合天网安实验室

如今计算机网络每时每刻都会产生大量的安全事件 , 一般攻击通常就分散在这些事件之中。一次入侵事件往往需要多个步骤才能完成 , 这些步骤都是彼此相关的。关联分析技术将不同分析器上产生的报警进行融合与关联分析 , 减少了报警的数量 , 降低了误报率、漏报率。本次汇报首先介绍了什么是网络安全事件，什么是IDS系统，为什么要利用数据关联分析来分析告警数据，然后简单介绍了目前该领域面临的困难，然后引出网络安全事件关联分析系统的组成。接下来对于报警聚合的目的以及经典算法：概率相似度算法，进行了介绍；然后对多步攻击关联分析的目的以及经典算法：基于先决条件的关联分析、基于机器学习-大数据挖掘方法进行介绍，其中对于关联规则算法Apriori进行十分详细的讲述以及应用举例。最后对比分析这些方法，发现存在依赖专家知识库，规则更新困难，需要人工干预，不是太适合进行网络安全事件数据等缺点得出未来方向：应对提高网络安全事件关联分析的自动化程度，减少人工干预；对规则的更新优化进行研究。并思考了结合神经网络和遗传编程算法的模型作为未来研究方向。

...全部展开