威脅模型構(gòu)建_第1頁
威脅模型構(gòu)建_第2頁
威脅模型構(gòu)建_第3頁
威脅模型構(gòu)建_第4頁
威脅模型構(gòu)建_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

威脅模型構(gòu)建威脅建模方法0102人工運營結(jié)果反饋到模型Content目錄01

威脅建模方法威脅建模方法本質(zhì)上是一個自動化從數(shù)據(jù)中提取信息的過程。從各組件的可復(fù)用性和價值進行考慮,將完整的威脅檢測模型解耦成五層進行介紹。數(shù)據(jù)在各層之間按順序傳遞,完成從原始數(shù)據(jù)到上層知識的冶煉。威脅建模威脅建模方法數(shù)據(jù)層負責(zé)原始數(shù)據(jù)的采集、清洗,保證數(shù)據(jù)的穩(wěn)定性與可用性,"數(shù)據(jù)基礎(chǔ)決定上層建筑"異常層清洗掉系統(tǒng)內(nèi)部的正常行為,為數(shù)據(jù)降噪,在不損失有價值信息的前提下降低后續(xù)步驟的分析成本威脅層從異常中識別威脅,產(chǎn)出IoA/IoC事件層從入侵事件維度聚合IoA/IoC、異常信息、威脅情報等標注數(shù)據(jù),降低運營人員hunting成本運營層將安全運營人員對事件的運營結(jié)果反饋到模型內(nèi)部,使模型能夠"自我進化"02

人工運營結(jié)果反饋到模型將人工運營結(jié)果反饋到模型

五層架構(gòu)中,運營層結(jié)果可以對2-4層的計算邏輯提供有效反饋。將人工運營結(jié)果反饋到模型

反饋事件層

以白名單的形式加到模型鏈路出口,對輸出的數(shù)據(jù)進行過濾。反饋威脅層

以負樣本的形式反饋到監(jiān)督模型,或人工修正模型關(guān)聯(lián)邏輯,或在關(guān)聯(lián)分析中對一些聚合后的日志進行規(guī)則加白。反饋異常層

將反饋的誤報case前置的異常層結(jié)果打標為"正常行為",加入負樣本迭代異常算法,并適當(dāng)加大這種行為的生命周期。反饋到異常層

和威脅層

將會在一定程度上改變模型整體性能,會使"誤報"具有泛化能力,需要謹慎處理。

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論