5.3.3 主动威胁狩猎（假设驱动、异常检测）

文档摘要

5.3.3 主动威胁狩猎（假设驱动、异常检测） 5.3.3 主动威胁狩猎（假设驱动、异常检测）在现代网络安全防御体系中，被动响应早已不足以应对日益隐蔽、复杂的高级持续性威胁（APT）。当攻击者能够绕过传统边界防护、利用合法凭证横向移动、甚至在日志中伪装成正常行为时，安全团队必须从“等待告警”转向“主动出击”。这正是主动威胁狩猎（Proactive Threat Hunting）的核心价值所在——它不是对已知威胁的响应，而是对未知威胁的探索。主动威胁狩猎并非漫无目的的数据挖掘，而是一套系统化的方法论，其两大支柱为：假设驱动（Hypothesis-Driven）与异常检测（Anomaly-Based Detection）。前者依赖安全分析师的经验与情报，构建可验证的攻击场景假设；