网络安全告警降噪基线的智能生成方法

信息安全研究 ›› 2023, Vol. 9 ›› Issue (10): 986-.

网络安全告警降噪基线的智能生成方法

王星凯1,2吴复迪1童明凯1薛见新1张润滋1

1(绿盟科技集团股份有限公司北京100089)
2(清华大学信息科学技术学院北京100084)

出版日期:2023-10-17 发布日期:2023-10-28
通讯作者: 王星凯博士.主要研究方向为网络安全数据分析. wangxingkai@nsfocus.com
作者简介:王星凯博士.主要研究方向为网络安全数据分析. wangxingkai@nsfocus.com 吴复迪主要研究方向为智能安全运营. wufudi@nsfocus.com 童明凯硕士.主要研究方向为DNS安全和数据驱动的安全运营. tongmingkai@nsfocus.com 薛见新博士.主要研究方向为图形学习、安全知识图、攻击源、威胁搜索. xuejianxin@nsfocus.com 张润滋博士.主要研究方向为数据驱动的安全运营和威胁搜索. zhangrunzi@nsfocus.com

Intelligent Generation Method of Noise Reduction Baseline for Cybersecurity Alert

Wang Xingkai1,2 , Wu Fudi1, Tong Mingkai1, Xue Jianxin1, and Zhang Runzi1

1(NSFOCUS Technologies Group Co., Ltd., Beijing 100089)
2(School of Information Science and Technology, Tsinghua University, Beijing 100084)

Online:2023-10-17 Published:2023-10-28

摘要/Abstract

摘要： 网络安全运营往往通过预置的基线规则组等方法来过滤告警，在复杂的场景中难以深入适配企业的具体网络和业务环境.随着企业信息化业务的不断扩展，复杂的网络攻击通常隐藏在海量告警中，造成告警疲劳的现象，严重影响安全运营团队的运营效率.提出一种智能的算法用于生成可解释的网络安全告警降噪基线.面向告警载荷进行数据挖掘建立基线，帮助运营人员在不了解公司环境和业务的情况下对海量的告警进行过滤，提升安全运营的效率.最终，在某大型公司的实际生产环境验证发现生成的降噪基线可以有效地过滤告警.

关键词: 告警, 载荷, 可解释基线, 告警降噪, 安全运营

Abstract: The operators often filter alerts through some preset baseline rule groups in cybersecurity operation. It is difficult to deeply adapt to the specific network and business environment of the enterprise. With the continuous expansion of enterprise information services, the complex cyberattack is usually hidden in tons of alerts. It causes the alert fatigue, which reduces the efficiency of security operation center. We propose a cybersecurity alert baseline method based on intelligence algorithm to generate interpretable alert noise reduction baselines, which can filter alerts without understanding the company’s environment and business. It can improve the efficiency of cybersecurity operation. This method can effectively filter alerts in the actual production environment of a large company.

Key words: alert, payload, interpretable baseline, alert noise reduction, Security Operations

中图分类号:

TP391

王星凯, 吴复迪, 童明凯, 薛见新, 张润滋, . 网络安全告警降噪基线的智能生成方法[J]. 信息安全研究, 2023, 9(10): 986-.

参考文献

［1］Parkar P, Bilimoria A. A survey on cyber security IDS using ML methods［COL］ Proc of the 5th Int Conf on Intelligent Computing and Control Systems (ICICCS). 2021: 352360 ［20230911］. https:www.researchgate.netpublication351910729_A_Survey_on_Cyber_Security_IDS_using_ML_Methods［2］Pietraszek T, Tanner A. Data mining and machine learning—Towards reducing false positives in intrusion detection［J］. Information Security Technical Report, 2005, 10(3): 169183［3］Alahmadi B A, Axon L, Martinovic I. 99% false positives: A qualitative study of SOC analysts’ perspectives on security alarms［C］ Proc of the 31st USENIX Security Symp (USENIX Security). Berkeley, CA: USENIX Association, 2022: 1012［4］徐砚, 李鹏, 许爱东. 一种基于全流量的网络安全基线生成方法: 中国, CN201811589819.0［P］. 20190222［5］叶晓舟, 李超鹏. 一种基于安全基线模型的网络数据安全检测方法及系统: 中国, CN201710834724.X［P］. 20190322［6］魏明, 阮安邦, 王佳帅, 等. 基于UEBA进行异常行为事件的判断方法,装置及相关产品: 中国, CN202011323857.9［P］. 20210302［7］Zhao N, Jin P, Wang L, et al. Automatically and adaptively identifying severe alerts for online service systems［C］ Proc of the IEEE Conf on Computer Communications. Piscataway, NJ: IEEE, 2020: 24202429［8］Zhao N, Chen J, Peng X, et al. Understanding and handling alert storm for online service systems［C］ Proc of the 42nd IEEEACM Int Conf on Software Engineering: Software Engineering in Practice (ICSESEIP). Piscataway, NJ: IEEE, 2020: 162171［9］Li Z, Chen J, Jiao R, et al. Practical root cause localization for microservice systems via trace analysis［C］ Proc of the 29th IEEEACM Int Symp on Quality of Service (IWQOS). Piscataway, NJ: IEEE, 2021: 110［10］Aksar B, Zhang Y, Ates E, et al. Proctor: A semisupervised performance anomaly diagnosis framework for production HPC systems［C］ Proc of Int Conf on High Performance Computing. Berlin: Springer, 2021: 195214［11］Tuncer O, Ates E, Zhang Y, et al. Online diagnosis of performance variation in HPC systems using machine learning［J］. IEEE Trans on Parallel and Distributed Systems, 2018, 30(4): 883896［12］Ma M, Yin Z, Zhang S, et al. Diagnosing root causes of intermittent slow queries in cloud databases［J］. Proceedings of the VLDB Endowment, 2020, 13(8): 11761189［13］吴复迪, 刘文懋, 薛见新, 等. 一种攻击意图识别方法及装置: 中国, CN202011038322.7［P］. 20200928［14］Manku G S, Jain A, Das Sarma A. Detecting nearduplicates for Web crawling［C］ Proc of the 16th Int Conf on World Wide Web. New York: ACM, 2007: 141150［15］吴复迪, 薛见新, 张润滋, 等. 一种检测攻击告警的方法、装置、检测设备及存储介质: 中国, CN202111558765.3［P］. 20211220［16］Abadi M, Barham P, Chen J, et al. TensorFlow: A system for largescale machine learning［C］ Proc of the 12th USENIX Symp on Operating Systems Design and Implementation (OSDI 16). Berkeley, CA: USENIX Association, 2016: 265283［17］绿盟科技. 智能安全运营技术白皮书［EBOL］. 2020 ［20221218］. https:www.nsfocus.com.cnhtml202092_1218142.html［18］薛见新, 王星凯, 张润滋, 等. 基于异构属性图的自动化攻击行为语义识别方法［J］. 信息安全研究, 2022, 8(3): 292300

[1]	杨代才. 气象大数据云平台的网络安全防护体系设计[J]. 信息安全研究, 2023, 9(7): 701-.
[2]	李雪莹, 王玮, . 基于业务场景的数据安全治理模型[J]. 信息安全研究, 2022, 8(4): 392-.
[3]	薛见新, 王星凯, 张润滋, 顾杜娟, 刘文懋, . 基于异构属性图的自动化攻击行为语义识别方法[J]. 信息安全研究, 2022, 8(3): 292-.
[4]	王月兵, 覃锦端, 刘隽良, 刘聪, . 医疗行业数据安全治理框架研究[J]. 信息安全研究, 2021, 7(E2): 33-.
[5]	孙松儿, 曹东, 史明琪, . 智慧城市网络安全建设框架及实践[J]. 信息安全研究, 2021, 7(E2): 61-.
[6]	屈伟, 王鹏, 吴潇, . 基于安全河的智慧城市安全运营框架研究[J]. 信息安全研究, 2021, 7(E2): 69-.
[7]	杨长茂, 李晨, . 数字时代的数字基础设施安全架构研究与实践[J]. 信息安全研究, 2021, 7(E2): 106-.
[8]	陈策, 李嘉豪, 何明森, . 视频监控专网安全运营解决方案[J]. 信息安全研究, 2021, 7(E1): 16-.
[9]	郭亮张吉智陈心怡刘威歆肖含笑马冰珂. 数据安全复合治理模式研究[J]. 信息安全研究, 2021, 7(12): 1110-.
[10]	黄强, 鲁学仲, 运凯, 李浩升, 赵梅, 康婉晴, . 基于多源告警信息关联的网路安全技防技术[J]. 信息安全研究, 2021, 7(11): 1041-.
[11]	胡国华. 数据安全治理实践探索[J]. 信息安全研究, 2021, 7(10): 915-.
[12]	胡国华. 远程办公中的数据安全保护[J]. 信息安全研究, 2020, 6(4): 311-316.
[13]	王广清韩金丽方铁城申彦龙. 北京燃气集团工业互联网安全运营平台建设与实践[J]. 信息安全研究, 2019, 5(8): 734-739.
[14]	李贵鹏李思艺徐冰清. 智慧城市信息安全运营平台研究[J]. 信息安全研究, 2019, 5(5): 420-429.
[15]	刘振吉. 便携计算机防盗提示器设计及无线认证策略[J]. 信息安全研究, 2016, 2(6): 527-532.