大数据关联分析提供了基于规则、基于统计的关联分析功能,能够实现对于安全事件的误报排除、事件源推论、安全事件级别重新定义等效能。
▼▼关联分析简介关联分析是在大规模数据集中寻找有趣关系的任务。这些关系可以有两种形式:频繁项集、关联规则。频繁项集是经常出现在一块儿的物品的集合,关联规则暗示两种物品之间可能存在很强的关系。例如网络中的防火墙日志和入侵检测日志都是对进入网络的安全事件的流量的刻画,针对某一个可能的攻击事件,会产生大量的日志和相关报警记录,这些记录存在着很多的冗余和关联。因此首先要对得到的原始日志进行单源上的关联分析,把海量的原始日志转换为直观的、能够为人所理解的、可能对网络造成危害的安全事件。基于多源日志的态势获取方法采用基于相似度的报警关联,可以较好地控制关联后的报警数量,有利于减少复杂度。
▼▼关联规则匹配介绍安全事件关联分析是采用基于规则匹配的方法,对多条异源异构事件进行匹配分析,当符合关联规则条件时得出事件分析结论的过程。规则匹配分析方法包括关联分析和统计分析两种。基于规则的关联分析条件为安全事件中某些属性的限制条件,即规则的激活条件,具有检测事实存在与否、比较事实、根据标志检验事实等功能。条件可以由单个检测属性组成,也可以由多个检测属性组成,且各属性用逻辑符号OR、AND、NOT来表示多属性的逻辑关系。结果是新证据的断言或某个用户行为的可疑度,具有产生一条高优先级关联事件的功能。事件统计分析是指采用统计学方法,对各类事件的状态、频次、发生周期等数据量化特征进行计算、得出事件数据的分布状况、主要特征、时间序列的趋势性、是否存在异常值、事件汇总结果等内容,事件统计分析结果可直接用于事件性质的判定、解释和决策。
▼▼关联分析举例恶意扫描主要指针对WEB站点或者特定端口的扫描攻击行为的检测。通过分析安全设备检测日志、WEB站点日志和服务器日志,识别以及发现针对WEB站点的恶意扫描行为进行检测分析。
-
输入数据
- 检测与分析方法