24、数据关联分析与安全事件检测

于 2025-07-23 09:17:44 发布
阅读量45 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 构建信息安全作战手册:从理论到实践 文章标签: 数据关联分析 安全事件检测 随机特征
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/echo99/article/details/149658683

数据关联分析与安全事件检测

1. 随机特征融入报告

在安全事件分析中,可将高度随机的域名(dom to highly random)作为一个特征融入报告。常见的做法是将随机得分与其他非统计特征结合使用,例如以下查询:
- HTTP POST
- 无 HTTP Referer 头
- 域名看起来高度随机

或者类似这样的查询:
- HIPS 事件检测到新系统服务的创建
- 并且满足以下任意一项:
- 服务名称看起来高度随机
- 可执行文件名称看起来高度随机

2. 通过偶然数据进行关联分析

2.1 数据关联的概念

数据之间存在隐藏关系的观点比以往任何时候都更为普遍。在数据科学或大数据的解释(或营销)中,“关联”这个词经常被提及,但很少有人深入探讨其真正含义。虽然声称产品包含用于发现数据中隐藏关联的神奇算法可能更具销售吸引力,但这与现实情况并不完全相符。大多数可操作的报告将基于查看数据中明确关系的查询。明确关系更容易发现、理解,并且不太可能产生误导或误报。

2.2 数据关联的应用场景

特征丰富的数据源通常在数据中存在更多可能的隐藏关系,但即使是像 NetFlow 这样特征较少的数据源,其特征之间也可能存在关联。例如,传输协议(TCP 或 UDP)与端口有一定的相关性。如果知道目标端口是 80,则协议很可能是 TCP 而不是 UDP;如果知道目标端口是 53,则协议很可能是 UDP。

2.3 HTTP 数据中的隐藏关系

HTTP 是一个特征特别丰富的数据源,攻击者常常无法遵循其中的隐藏关

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
浅谈安全管理平台中的事件关联分析
云翼说安全
03-09 3688
在当今社会中,随着信息技术的迅猛发展,企业内部的网络环境正面临着复杂多变的信息安全问题。这里既有来自于互联网对企业内网的各种入侵和攻击威胁,也有来自于企业内网中的违规操作和信息泄漏。为了应对层出不究的网络攻击和系统漏洞,许多企业先后部署了防火墙、入侵检测防护系统、漏洞扫描系统、病毒防护系统等安全产品。但由于这些安全产品都仅仅防堵来自某个方面的安全威胁,于是形成了一个个安全防御孤岛...
关于SOC、态势感知,5种常见的关联分析模型
热门推荐
zhulinu的专栏
06-08 1万+
引言 在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析,soc,态势感知,风控等产品。关联分析可以认为是这类产品中最核心的能力之一。这个东西从名字上看就知道,千人千面,每个人的想法和理解都不一样。很多甲方都会提关联分析,但你要在细问要做什么样的关联分析,估计大多数甲方都不太能详细说出来,很多乙方对此也是藏着掖着,可能也是核心机密不愿意细说。下面就来聊一下我对关联分析模型的一点思考。 一、概述 有很多公司在自己的产品介绍中说自己的产品有多少种内置规则等等,仔细分析就会发现很多是一个模型出
OSSIM平台安全事件关联分析实践
weixin_34212189的博客
04-05 309
2019独角兽企业重金招聘Python工程师标准>>> ...
安全事件关联分析方法
Eviemxy的博客
06-30 6202
原链接:https://www.cnblogs.com/bonelee/p/14049231.html 综述性文章可以参考《网络安全事件关联分析技术工具研究》琚安康 郭渊博 朱泰铭 王 通 一、安全事件关联分析技术分类 类别 技术方法 主要特点 应用场景 文献 属性特征 有限状态机 行为动作明确清晰且具有极强的逻辑约束性;不够灵活,不支持
基于规则的安全事件关联分析模型
weixin_30633507的博客
01-27 1395
  在人工智能的浪潮下,现在各类科技领域都要加上一点AI、深度学习、神经网络的概念,以免不落后于潮流。但是产品归产品,技术归技术。就人工智能当下的成熟度而言,笔者认为至少在信息安全领域,由专业的安全专家团队利用庞大的项目经验、客户运维经验组成的各类安全规则库能力依然是优于AI引擎的。类似于Exabeam之流采用机器学习的UEBA产品,无论实在公开案例还是我所了解的客户反馈均表示,客户专业的安全运维...
【网络安全】OSSIM平台网络日志关联分析实战
qingkahui24689的博客
05-25 681
对于新手而言从一张白纸开始写规则有些难了,但是对照系统给出的默认规则,照葫芦画瓢还是可以实现的,不管这个模型是否完善,先用起来,然后逐步修改。在合适的时间,对系统进行渗透测试,然后监控SIEM的反应,观察它是否产生正确的警报,而警报是否提供足够的信息来协助相应这弄清楚发生了什么威胁,如果没有那就需要修改规则,然后你需要不断的优化阈值。本文简要为大家介绍了OSSIM平台下的网络日志关联分析技术希望能给大家在日常网络安全运维中提供一些帮助。黑客&网络安全如何学习。
精选资源
网络安全事件关联分析技术工具研究.pdf
09-20
网络安全事件关联分析技术工具研究的重要性和目标意义: 网络安全事件关联分析技术是当前网络安全领域研究的热点问题。随着网络技术的迅速发展,各类网络攻击手法层出不穷,包括病毒、蠕虫、后门、木马等,这些...
精选资源
基于Flink的安全数据分析异常检测.pdf
12-03
安全数据分析异常检测在当前数字化时代扮演着至关重要的角色,特别是在金融、支付等行业。这篇文档主要探讨了如何基于Flink进行安全领域的实时数据分析异常检测,以及如何利用ELK(Elasticsearch、Logstash、...
网络攻防数据可视化分析系统设计实现_网络攻击数据解析_防御策略可视化展示_攻防态势动态呈现_安全事件追踪回溯_多维度数据关联分析_实时威胁检测响应_网络安全态势感知平台_用于.zip
09-13
网络攻防数据可视化分析系统设计实现_网络攻击数据解析_防御策略可视化展示_攻防态势动态呈现_安全事件追踪回溯_多维度数据关联分析_实时威胁检测响应_网络安全态势感知平台_用于.zip
数据安全事件检测告警.pptx
05-19
### 大数据安全事件检测告警关键技术及实践 #### 一、大数据安全事件检测技术概览 在当今数字化时代,大数据技术的应用日益广泛,随之而来的是数据安全问题的日益突出。为了有效应对这些挑战,大数据安全事件...
深度剖析SOC高性能实时事件关联分析引擎
weixin_33966365的博客
02-16 584
【引言】安全管理平台(SOC) 的一项关键技术就是事件关联分析。借助实时的事件关联分析引擎,安全管理平台能够发掘出复杂的海量安全日志和事件背后隐藏的信息,引导安全管理人员发现外 部***和内部违规行为。作为本系列的第五篇文章,将深入为大家剖析安全管理系统的关联分析引擎技术架构,并向读者展示关联分析的价值和前景。 1为什么需要安全事件关联分析? 1.1安全建设的新阶段 ...
安全事件分析思路及逻辑
qq_45099208的博客
06-15 3417
态势感知,WAF,防火墙,EDR,蜜罐等​ 防火墙:访问控制类产品,网络出现后的第一类安全产品​ 隔离内网、外网以及DMZ区并控制用户访问(DMZ:业务系统对外发布区,Web应用服务器,邮件服务器等)​ 通常工作在网络层,部署在网络边界或者重要系统边界​ IPS:入侵防御系统,访问控制类产品​ 发现攻击后,能够及时拦截阻断 对流经设备的网络流量进行分析、监控​ 由防火墙的地方就有IPS,通常串接在网络主干链路上,或者重要业务系统边界。
什么是日志关联
ITmoster的博客
05-26 1873
良好的日志关联软件可以帮助管理员有效地发现威胁,并在威胁造成灾难之前在早期阶段阻止它们,EventLog Analyzer 综合日志管理工具,可以执行日志关联,发送实时通知并管理事件以减少网络威胁。
SOC核心功能之安全事件关联分析
weixin_34148508的博客
08-28 1771
关联分析是的整个安全事件管理的核心部分,例如国外著名厂商ArcSight提供了简单的事件关联、上下文关联、***场景关联、低慢***关联、位置关联、身份关联、角色关联等等。但关联分析还有脆弱性信息关联、因果关联、推理关联等等。本文将根据国内SOC厂商如何实现关联分析的,如福富软件的NSS、启明星辰的泰和等。 说到安全事件关联,我们首先要说关联要素。按照事件来...
【轴承故障诊断】基于融合鱼鹰和柯西变异的麻雀优化算法OCSSA-VMD-CNN-BILSTM轴承诊断研究【西储大学数据】(Matlab代码实现)
最新发布
12-24
【轴承故障诊断】基于融合鱼鹰和柯西变异的麻雀优化算法OCSSA-VMD-CNN-BILSTM轴承诊断研究【西储大学数据】(Matlab代码实现)内容概要:本文提出了一种基于融合鱼鹰和柯西变异的麻雀优化算法(OCSSA)优化变分模态分解(VMD)参数,并结合卷积神经网络(CNN)双向长短期记忆网络(BiLSTM)的轴承故障诊断模型。该方法利用西储大学公开的轴承数据集进行验证,通过OCSSA算法优化VMD的分解层数K和惩罚因子α,有效提升信号分解精度,抑制模态混叠;随后利用CNN提取故障特征的空间信息,BiLSTM捕捉时间序列的动态特征,最终实现高精度的轴承故障分类。整个诊断流程充分结合了信号预处理、智能优化深度学习的优势,显著提升了复杂工况下轴承故障诊断的准确性鲁棒性。; 适合人群:具备一定信号处理、机器学习及MATLAB编程基础的研究生、科研人员及从事工业设备故障诊断的工程技术人员。; 使用场景及目标:①应用于旋转机械设备的智能运维故障预警系统;②为轴承等关键部件的早期故障识别提供高精度诊断方案;③推动智能优化算法深度学习在工业信号处理领域的融合研究。; 阅读建议:建议读者结合MATLAB代码实现,深入理解OCSSA优化机制、VMD参数选择策略以及CNN-BiLSTM网络结构的设计逻辑,通过复现实验掌握完整诊断流程,并可进一步尝试迁移至其他设备的故障诊断任务中进行验证优化。
民营企业融资风险管理的分析建议.doc.doc
12-24
民营企业融资风险管理的分析建议.doc.doc
什么是真正的_可持续场景驱动的AI解决方案_?它如何为地方政府创造价值?.docx
12-24
聚焦AI+技术转移、院所成果转化知识产权管理,以人工智能为底座的数智化科技创新平台,为提升区域科技管理创新能力提供全面解决方案,驱动地方产业升级。
广义预测控制(matlab版本)仿真程序
12-24
下载前可以先看下教程 https://pan.quark.cn/s/77c32016f171 广义预测控制(Generalized Predictive Control, GPC)仿真软件 可实现GPC对具有CARIMA模型的被控对象的控制仿真。 软件实现了多种GPC的变体,提供了被控对象参数定制、控制算法参数调整的功能。 软件说明详见software_note中的word文档。 img1
(43页PPT)国庆及十月系列活动策划方案42.pptx
12-24
(43页PPT)国庆及十月系列活动策划方案42.pptx
Flink在实时安全数据分析异常检测中的应用
数据来自不同的源头,如主机、网络、应用和安全设备,类型繁多,结构复杂,关联分析难度大。此外,由于数据是持续不断的流数据,其量级巨大,因此对实时性的要求非常高,及时发现异常对于降低风险至关重要。 安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值