《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 機(jī)器學(xué)習(xí)在安全態(tài)勢感知平臺(tái)中的應(yīng)用實(shí)踐

機(jī)器學(xué)習(xí)在安全態(tài)勢感知平臺(tái)中的應(yīng)用實(shí)踐

2021-08-03
來源:安全牛

  態(tài)勢感知安全分析過程中,,通常由前端探針上報(bào)安全事件,,如若探針配置不當(dāng),則會(huì)出現(xiàn)大量錯(cuò)誤信息。平臺(tái)分析這些信息后,,自然很容易造成安全事件的誤報(bào),,不僅妨礙安全運(yùn)營團(tuán)隊(duì)的正常判斷,,還需要耗費(fèi)大量精力進(jìn)行二次排查處理,。一些不成熟的態(tài)勢感知平臺(tái)往往還會(huì)忽略事件處理后的及時(shí)反饋動(dòng)作,安全事件分析系統(tǒng)無法從過去的誤報(bào)中吸取經(jīng)驗(yàn),,造成誤報(bào)事件依然誤報(bào)的場面,。

  為了應(yīng)對(duì)以上誤報(bào)難題,新華三態(tài)勢感知團(tuán)隊(duì)基于機(jī)器學(xué)習(xí)算法,,研發(fā)出灰色事件分析處置引擎,,能夠降低安全事件誤報(bào)率的同時(shí),不斷優(yōu)化自學(xué)習(xí)處理能力,,做到有效識(shí)別誤報(bào),,快速剔除誤報(bào),準(zhǔn)確定位真實(shí)安全威脅,,提高安全運(yùn)維效率,。

  應(yīng)用原理

  態(tài)勢感知灰色事件分析處置引擎核心目是輔助安全運(yùn)營團(tuán)隊(duì)對(duì)安全事件進(jìn)行誤報(bào)分析和自動(dòng)化處置,通過對(duì)態(tài)勢感知平臺(tái)中安全事件狀態(tài)的“未處理”,、“已處理”,、“忽略(自動(dòng)忽略、手動(dòng)忽略)”的數(shù)據(jù)進(jìn)行分類分組,,然后通過灰色事件分析模型進(jìn)行分析,,智能分析出其中的灰色事件,結(jié)合處置經(jīng)驗(yàn),,進(jìn)行準(zhǔn)確判定,。主要步驟如下:

  1)安全事件數(shù)據(jù)分類器,根據(jù)不同安全事件場景,,對(duì)安全事件數(shù)據(jù)進(jìn)行分類,;

  2)灰色事件判定模型,,基于新華三云端運(yùn)維平臺(tái)海量數(shù)據(jù),訓(xùn)練AI模型,,得出機(jī)器學(xué)習(xí)判定的經(jīng)驗(yàn)閾值參數(shù),,對(duì)安全事件進(jìn)行判定;

  3)用戶處置判定模型,,基于人工對(duì)安全事件進(jìn)行的處置記錄歷史知識(shí),,對(duì)安全事件進(jìn)行判定;

  4)對(duì)安全事件中的灰色事件自動(dòng)化處置,,誤報(bào)事件會(huì)自動(dòng)處置為自動(dòng)忽略,;非誤報(bào)事件基于判定模型會(huì)進(jìn)行狀態(tài)重新判別。

  灰色事件分析處置流程圖

  實(shí)際案例

  某態(tài)勢感知平臺(tái)用戶,,通過灰色事件分析處理技術(shù),,結(jié)合日常的處置經(jīng)驗(yàn),快速自動(dòng)識(shí)別誤報(bào)事件,,有效提升了真實(shí)安全事件的處置效率,。

  現(xiàn)場平臺(tái)上有3684條安全事件,,經(jīng)過態(tài)勢感知灰色事件分析引擎,,利用泊松分布和C段分布算法分析,識(shí)別出1235條灰色事件,,其中源為內(nèi)網(wǎng)單一源目的事件為512條,、源為內(nèi)網(wǎng)的同一目的多源安全事件為358條、源為外網(wǎng)的非特殊事件為365條,,總占比33.5%,。

  態(tài)勢感知平臺(tái)上安全事件會(huì)對(duì)灰色引擎判定的安全事件自動(dòng)處理:

  通過實(shí)際應(yīng)用,驗(yàn)證了勢感知灰色事件分析處理引擎能夠有效提高安全運(yùn)營人員對(duì)安全事件的處置效率,,并豐富安全運(yùn)營人員處置安全事件的歷史經(jīng)驗(yàn)知識(shí),,減少因事件誤報(bào)造成的多余人力資源投入,提高運(yùn)營效率,。

  安全牛評(píng)

  安全事件誤報(bào)一直是讓安全管理者頭疼的問題,,傳統(tǒng)的通過白名單或者基線策略降噪方式采用的是靜態(tài)機(jī)制,可能會(huì)造成安全事件漏報(bào)或漏處理的情況,?;谌斯し治龅陌踩录呗愿聞t會(huì)帶來龐大的工作量,且存在時(shí)延的問題,。因此,,自適應(yīng)的機(jī)器學(xué)習(xí)算法將成為未來降低誤報(bào)率的發(fā)展趨勢。

  我們認(rèn)為,,新華三灰色事件處理機(jī)器學(xué)習(xí)算法的特點(diǎn)在于可以通過實(shí)際案例經(jīng)驗(yàn)為用戶提供針對(duì)性的降噪模型,,另一方面通過其云端運(yùn)維平臺(tái)的海量數(shù)據(jù),,可以對(duì)模型進(jìn)行全方位訓(xùn)練,能夠幫助用戶降低安全事件的誤報(bào)率,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]