态势感知安全分析过程中,通常由前端探针上报安全事件,如若探针配置不当,则会出现大量错误信息。平台分析这些信息后,自然很容易造成安全事件的误报,不仅妨碍安全运营团队的正常判断,还需要耗费大量精力进行二次排查处理。一些不成熟的态势感知平台往往还会忽略事件处理后的及时反馈动作,安全事件分析系统无法从过去的误报中吸取经验,造成误报事件依然误报的场面。
为了应对以上误报难题,新华三态势感知团队基于机器学习算法,研发出灰色事件分析处置引擎,能够降低安全事件误报率的同时,不断优化自学习处理能力,做到有效识别误报,快速剔除误报,准确定位真实安全威胁,提高安全运维效率。
应用原理
态势感知灰色事件分析处置引擎核心目是辅助安全运营团队对安全事件进行误报分析和自动化处置,通过对态势感知平台中安全事件状态的“未处理”、“已处理”、“忽略(自动忽略、手动忽略)”的数据进行分类分组,然后通过灰色事件分析模型进行分析,智能分析出其中的灰色事件,结合处置经验,进行准确判定。主要步骤如下:
1)安全事件数据分类器,根据不同安全事件场景,对安全事件数据进行分类;
2)灰色事件判定模型,基于新华三云端运维平台海量数据,训练AI模型,得出机器学习判定的经验阈值参数,对安全事件进行判定;
3)用户处置判定模型,基于人工对安全事件进行的处置记录历史知识,对安全事件进行判定;
4)对安全事件中的灰色事件自动化处置,误报事件会自动处置为自动忽略;非误报事件基于判定模型会进行状态重新判别。
灰色事件分析处置流程图
实际案例
某态势感知平台用户,通过灰色事件分析处理技术,结合日常的处置经验,快速自动识别误报事件,有效提升了真实安全事件的处置效率。
现场平台上有3684条安全事件,经过态势感知灰色事件分析引擎,利用泊松分布和C段分布算法分析,识别出1235条灰色事件,其中源为内网单一源目的事件为512条、源为内网的同一目的多源安全事件为358条、源为外网的非特殊事件为365条,总占比33.5%。
态势感知平台上安全事件会对灰色引擎判定的安全事件自动处理:
通过实际应用,验证了势感知灰色事件分析处理引擎能够有效提高安全运营人员对安全事件的处置效率,并丰富安全运营人员处置安全事件的历史经验知识,减少因事件误报造成的多余人力资源投入,提高运营效率。
安全牛评
安全事件误报一直是让安全管理者头疼的问题,传统的通过白名单或者基线策略降噪方式采用的是静态机制,可能会造成安全事件漏报或漏处理的情况。基于人工分析的安全事件策略更新则会带来庞大的工作量,且存在时延的问题。因此,自适应的机器学习算法将成为未来降低误报率的发展趋势。
我们认为,新华三灰色事件处理机器学习算法的特点在于可以通过实际案例经验为用户提供针对性的降噪模型,另一方面通过其云端运维平台的海量数据,可以对模型进行全方位训练,能够帮助用户降低安全事件的误报率。
来源:安全牛