態(tài)勢感知安全分析過程中，通常由前端探針上報安全事件，如若探針配置不當(dāng)，則會出現(xiàn)大量錯誤信息。平臺分析這些信息后，自然很容易造成安全事件的誤報，不僅妨礙安全運營團(tuán)隊的正常判斷，還需要耗費大量精力進(jìn)行二次排查處理。一些不成熟的態(tài)勢感知平臺往往還會忽略事件處理后的及時反饋動作，安全事件分析系統(tǒng)無法從過去的誤報中吸取經(jīng)驗，造成誤報事件依然誤報的場面。

　　為了應(yīng)對以上誤報難題，新華三態(tài)勢感知團(tuán)隊基于機(jī)器學(xué)習(xí)算法，研發(fā)出灰色事件分析處置引擎，能夠降低安全事件誤報率的同時，不斷優(yōu)化自學(xué)習(xí)處理能力，做到有效識別誤報，快速剔除誤報，準(zhǔn)確定位真實安全威脅，提高安全運維效率。

　　應(yīng)用原理

　　態(tài)勢感知灰色事件分析處置引擎核心目是輔助安全運營團(tuán)隊對安全事件進(jìn)行誤報分析和自動化處置，通過對態(tài)勢感知平臺中安全事件狀態(tài)的“未處理”、“已處理”、“忽略（自動忽略、手動忽略）”的數(shù)據(jù)進(jìn)行分類分組，然后通過灰色事件分析模型進(jìn)行分析，智能分析出其中的灰色事件，結(jié)合處置經(jīng)驗，進(jìn)行準(zhǔn)確判定。主要步驟如下：

　　1）安全事件數(shù)據(jù)分類器，根據(jù)不同安全事件場景，對安全事件數(shù)據(jù)進(jìn)行分類；

　　2）灰色事件判定模型，基于新華三云端運維平臺海量數(shù)據(jù)，訓(xùn)練AI模型，得出機(jī)器學(xué)習(xí)判定的經(jīng)驗閾值參數(shù)，對安全事件進(jìn)行判定；

　　3）用戶處置判定模型，基于人工對安全事件進(jìn)行的處置記錄歷史知識，對安全事件進(jìn)行判定；

　　4）對安全事件中的灰色事件自動化處置，誤報事件會自動處置為自動忽略；非誤報事件基于判定模型會進(jìn)行狀態(tài)重新判別。

　　灰色事件分析處置流程圖

　　實際案例

　　某態(tài)勢感知平臺用戶，通過灰色事件分析處理技術(shù)，結(jié)合日常的處置經(jīng)驗，快速自動識別誤報事件，有效提升了真實安全事件的處置效率。

　　現(xiàn)場平臺上有3684條安全事件，經(jīng)過態(tài)勢感知灰色事件分析引擎，利用泊松分布和C段分布算法分析，識別出1235條灰色事件，其中源為內(nèi)網(wǎng)單一源目的事件為512條、源為內(nèi)網(wǎng)的同一目的多源安全事件為358條、源為外網(wǎng)的非特殊事件為365條，總占比33.5%。

　　態(tài)勢感知平臺上安全事件會對灰色引擎判定的安全事件自動處理：

　　通過實際應(yīng)用，驗證了勢感知灰色事件分析處理引擎能夠有效提高安全運營人員對安全事件的處置效率，并豐富安全運營人員處置安全事件的歷史經(jīng)驗知識，減少因事件誤報造成的多余人力資源投入，提高運營效率。

　　安全牛評

　　安全事件誤報一直是讓安全管理者頭疼的問題，傳統(tǒng)的通過白名單或者基線策略降噪方式采用的是靜態(tài)機(jī)制，可能會造成安全事件漏報或漏處理的情況?；谌斯し治龅陌踩录呗愿聞t會帶來龐大的工作量，且存在時延的問題。因此，自適應(yīng)的機(jī)器學(xué)習(xí)算法將成為未來降低誤報率的發(fā)展趨勢。

　　我們認(rèn)為，新華三灰色事件處理機(jī)器學(xué)習(xí)算法的特點在于可以通過實際案例經(jīng)驗為用戶提供針對性的降噪模型，另一方面通過其云端運維平臺的海量數(shù)據(jù)，可以對模型進(jìn)行全方位訓(xùn)練，能夠幫助用戶降低安全事件的誤報率。