超级会员免费看
实现 SIEM 系统中事件关联的语义方法
1. 相关工作
在计算机安全领域,不同安全系统信息的自动关联是过去十多年来的热门研究话题。研究者们开发了众多方法来关联警报和其他日志条目,以增强入侵检测系统的能力。这里主要探讨在计算机安全中使用本体的相关工作。
本体在安全信息和事件管理(SIEM)的多个领域都有应用,比如分析用户行为和系统活动、识别已知攻击模式,以及分析系统和用户的异常行为。语义方法相较于现有方法有诸多优势,主要体现在形式化和可扩展的知识表示能力,以及可判定的推理方面。
在计算机安全中使用本体相对较新。早期,Undercoffer 等人提出了以目标为中心的本体,对计算机攻击进行建模,该本体根据目标系统组件、攻击工具、攻击后果和攻击者位置对攻击策略进行分类。此后,许多本体相继被提出:
- Wang 等人提出了漏洞管理本体(OVM),涵盖了漏洞、受影响产品、后果和对策等概念。
- Azevedo 等人提出了具有更通用和抽象概念的领域本体 CoreSec,作为构建其他特定安全领域本体的基础。
- Gao 等人提供了基于本体的攻击模型,从攻击角度评估信息系统安全,该本体包括攻击影响、攻击向量、攻击目标、漏洞和防御五个维度。
近期,还出现了许多安全策略的语义描述方法:
- Tang 等人提出了基于本体的方法,解决安全策略的语义描述和验证问题。
- Choi 等人提出了 Onto - ACM 语义分析模型,处理服务提供商和用户之间允许的访问控制差异。
- Wang 等人使用本体进行移动安全的威胁分析和防御策略制定,通过语义推理识别攻击特征并克服攻击成功概率的不确定性。
订阅专栏 解锁全文
扫一扫
1022
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
