Data Science for Cyber Security
2020-07-21 10:29:39
cdxy
并查集,动态连通性,告警聚合
背景与问题 一次入侵事件分为多个阶段,过程中攻击者会执行很多行为,其中一部分行为会被IDS产品捕获,形成告警,我们需要对同一次入侵事件产生的告警进行聚合,还原入侵事件的原貌,从而便于后续自动化防御工作的部署。 在入侵溯源功能中,我们已经将攻击者的行为(白色节点)和触发的告警(橙色节点)进行关联分析并构成了无环图。在图中所有联通的橙色节点需要划分到同一入侵事件group中。 ...
Read More
Data Science for Cyber Security
2019-12-19 20:39:49
cdxy
图计算,入侵检测,企业安全
简要记录一些思想。 图与入侵检测 当下观察到的企业入侵检测发展方向: 向下做深端的采集能力,提高对抗成本。 向上提高数据分析能力,挖掘更多信息。 数据分析能力的发展过程: 第一阶段:单点日志+规则审计。 第二阶段:基于双流join的关联分析,能够连接两三种异构日志并建模。 第三阶段:利用图计算连接更多数据。 连接的数据越多,意味着特征维度越丰富,分类边界越清晰。 一个简单场景: ...
Read More