-
-
[分享]資安營運中心核心技術研究--具適應性之入侵事件關聯分析平台
-
发表于:
2010-3-12 10:23
4151
-
[分享]資安營運中心核心技術研究--具適應性之入侵事件關聯分析平台
資安營運中心核心技術研究--具適應性之入侵事件關聯分析平台
一、 摘要 入侵偵測系統(Intrusion Detection System, IDS)被廣泛的應用於企業網路環境中, 但卻會有大量的錯誤警報(False Alarm)及無法偵測出新型態攻擊之問題。故本計畫之研究目的在於提升資訊安全運籌中心(SOC)的核心分析能力以及其適應環境與辨別新型惡意行為的能力,並協同網路安全分析人員找出複雜的異常事件,找出潛在的攻擊,分析出攻擊者的意圖。 本計畫在研發成果上,提出了入侵偵測事件分析系統(Intrusion Detection Event Analysis system, IDEAs),主要的核心概念是結合資料探勘(Data Mining)及機器學習的技術來處理上述所提之兩大議題。經過大量警報之分析,我們將大量的警報經過事件聚合(Alert Aggregation)技術及事件關聯(Event Correlation)技術,並根據各個警報事件間之相關性及時間順序,建立事件行為活動圖(Activity Graph)。有別於以逆向工程分析方式與角度來檢視駭客的攻擊行動,IDEAs更以透過多階段入侵行為之行為相似性評估機制(Behavior Similarity Measure)為核心,在一連串的攻擊行為事件中辨識出目前已知之攻擊步驟,並透過不同的攻擊步驟之結合及其關連性來分辨出潛藏的新型態攻擊。事件分析的結果,透過智能報表系統(Intelligent Report System)以威脅程度分級(Ranking)後呈現給網管人員進行處理,而對於確認後的攻擊行為會回饋於IDEAs系統,使系統具備適應性學習(Adaptive Learning)之能力。最後並於A公司進行測試,從最早期60,000筆警報數量所產生800張的事件活動圖到根據回饋適應後的每天40~60張圖,發現系統之適應能力可明顯降低了假警報的數量。最後,本系統之研究成果主要有兩篇國際會議論文及一篇IEEE期刊。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
