关联分析在cybertron平台上的应用

知识开发 精帖
收藏
4 1271
Sunny912
cyberguy 未认证 2018-03-16 17:22:05
付费话题:0 积分

关联分析这个词比较拗口。百度上有个解释“关联分析又称关联挖掘,就是在交易数据、关系数据或其他信息载体中,查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构。” 这个解释比较学术化,信息量大,看了更难懂。

关联分析可能有非常完善的数学定义,有无数算法和理论实现分析这个概念,但我们不想从这个角度谈,我们希望把这个概念生活化,用生活的语言解释。 

我们做一个决定是有很多因素决定的。出门要拿伞,这是个决定。为什么要拿伞?是正在下雨吗?外面正在下雨是个因素。天气预报说今天要下雨,看外边天气阴沉,这个也是个因素。因此拿伞这个决定是外面正下雨(条件A),外边阴沉(条件B),天气预报(条件C)这三个条件因素综合考虑的结果。

用数学语言表达这个就是R=A|(B&C)。当R为真时,我们就带伞,R为假,不带伞。

这个简单的逻辑关系就是三个事件的关联,三个事件决定了行为结果:是拿伞还是不拿?

回到安全事件分析,也可以套用这个逻辑和方法。我们知道,一个攻击事件是由一系列实施步骤完成的。换句话说,攻击事件必然有很多特征。比如首先要扫描端口(一般是防火墙端口),找到可以进行渗透的漏洞,攻击这个漏洞,这是简单的攻击模型。复杂点的,就要利用这个漏洞进行渗透,攻击防火墙内部的主机或者网络设备,服务器等。这一系列行为特征都可也从日志中获得。防火墙遭受端口扫描,防火墙会产生相应的日志·,内网主机有什么异常,也可以生成相应的日志。这一系列行为的逻辑组合就能断定一种攻击,这就是关联分析最粗浅的解释。

cybertron平台具有很好的数据展示功能,快速的数据处理功能,也具有便捷的场景处理功能。一个安全事件,有很多的特征,对于安全从业人员来讲,识别这些特征需要知识的积累,需要专业团队的支持,需要广泛的行业内交流。因此,我们必须花费大量的时间和精力跟踪最新技术,跟踪热点,建立丰富的攻击、漏洞和风险知识库。这对于一般的用户是难以完成的工作。

不过这些工作不再需要用户关注,因为cybertron把所有关于安全事件的知识全盘拿出来,我们会根据用户的需求,将这些分散的专业性很强的工作包装成套件,提供给客户选购。客户可以根据自身行业、业务的需求,自主选择套件。

关联规则库也是一个选件。下面介绍cybertron平台是如何配置和使用的。

一.cybertron数据处理平台如何配置关联事件中的安全事件?

安全事件有如决策中考虑的细节,是最细化的决策因素。其实,我们在生活中无时无刻不在做决策,只不过这个过程有如电光闪石,霎那间就决断了,不太走我们意识通路。在网络安全事件决策中,需要决定每个最细节的事件,如服务器登陆,服务器关机,统计异常。这些场景像电影中的一格,一闪而过,组合起来,又能表达五彩缤纷的世界。

在过滤器中,内置主机、安全设备、网络设备等丰富的安全事件。


二 安全事件组合,形成场景

我们有两个地方提供这种组合。

a. 事件分析模块 中的字段过滤

这个模块提供统计功能,统计条件就是安全事件的组合。可以看作是一个安全场景。我们提供仪表盘图形展示这些场景,提供图形编辑功能,用户可有一定图形编辑的功能。还可以将这些场景做成报表,定期生成报表,生成文档保存。


b.智能分析

智能分析提供更形象便捷的场景管理功能。用户可以分组管理,可以生成告警,可以触发五种动作来反应这些事件。


三.cybertron平台究竟做了什么?能够做什么?

我们做的事情很简单:告诉你们关心的安全事件,我们形成安全场景,配合触发动作,可以对这些安全问题闭环解决。




























回帖