引言
在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。关联分析可以认为是这类产品中最核心的能力之一。
这个概念从命名上看就知道,千人千面,每个人的想法和理解都各不相同。很多甲方都会提关联分析,如果再细问要做什么样的关联分析,估计大多数甲方都不太能详细描述出来,很多乙方对此也是藏着掖着,可能是核心机密不愿意细说。
下面就来聊一下我对关联分析模型的一点思考。
一、概述
有很多公司在自己的产品介绍中说自己的产品有多少种内置规则等等,仔细分析就会发现,很多规则是一个模型演变出来的,比如主机密码猜测、数据库密码猜测、网络设备密码猜测等,这些规则背后可以理解为一个模型。
所以,我认为评价一个产品分析规则好坏的关键点不全是内置多少种有效的规则,对关联规则模型支持的多少也可以作为评价的一个重要指标,正如道生一,一生二,二生三,三生万物。
当然,分析规则的分析能力还要依托于日志解析的准确度和广度,日志解析得越准确,广度越广,对分析的支撑能力就越强。
关联分析模型从大的分类看大概有以下 5 种:
-
基于规则的关联分析
-
基于统计的关联分析
-
基于威胁情报的关联分析
-
基于情境的关联分析
-
基于大数据的关联分析
这些模型大概是业内提的最多的,但仔细分析,其实里面的内容并不是完全在一个维度上,里面还会有一些交叉和关联。下面就对这 5 种常见的关联分析方法进行介绍。
二、基于规则的关联分析
基于规则的关联分析是目前最常用的一种关联分析模型,这种关联分析模型是指按平台预先内置的关联规则,或者用户自定义维护的关联规则,对安全事件进行分析。平台接收到经过范式化的安全事件以后,通过事件维度与告警规则进行匹配,一旦匹配到符合条件的规则,告警就会被触发。在规则设定的时间窗口内,平台会将多条成功匹配规则的安全事件进行关联,并按规则设定进行告警。
关联规则主要模拟攻击者的攻击行为,将平台采集的范式化后的日志,通过有效的字段组合,进行规则模型匹