多维度可扩展告警评估技术的总体框架 原始告警 回归分析 攻击意图 评分 攻击意图识别引擎 模式计数 告警聚合 图分析 行为关联 评分 关联分析引擎 低频行为 评分 时频分析引擎 预处理 时频分析 准确率 覆盖率入侵事件可遇不可求,数量稀少,而手法千变万化,很难自动提取特征 ? 实际攻击载荷中的关键字提取往往涉及复杂的安全攻防专家知识 攻击意图识别需要人工提取特征 ? 6类解码器、5组直接规则、37维特征模式 ? 特征模式主要包括敏感系统资源、函数等 ? 模式经过人工泛化,避免针对特定漏洞或工具 ? 模型受无关特征干扰很大,贵精不贵多 ? 已知相关的特征可以手动组合起来引擎二:行为关联分析 扫描探测类型 攻击手法1 攻击手法2 攻击手法3 主机1 主机2 主机3 主机n 有针对性的攻击 具有相同或者相 近的攻击特征 告警往往具有比 较独特的特征