態(tài)勢感知安全分析過程中，通常由前端探針上報(bào)安全事件，如若探針配置不當(dāng)，則會出現(xiàn)大量錯誤信息。平臺分析這些信息后，自然很容易造成安全事件的誤報(bào)，不僅妨礙安全運(yùn)營團(tuán)隊(duì)的正常判斷，還需要耗費(fèi)大量精力進(jìn)行二次排查處理。一些不成熟的態(tài)勢感知平臺往往還會忽略事件處理后的及時(shí)反饋動作，安全事件分析系統(tǒng)無法從過去的誤報(bào)中吸取經(jīng)驗(yàn)，造成誤報(bào)事件依然誤報(bào)的場面。

　　為了應(yīng)對以上誤報(bào)難題，新華三態(tài)勢感知團(tuán)隊(duì)基于機(jī)器學(xué)習(xí)算法，研發(fā)出灰色事件分析處置引擎，能夠降低安全事件誤報(bào)率的同時(shí)，不斷優(yōu)化自學(xué)習(xí)處理能力，做到有效識別誤報(bào)，快速剔除誤報(bào)，準(zhǔn)確定位真實(shí)安全威脅，提高安全運(yùn)維效率。

　　應(yīng)用原理

　　態(tài)勢感知灰色事件分析處置引擎核心目是輔助安全運(yùn)營團(tuán)隊(duì)對安全事件進(jìn)行誤報(bào)分析和自動化處置，通過對態(tài)勢感知平臺中安全事件狀態(tài)的“未處理”、“已處理”、“忽略（自動忽略、手動忽略）”的數(shù)據(jù)進(jìn)行分類分組，然后通過灰色事件分析模型進(jìn)行分析，智能分析出其中的灰色事件，結(jié)合處置經(jīng)驗(yàn)，進(jìn)行準(zhǔn)確判定。主要步驟如下：

　　1）安全事件數(shù)據(jù)分類器，根據(jù)不同安全事件場景，對安全事件數(shù)據(jù)進(jìn)行分類；

　　2）灰色事件判定模型，基于新華三云端運(yùn)維平臺海量數(shù)據(jù)，訓(xùn)練AI模型，得出機(jī)器學(xué)習(xí)判定的經(jīng)驗(yàn)閾值參數(shù)，對安全事件進(jìn)行判定；

　　3）用戶處置判定模型，基于人工對安全事件進(jìn)行的處置記錄歷史知識，對安全事件進(jìn)行判定；

　　4）對安全事件中的灰色事件自動化處置，誤報(bào)事件會自動處置為自動忽略；非誤報(bào)事件基于判定模型會進(jìn)行狀態(tài)重新判別。

　　灰色事件分析處置流程圖

　　實(shí)際案例

　　某態(tài)勢感知平臺用戶，通過灰色事件分析處理技術(shù)，結(jié)合日常的處置經(jīng)驗(yàn)，快速自動識別誤報(bào)事件，有效提升了真實(shí)安全事件的處置效率。

　　現(xiàn)場平臺上有3684條安全事件，經(jīng)過態(tài)勢感知灰色事件分析引擎，利用泊松分布和C段分布算法分析，識別出1235條灰色事件，其中源為內(nèi)網(wǎng)單一源目的事件為512條、源為內(nèi)網(wǎng)的同一目的多源安全事件為358條、源為外網(wǎng)的非特殊事件為365條，總占比33.5%。

　　態(tài)勢感知平臺上安全事件會對灰色引擎判定的安全事件自動處理：

　　通過實(shí)際應(yīng)用，驗(yàn)證了勢感知灰色事件分析處理引擎能夠有效提高安全運(yùn)營人員對安全事件的處置效率，并豐富安全運(yùn)營人員處置安全事件的歷史經(jīng)驗(yàn)知識，減少因事件誤報(bào)造成的多余人力資源投入，提高運(yùn)營效率。

　　安全牛評

　　安全事件誤報(bào)一直是讓安全管理者頭疼的問題，傳統(tǒng)的通過白名單或者基線策略降噪方式采用的是靜態(tài)機(jī)制，可能會造成安全事件漏報(bào)或漏處理的情況?；谌斯し治龅陌踩录呗愿聞t會帶來龐大的工作量，且存在時(shí)延的問題。因此，自適應(yīng)的機(jī)器學(xué)習(xí)算法將成為未來降低誤報(bào)率的發(fā)展趨勢。

　　我們認(rèn)為，新華三灰色事件處理機(jī)器學(xué)習(xí)算法的特點(diǎn)在于可以通過實(shí)際案例經(jīng)驗(yàn)為用戶提供針對性的降噪模型，另一方面通過其云端運(yùn)維平臺的海量數(shù)據(jù)，可以對模型進(jìn)行全方位訓(xùn)練，能夠幫助用戶降低安全事件的誤報(bào)率。