我们使用基于异常的检测引擎。肯定有很高的误报率，学习阶段可能会占用大量时间。根据我的经验，操作系统和应用程序感知的 IDS 仍然是更好的选择。虽然我们发现了一些有趣的东西，但除非您有工作人员来维护它并筛选所有误报，否则它没有用。我会说他们来了，但并不适合所有人。

问题通常是定义可以检测异常的“正常”流量。从过去的研究来看，集成分类器似乎在降低误报方面最有效。我自己研究了很多这些算法，但仍在大量研究中。另一个领域是结合 IDS 和事件响应技术的人工免疫系统。

查看正在使用的多个分类器：http ://roberto.perdisci.com/projects/mcpad 这是一篇关于人工免疫系统的论文：http ://www.cs.unm.edu/~forrest/publications/hofmeyr_forrest.pdf

金融部门部署的欺诈检测工具背后的技术在异常检测方面有多好？

金融部门已开始采用 Web 应用防火墙 (WAF)。对于这种类型的环境，您会发现使用更多商业化产品，例如Imperva（参见http://www.imperva.com/products/wsc_web-application-firewall.html）Baracuda（参见http://www.barracudanetworks .com/ns/products/web-site-firewall-overview.php?gclid=CJTV3_yszqUCFcxO4Qod9TzUkA）甚至思科（http://www.cisco.com/en/US/products/ps9586/index.html）。我的经验是使用 Imperva，所以我不能谈论其他产品。

然而，我发现，虽然很容易将项目资金出售给高级管理人员以购买可以完全保护您的应用程序的漂亮和酷炫的新安全设备（辩论！），但问题是在资金用完之前学习阶段已经完成。当 WAF 应该保护的应用程序基于非常复杂的业务逻辑时，这将是一个更大的问题。

发生这种情况时，结果是 WAF 仅处于监控模式，没有设备本应提供的实时保护。

从积极的角度来看（并且从经验来看！！），即使 WAF 处于监控模式，在事件响应期间也可能至关重要——即使这是以 csv 格式捕获整个攻击的日志记录源。;-)