懂：什么是威胁建模？

威胁建模，就是把攻击者的目标和行为，拆解成一套可检测的行为模式，再转化为告警规则。核心是 “站在攻击者的视角，还原完整攻击链”。

1. 建模的核心框架（用 ATT&CK 拆解攻击）

以 “数据外发” 为例，完整攻击链是：

1. 目标：窃取企业核心数据
2. 攻击链：攻击者获取服务器权限 → 植入后门 / 脚本 → 建立 C2 连接 → 批量读取数据 → 压缩 / 分片 → 向外网 POST / 上传数据
3. 关键行为特征：
   • 服务器短时间内大量向外网发起 HTTPS POST 请求
   • 数据量远超正常业务基线（比如日 POST 流量从 50MB 飙升到 1GB）
   • 访问的外网 IP 是从未合作过的陌生 IP / 境外 IP
   • 请求参数含大量二进制数据（压缩包、数据分片）

2. 威胁建模的通用步骤

1. 确定防护目标：比如 Web 服务器、数据库、办公终端，明确要防护的资产和数据。
2. 识别威胁场景：比如数据外发、横向移动、勒索软件感染、DDoS 攻击。
3. 还原攻击链：用 ATT&CK 框架拆解每个场景的完整攻击路径，从 “初始访问” 到 “数据外发 / 破坏”。
4. 提取行为特征：从攻击链中，提取无法被伪装的、与正常业务差异明显的行为模式。
5. 转化为检测规则：把特征转化为 SIEM/Zeek/IDS 的告警规则，比如：text当数据库服务器的日向外POST流量 > 基线99分位（150MB），且1小时内访问超过10个不同外网IP时，触发告警
6. 验证与优化：用模拟攻击测试规则，调整阈值，避免误报（比如把备份流量误判为数据外发）。

---

三、两者结合：从 “被动防御” 到 “主动检测”

流量基线是 “正常的标尺”，威胁建模是 “异常的模式”，两者结合才能有效检测新型攻击：

表格

攻击场景	传统特征检测的局限	基线 + 威胁建模的检测逻辑
新型数据外发	没有已知攻击特征，无法识别	对比基线（数据量突增）+ 行为模式（批量 POST、陌生 IP），检测异常
慢速端口扫描	扫描速度慢，不触发 IDS 规则	对比基线（单主机访问不同 IP 的数量突增），识别异常
非高峰时段攻击	攻击发生在夜间，特征不明显	对比基线（非高峰时段流量突增）+ 行为模式（SSH 登录、文件下载），检测异常
勒索软件横向移动	攻击用合法工具（如 WMI），无恶意特征	对比基线（内网主机间 SMB/IPC 连接突增），识别异常

---

四、企业落地常见误区（避坑指南）

1. 误区 1：基线 “一刀切”，不分业务 / 时段：把所有业务的流量混在一起统计，导致 Web 业务的高峰流量被误判为异常，或数据库业务的正常备份被误判为数据外发。
2. 误区 2：基线长期不更新，业务变化后不调整：业务扩容、新功能上线后，基线还是旧的，导致大量误报。
3. 误区 3：威胁建模只关注技术，忽略业务场景：把业务的正常行为（如数据库备份、跨网段数据同步）当成攻击，导致告警泛滥。
4. 误区 4：规则设置过严，不考虑业务波动：业务促销期、结算期流量会突增，用固定阈值会导致大量误报。
5. 误区 5：只建模外部攻击，忽略内部威胁：只关注外网到内网的攻击，不关注内网员工的异常数据访问、外发行为。

---

落地实践小流程（可直接套用）

1. 梳理业务 → 2. 采集全量流量 → 3. 按维度建立基线 → 4. 用 ATT&CK 框架建模攻击场景 → 5. 提取行为特征 → 6. 转化为告警规则 → 7. 验证与优化阈值 → 8. 持续更新基线和规则