网络安全运营和事件管理(十):分析方法

admin 2023年3月18日20:28:46评论4 views字数 520阅读1分44秒阅读模式

《网络安全知识体系》

安全运营和事件管理(九)

分析:分析方法


3 分析:分析方法

根据不同的策略分析收集的跟踪,这些策略旨在将“良好”事件与指示攻击的事件区分开来。Denning的基本工作已经定义了多年来一直被研究,开发和商业化的两个数据分析技术家族。滥用检测(首先详细介绍)旨在描述跟踪中存在的恶意行为,以便在恶意行为事件集为反之,异常检测旨在表征“正常”行为,并在跟踪中的事件s与正常无关时发送警报。行为。在这两种情况下,科学文献中都描述了大量的算法。其中一些算法已应用于误用和异常检测

SOIM流程中,如图1所示,分析由传感器和SIEM平台这两个组件执行。图4优化了此过程。受监控的信息系统以日志文件的形式或通过专用的IDPS设备或软件(如图2中显示为看玻璃盒和文件)生成代表活动的跟踪。每个跟踪中的一个或多个事件可能会触发传感器发出警报。其中几个警报可能来自多个传感器,可能由SIEM在需要由操作员处理的事件中组装。

在本节中,KA解决了警报中事件的转换,这些事件可能是恶意活动的特征。在第4节中,KA解决了事件中警报的转换。

网络安全运营和事件管理(十):分析方法


图4:分析:从事件警报再到事件

原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(十):分析方法

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月18日20:28:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全运营和事件管理(十):分析方法 https://cn-sec.com/archives/1225852.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: