2020/06/10 -
本篇随笔主要记录自己在阅读文章[1]时的笔记;这篇论文居然是2001年时候发表的,但是哪怕近几年也有人在研究这个东西,没有时间去看具体的发展历程了,这篇论文也不知道质量怎么样,就先边看便记录。
问题:不管什么时候,你总能看到各种安全厂商说自己面临的困难就是,每天面临大量的警报,需要从中找出真正的警报,同时降低误报率。这个时候就是关联分析出场的时候,然而,我对解决方案却没有什么具体的想法。同时,加上一些安全厂商也会说自己开发高性能的关联引擎。那么这里提出的出发点就是,这个领域内面临的困难是什么,那么这种关联分析又是怎么提出的方案进行解决。
目前入侵检测系统,或者安全平台的困难
- 大量的报警,报警如洪水一般,分析比较苦难
- 上下文,攻击过程中通常是多路径的,但是报警日志却是独立的,这样就没有建立起来时间之前的关联性
- 误报,这个说实话,我感觉不是关联分析应该解决的问题
- 扩展性,不理解这个扩展性是什么意思。是说解决分布式问题吗?
当前的阅读状态。。
从他的这个角度来看,好像这个关联分析的东西真的挺多的。我之前的那些想法,我之前的一些想法也没有错,也是需要考虑的。比如一些硬性编码的东西。但我感觉我当时思考的角度,就是利用一种离线分析的方式;但是这里更像是类似在线流处理一样。
聚合与关联算法
这里简单提一下这个算法的目的:将原始的警告日志,经过处理,变换为具备关系的不同组,组内的数据有一定的联系。
这样就实现了独立的日志,能够有上下文,或者有因果关系。
本质上就是说,能够将一些存在关系的日志给整合到一起,一方面减少日志数量,一方面能够为日志提供在其发生时的背景信息。虽然这个角度的说法没错,但是我仔细想的时候,也是感觉不太对劲。如果是硬性的规则,那么无非就是在时间窗口内查找一些需要的信息即可;但是有那种所谓的自己推导出来的信息吗?既然认定他们有关系,总归是得那种某些信息上是共享的吧。
[1]Aggregation and Correlation of Intrusion-Detection Alerts,2001
网友评论