《网络安全知识体系》
安全运营和事件管理(九)
分析:分析方法
3 分析:分析方法
根据不同的策略分析收集的跟踪,这些策略旨在将“良好”事件与指示攻击的事件区分开来。Denning的基本工作已经定义了多年来一直被研究,开发和商业化的两个数据分析技术家族。滥用检测(首先详细介绍)旨在描述跟踪中存在的恶意行为,以便在恶意行为事件集为。反之,异常检测旨在表征“正常”行为,并在跟踪中的事件s与正常无关时发送警报。行为。在这两种情况下,科学文献中都描述了大量的算法。其中一些算法已应用于误用和异常检测。
在SOIM流程中,如图1所示,分析由传感器和SIEM平台这两个组件执行。图4优化了此过程。受监控的信息系统以日志文件的形式或通过专用的IDPS设备或软件(如图2中显示为看玻璃盒和文件)生成代表活动的跟踪。每个跟踪中的一个或多个事件可能会触发传感器发出警报。其中几个警报可能来自多个传感器,可能由SIEM在需要由操作员处理的事件中组装。
在本节中,KA解决了警报中事件的转换,这些事件可能是恶意活动的特征。在第4节中,KA解决了事件中警报的转换。
图4:分析:从事件到警报再到事件
原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(十):分析方法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论