多维度可扩展的企业侧告警评估
多维度可扩展告警评估技术的总体框架
原始告警
回归分析
攻击意图
评分
攻击意图识别引擎
模式计数
告警聚合 图分析
行为关联
评分
关联分析引擎
低频行为
评分
时频分析引擎
预处理 时频分析
准确率
覆盖率入侵事件可遇不可求,数量稀少,而手法千变万化,很难自动提取特征
? 实际攻击载荷中的关键字提取往往涉及复杂的安全攻防专家知识
攻击意图识别需要人工提取特征
? 6类解码器、5组直接规则、37维特征模式
? 特征模式主要包括敏感系统资源、函数等
? 模式经过人工泛化,避免针对特定漏洞或工具
? 模型受无关特征干扰很大,贵精不贵多
? 已知相关的特征可以手动组合起来引擎二:行为关联分析
扫描探测类型
攻击手法1
攻击手法2
攻击手法3
主机1
主机2
主机3
主机n
有针对性的攻击
具有相同或者相
近的攻击特征
告警往往具有比
较独特的特征
- 2021-06-22
- 阅读150
- 下载0
- 25页
- pdf