《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 機(jī)器學(xué)習(xí)在安全態(tài)勢(shì)感知平臺(tái)中的應(yīng)用實(shí)踐

機(jī)器學(xué)習(xí)在安全態(tài)勢(shì)感知平臺(tái)中的應(yīng)用實(shí)踐

2021-08-03
來源:安全牛

  態(tài)勢(shì)感知安全分析過程中,通常由前端探針上報(bào)安全事件,如若探針配置不當(dāng),則會(huì)出現(xiàn)大量錯(cuò)誤信息。平臺(tái)分析這些信息后,自然很容易造成安全事件的誤報(bào),不僅妨礙安全運(yùn)營(yíng)團(tuán)隊(duì)的正常判斷,還需要耗費(fèi)大量精力進(jìn)行二次排查處理。一些不成熟的態(tài)勢(shì)感知平臺(tái)往往還會(huì)忽略事件處理后的及時(shí)反饋動(dòng)作,安全事件分析系統(tǒng)無法從過去的誤報(bào)中吸取經(jīng)驗(yàn),造成誤報(bào)事件依然誤報(bào)的場(chǎng)面。

  為了應(yīng)對(duì)以上誤報(bào)難題,新華三態(tài)勢(shì)感知團(tuán)隊(duì)基于機(jī)器學(xué)習(xí)算法,研發(fā)出灰色事件分析處置引擎,能夠降低安全事件誤報(bào)率的同時(shí),不斷優(yōu)化自學(xué)習(xí)處理能力,做到有效識(shí)別誤報(bào),快速剔除誤報(bào),準(zhǔn)確定位真實(shí)安全威脅,提高安全運(yùn)維效率。

  應(yīng)用原理

  態(tài)勢(shì)感知灰色事件分析處置引擎核心目是輔助安全運(yùn)營(yíng)團(tuán)隊(duì)對(duì)安全事件進(jìn)行誤報(bào)分析和自動(dòng)化處置,通過對(duì)態(tài)勢(shì)感知平臺(tái)中安全事件狀態(tài)的“未處理”、“已處理”、“忽略(自動(dòng)忽略、手動(dòng)忽略)”的數(shù)據(jù)進(jìn)行分類分組,然后通過灰色事件分析模型進(jìn)行分析,智能分析出其中的灰色事件,結(jié)合處置經(jīng)驗(yàn),進(jìn)行準(zhǔn)確判定。主要步驟如下:

  1)安全事件數(shù)據(jù)分類器,根據(jù)不同安全事件場(chǎng)景,對(duì)安全事件數(shù)據(jù)進(jìn)行分類;

  2)灰色事件判定模型,基于新華三云端運(yùn)維平臺(tái)海量數(shù)據(jù),訓(xùn)練AI模型,得出機(jī)器學(xué)習(xí)判定的經(jīng)驗(yàn)閾值參數(shù),對(duì)安全事件進(jìn)行判定;

  3)用戶處置判定模型,基于人工對(duì)安全事件進(jìn)行的處置記錄歷史知識(shí),對(duì)安全事件進(jìn)行判定;

  4)對(duì)安全事件中的灰色事件自動(dòng)化處置,誤報(bào)事件會(huì)自動(dòng)處置為自動(dòng)忽略;非誤報(bào)事件基于判定模型會(huì)進(jìn)行狀態(tài)重新判別。

  灰色事件分析處置流程圖

  實(shí)際案例

  某態(tài)勢(shì)感知平臺(tái)用戶,通過灰色事件分析處理技術(shù),結(jié)合日常的處置經(jīng)驗(yàn),快速自動(dòng)識(shí)別誤報(bào)事件,有效提升了真實(shí)安全事件的處置效率。

  現(xiàn)場(chǎng)平臺(tái)上有3684條安全事件,經(jīng)過態(tài)勢(shì)感知灰色事件分析引擎,利用泊松分布和C段分布算法分析,識(shí)別出1235條灰色事件,其中源為內(nèi)網(wǎng)單一源目的事件為512條、源為內(nèi)網(wǎng)的同一目的多源安全事件為358條、源為外網(wǎng)的非特殊事件為365條,總占比33.5%。

  態(tài)勢(shì)感知平臺(tái)上安全事件會(huì)對(duì)灰色引擎判定的安全事件自動(dòng)處理:

  通過實(shí)際應(yīng)用,驗(yàn)證了勢(shì)感知灰色事件分析處理引擎能夠有效提高安全運(yùn)營(yíng)人員對(duì)安全事件的處置效率,并豐富安全運(yùn)營(yíng)人員處置安全事件的歷史經(jīng)驗(yàn)知識(shí),減少因事件誤報(bào)造成的多余人力資源投入,提高運(yùn)營(yíng)效率。

  安全牛評(píng)

  安全事件誤報(bào)一直是讓安全管理者頭疼的問題,傳統(tǒng)的通過白名單或者基線策略降噪方式采用的是靜態(tài)機(jī)制,可能會(huì)造成安全事件漏報(bào)或漏處理的情況。基于人工分析的安全事件策略更新則會(huì)帶來龐大的工作量,且存在時(shí)延的問題。因此,自適應(yīng)的機(jī)器學(xué)習(xí)算法將成為未來降低誤報(bào)率的發(fā)展趨勢(shì)。

  我們認(rèn)為,新華三灰色事件處理機(jī)器學(xué)習(xí)算法的特點(diǎn)在于可以通過實(shí)際案例經(jīng)驗(yàn)為用戶提供針對(duì)性的降噪模型,另一方面通過其云端運(yùn)維平臺(tái)的海量數(shù)據(jù),可以對(duì)模型進(jìn)行全方位訓(xùn)練,能夠幫助用戶降低安全事件的誤報(bào)率。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。