不寻常的账户行为、奇怪的网络模式、不明原因的配置更改等都可能表明潜在的攻击。为了更快地发现数据泄露事故，安全专家可以检查其IT环境中的异常 活动。这些不寻常的活动通常可以帮助企业更快地发现系统上的攻击活动，以防止最终的数据泄露事故的发生，或者至少在最初阶段阻止攻击。

下面是企业应该关注的15个迹象，这些迹象可能表明潜在的攻击活动：

1、不寻常的出站网络流量

也许最大的迹象就是不寻常的出站网络流量。

“常见的误解是网络内部的流量都是安全的，”AlgoSec公司高级安全战略家Sam Erdheim表示，“查看离开网络的可疑的流量，我们不仅要关注进入网络的流量，而且还要注意出站流量。”

对于现代攻击，企业很难阻止攻击者进入网络，因此，企业更应该关注出站流量。NetIQ公司解决方案战略主管Geoff Webb表示：“所以，最好的办法是检查网络内部的活动，以及检查离开网络的流量。受攻击的系统通常会呼叫命令控制服务器，你可以密切关注这种流量，以阻止攻击。”

2、特权用户账户活动异常

在精心策划的攻击中，攻击者要么提升他们已经攻击的账户的权限，要么使用攻击的账户进入更高权限的其他账户。从特权账户查看不寻常的账户行为不仅能够发现内部攻击，而且还可以发现账户被控制。

Webb表示，“特权用户行为的变化可能表明其他人正在使用该账户来攻击你的网络，企业应该关注账户变化，例如活动时间、访问的系统，访问的信息的类型或数量。”

3、地理异常

无论是否是通过特权账户，登录和访问中的地理异常也可以表明攻击者正在试图从很远的地方进行攻击。例如，企业发现正在与没有业务往来的国家之间的流量往来时，应该进行调查。

ThreatTrack Security公司安全内容管理主管Dodi Glenn表示，同时，当账户在短时间内从世界各地不同IP登录，这可能是攻击的迹象。

4、登录异常和失败

登录异常和失败可以提供很好的线索来发现攻击者对网络和系统的探测。

Beachhead Solutions公司产品专家Scott Pierson表示，多次登录失败也可能标志着攻击的发生，检查使用不存在的用户账户的登录，这通常表明有人试图猜测用户的账户信息以及获得身份验证。

同样的，在下班时间尝试获得成功登录也可能表明，这不是真正的员工在访问数据。企业应该对此进行调查。

5、数据库读取量激增

当攻击者入侵企业并试图渗出信息时，你可能会发现数据存储中的变化。其中之一就是数据库读取量激增。瞻博网络首席软件架构师Kyle Adams表示：“当攻击者试图提取完整的信用卡数据时，他会产生巨大的读取量，这肯恩比你通常看到的信用卡读取高出很多。”

6、HTML响应大小

Adams还表示，如果攻击者使用SQL注入来通过web应用程序提取数据的话，攻击者发出的请求通常会包含比正常请求更大的HTML响应。

他表示：“例如，如果攻击者提取全部的信用卡数据库，那么，对攻击者的单个响应可能会是20MB到50MB，而正常响应是200KB。”

7、大量对相同文件的请求

攻击者需要进行大量的试验和犯错才能发动攻击，他们需要尝试不同的漏洞利用来找到一个入口。当他们发现某个漏洞利用可能会成功时，他们通常会使用不同的排列组合来启动它。

Adams表示，“因此，他们攻击的URL可能在每个请求上会有所改变，但实际的文件名部分可能会保持不变，你可能会看到单个用户或IP对‘join.php’进行500次请求，而正常情况下，单个IP或用户最多只会请求几次。”

8、不匹配的端口应用流量

攻击者经常利用模糊的端口来绕过更简单的web过滤技术。所以，当应用程序使用不寻常的端口时，这可能表明命令控制流量正在伪装成“正常”的应用程序行为。

Rook Consulting公司SOC分析师Tom Gorup表示，“我们可能会发现受感染的主机发送命令控制通信到端口80，它们伪装成DNS请求，乍一看，这些请求可能像是标准DNS查询;然而，你仔细看的话，你会发现这些流量通过非标准的端口。”

(责任编辑：)