《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 机器学习在安全态势感知平台中的应用实践

机器学习在安全态势感知平台中的应用实践

2021-08-03
来源:安全牛
关键词: 机器学习 安全态势

  态势感知安全分析过程中,通常由前端探针上报安全事件,如若探针配置不当,则会出现大量错误信息。平台分析这些信息后,自然很容易造成安全事件的误报,不仅妨碍安全运营团队的正常判断,还需要耗费大量精力进行二次排查处理。一些不成熟的态势感知平台往往还会忽略事件处理后的及时反馈动作,安全事件分析系统无法从过去的误报中吸取经验,造成误报事件依然误报的场面。

  为了应对以上误报难题,新华三态势感知团队基于机器学习算法,研发出灰色事件分析处置引擎,能够降低安全事件误报率的同时,不断优化自学习处理能力,做到有效识别误报,快速剔除误报,准确定位真实安全威胁,提高安全运维效率。

  应用原理

  态势感知灰色事件分析处置引擎核心目是辅助安全运营团队对安全事件进行误报分析和自动化处置,通过对态势感知平台中安全事件状态的“未处理”、“已处理”、“忽略(自动忽略、手动忽略)”的数据进行分类分组,然后通过灰色事件分析模型进行分析,智能分析出其中的灰色事件,结合处置经验,进行准确判定。主要步骤如下:

  1)安全事件数据分类器,根据不同安全事件场景,对安全事件数据进行分类;

  2)灰色事件判定模型,基于新华三云端运维平台海量数据,训练AI模型,得出机器学习判定的经验阈值参数,对安全事件进行判定;

  3)用户处置判定模型,基于人工对安全事件进行的处置记录历史知识,对安全事件进行判定;

  4)对安全事件中的灰色事件自动化处置,误报事件会自动处置为自动忽略;非误报事件基于判定模型会进行状态重新判别。

  灰色事件分析处置流程图

  实际案例

  某态势感知平台用户,通过灰色事件分析处理技术,结合日常的处置经验,快速自动识别误报事件,有效提升了真实安全事件的处置效率。

  现场平台上有3684条安全事件,经过态势感知灰色事件分析引擎,利用泊松分布和C段分布算法分析,识别出1235条灰色事件,其中源为内网单一源目的事件为512条、源为内网的同一目的多源安全事件为358条、源为外网的非特殊事件为365条,总占比33.5%。

  态势感知平台上安全事件会对灰色引擎判定的安全事件自动处理:

  通过实际应用,验证了势感知灰色事件分析处理引擎能够有效提高安全运营人员对安全事件的处置效率,并丰富安全运营人员处置安全事件的历史经验知识,减少因事件误报造成的多余人力资源投入,提高运营效率。

  安全牛评

  安全事件误报一直是让安全管理者头疼的问题,传统的通过白名单或者基线策略降噪方式采用的是静态机制,可能会造成安全事件漏报或漏处理的情况。基于人工分析的安全事件策略更新则会带来庞大的工作量,且存在时延的问题。因此,自适应的机器学习算法将成为未来降低误报率的发展趋势。

  我们认为,新华三灰色事件处理机器学习算法的特点在于可以通过实际案例经验为用户提供针对性的降噪模型,另一方面通过其云端运维平台的海量数据,可以对模型进行全方位训练,能够帮助用户降低安全事件的误报率。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。