入侵防御系统中的事件分析

供新的知识。入侵检测和防御技术可以补充防火墙这种被动防御的不足，主动识别攻击行为，发生网络攻击事件后可以对攻击行为进行更加细致的分析，发现系统中存在的漏洞和弱点，及时升级被动防御系统，提升系统的安全性。

入侵检测[1]是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程[2]。入侵防御技术区别于入侵检测技术，它不仅能识别网络威胁，还能对网络威胁做进一步的分析和相应的响应，是对防火墙和防病毒技术的有力补充。对于入侵防御系统而言，检测出威胁事件只是第一步，接下来需要对威胁事件进行分析，掌握威胁事件，溯源定位威胁源头，才能实施有效的响应处置手段。

近些年，网络攻击行为逐渐呈现出大规模、协同、多阶段等特点，网络攻击不再是孤立事件。根据国家互联网应急中心CNCERT(National Internet Emergency Center)2017年度网络安全工作报告，攻击事件按类型进行统计的结果，大部分攻击(尤其是危害巨大的攻击)几乎都是多步攻击。针对多步攻击，传统的被动防御模式能够起到的作用十分有限，而主动防御技术则具有一定的防御能力。入侵防御系统通过分析安全设备产生的告警事件，挖掘这些事件背后所隐藏的网络威胁事件，识别网络中存在的多步攻击行为，并且对其进行精准清除。入侵防御系统为了抵御更加复杂多步攻击，需要在事件分析环节能够准确地关联到事件发生的源头，串联起事件的上下文信息。由于多步攻击中的每一步攻击的成功都是下一步攻击成功的某种先决条件，研究人员利用语言模型逻辑性来描述攻击模型。本文将从网络威胁事件分析中的事件要素提取和事件关联分析两方面展开讨论。

利用深度学习进行事件要素提取

入侵防御系统所接收到的数据往往都是多源异构的，并且格式十分复杂，并不适合直接人类阅读，不能直接用于事件的关联分析，需要确定能够涵盖事件显著特征的要素字段，并且对这些要素特征进行提取。深度学习是近年来兴起的一种基于表征学习思想的机器学习技术，一般使用深层神经网络实现。它通过由神经元组成的多层神经网络逐步学习得到原始数据的高层特征表示并进一步用于分析的任务。

深度学习采用的一般是端到端的方式，即不再需要人工对数据进行特征处理等操作，而是由神经网络直接处理原始数据并自动学习和输出高层特征，不再依赖于特定领域的专家知识。这个优势使得深度学习在很多特征设计比较困难的领域得到了广泛应用，并取得了非常好的效果。[3]

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!