态势感知安全产品误报、漏报分析

最新推荐文章于 2024-06-07 19:04:22 发布

diesuli9628

最新推荐文章于 2024-06-07 19:04:22 发布

阅读量3.2k

点赞数 2

文章标签： php

原文链接：http://www.cnblogs.com/wenwen9090/p/11532503.html

版权

1.分析思路

正向分析——根据已有的高危、严重、中危、低危规则分析目前的规则制定的信息是否有效，本质上属于功能测试

黑盒分析——从爆出的告警日志分析，分析具体的攻击行为，根据产品具体日志信息，查看数据包内容，确定是误报。

正向分析出现的问题，已经做完功能测试，每条规则本身是生效的，那么存在问题，应该归为bug。攻击测试，本身规则不够，需要分析日志在规则中有没有拦截。。

黑盒分析——产品为其他安全厂家的，其他安全厂家本身就是误报的日志，态势感知在这个基础上分析，仍然是误报。

2.分析情况

1、同一IP对目标使用多种攻击手段 5

2、检测到病毒邮件 5条

3、检测到内网主机扫描行为 10条

4、检测到用户收取了病毒邮件 10条

5、同一IP对目标使用多种攻击手段 10条

6、web网页扫描后，发生web服务器漏洞攻击1 2条 ThinkPHP框架执行任意代码漏洞

7、WEB登录时使用了弱口令 6条

8、检测到内网可疑445端口扫描行为 5条

9、webshell上传攻击 3条

10、同一ip对同一目标在扫描后尝试多种攻击 5条

11、检测到可疑命令行为 5条

12 、webshell连接攻击 1条

13、同一ip对同一目标扫描后尝试sql注入并同时尝试其他攻击 3条

每种类型根据实际告警情况选取一定条数共80条分析，误报9条。该误报值跟选取样本有关系，存在偏差。

3.分析结果

每种类型根据实际告警情况选取一定条数共80条分析，误报9条。该误报值跟选取样本有关系，存在偏差。

转载于:https://www.cnblogs.com/wenwen9090/p/11532503.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

diesuli9628

关注关注

2
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

基于开源工具集的大数据网络安全态势感知及预警架构.pdf

09-20

本文档《基于开源工具集的大数据网络安全态势感知及预警架构》便是一篇聚焦于此的学术论文，作者通过分析传统网络安全防护技术的不足，探讨利用大数据和开源工具集来构建一个高性能、可扩展的网络威胁处理平台。...

「安全防御」安全的未来是态势感知 - 数据泄露.zip

12-06

AI安全技术在此过程中发挥着关键作用，利用机器学习和人工智能算法，能够快速准确地识别潜在的威胁，减少误报和漏报的可能性。渗透测试是验证安全措施有效性的常用方法，它模拟黑客攻击来评估系统的脆弱性。在态势...

参与评论您还未登录，请先登录后发表或查看评论

使用态势感知设备如何区分告警是否为误报

weixin_44214275的博客

08-05

4316

1、挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件，直接过滤掉，减少告警数量2、一般情况下，真实攻击不可能只持续一次，它一定是长时间、周期性、多IP的进行攻击用流量监测的安全设备，比如天眼，查看报文，分析报文里和 host 和网站目录路径，查看是否可疑，使用微步查询 host 是否为恶意，使用 wireshark 对数据包深度分析看一下请求的网站路径，源 IP 与目的 ip 地址，host 字段的值以及发包内容等。工具有 wearshark，网站的话微步在线。

基于拓扑漏洞分析的网络安全态势感知模型

最新发布

attack2001的专栏

06-07

1211

漏洞态势分析是指通过获取网络系统中的漏洞信息、拓扑信息、攻击信息等，分析网络资产可能遭受的安全威胁以及预测攻击者利用漏洞可能发动的攻击，构建拓扑漏洞图，展示网络中可能存在的薄弱环节，以此来评估网络安全状态。在网络安全形势日益恶化的今天，如何快速有效地获取网络系统的安全状况、提高网络安全应对水平、增大网络安全的预警时间，成为网络空间安全领域研究的重要问题。网络漏洞态势感知研究存在的问题是缺乏有效的网络漏洞势数据采集和要素提取方法，使得网络资产漏洞态势的理解和分析计算难以进行。

态势感知（态感）

QuJJan的博客

01-20

5109

一些态势感知系统允许用户根据自己的需求和偏好进行界面布局、数据呈现方式等方面的定制和个性化设置。

安全产品误报极多情况下运营分析技巧

ZL_1618的博客

08-05

881

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。干货主要有：①1000+CTF历届题库（主流和经典的应该都有了）②CTF技术文档（最全中文版）③项目源码（四五十个有趣且经典的练手项目及源码）

网络安全产品---态势感知&EDR

嘿嘿嘿

04-16

2003

是对一定时间和空间内的环境元素进行感知，并对这些元素的含义进行理解，最终预测这些元素在未来的发展状态。

网络空间安全态势感知真假难辨之如何技术导向思考题】

专注网络安全，聚焦数据安全。

12-31

656

通过以上国外对于情报分析以及网络安全态势感知的整体了解，也对比我们当前对于整个国内市场的了解，可以看到当前大数据，以及AI人工智能在网络空间安全里面的应用基本都已经落地，但并没有从多维度多种技术进行深度融合，如态势感知中所提到的应用技术数据标签，数据整体的保护，大数据的分析及应用数据的自动发现知识的自动发现以及融合技术的应用等等，或是我们在整个产品级里面，看到东西并不足以去做到很好的呈现，或是当前产品已经跨越了当前我们所了解的内容进入到了新的技术领域的时代。1，充分安全的信息共享。3，以大数据技术为核心。

XX市电子政务外网安全态势感知解决方案

03-02

大数据分析能够帮助安全团队快速定位问题，提高响应效率，减少误报和漏报的可能性。三、方案主要内容 1. 数据采集：部署各种传感器和日志收集设备，从电子政务外网的不同层次和节点收集各种安全相关的数据。 2. ...

网络安全态势感知及主动预警技术研究.pdf

09-20

预警系统需要具备快速响应和准确判断的能力，减少误报和漏报，提高预警的实效性和准确性。电力系统的网络安全尤其重要，因为电力网络的任何中断都可能对社会造成严重影响。面对日益严峻的网络空间安全对抗形势，...

基于能力机会意图模型的网络安全态势感知方法.pdf

09-20

这不仅有助于提升网络安全防护的效率，还能够减少误报和漏报的情况，优化网络资源的配置。总而言之，基于能力机会意图模型的网络安全态势感知方法，是网络安全态势感知领域的一个重要进展。它不仅提升了网络安全...

误报率过高：策略导致大量正常流量被错误地拦截

ZOMO的博客

02-04

1167

本文针对当前网络环境中**误报率过高**这一问题展开讨论，并提出一些建议来解决此问题以及提高网络安全防护能力的方法和措施；同时探讨了如何在确保有效阻挡潜在威胁的同时减少不必要的干扰和保护正常的互联网访问需求。---

安全设备篇——态势感知

qq_61807674的博客

04-04

4838

传感器其实就是探针，探针用来镜像流量，而态感就通过读取探针镜像的流量来分析数据的。其实网上很多有关安全设备的帖子，且各大厂家官网的产品详情也是介绍的清清楚楚的，开启此篇章的目的（除了水）主要是给刚入门的小师傅们尽可能通俗易懂的介绍各类安全设备的用途，而今天的主角就是——态势感知。说的稍微儿童一点，以图片中的规则为例子，就是态势感知会去看流量中有没有这些payload，如果有就判断为sql注入嘛，我这里写的比较水，当时实习也没什么空搞这玩意，应该分的细一点的，比如联合注入啊盲注之类的。

安全事件误报

haorenshizhenhua的博客

04-01

1593

记录安全事件误报的一次尴尬经历发现问题初步分析厂商配合解决问题结论发现问题作为一名安全运维，整理当天日报是正常的工作。整理数据时，通过soc平台发现某内网ip存在不正常流量，对某内网ip进行多手段攻击，涉及7种攻击手段，单日总事件量达到3000余次，基本判断ip存在异常，因为不太清楚具体设备，只能及时上报。初步分析攻击手段多样化，不存在中木马中病毒情况，更像是人已控制源ip对目的ip进行...

什么是误报?如何识别误报和漏报

Trinity_Techologies的博客

05-17

7415

不管开发人员技能多么精通，误报和漏报总是会发生，很可能是他们的代码有某种无意的错误或漏洞。为了确保尽早发现这些编码错误和漏洞，开发人员通常使用代码静态分析工具，工具会根据开发人员设置的规则检查代码。然而，代码静态分析工具并不完美，工具有时也会出现误报和漏报。这些编码错误如果没有被捕获，可能会对代码产生显著的影响。因此，我们将阐释什么是误报，概述误报和漏报的区别，并提供一个误报示例和和一个漏报示例。

安全运营 | 如何从海量告警中筛选出真实有效的攻击？

08-30

7950

在考虑“如何从海量告警中筛选出真实有效的攻击？”这个问题前，我一直在思考如何更好的将「告警日志数据」转换为「情报数据」进行输出。但考虑到「情报数据」的积累是一件相对比较长期的事情，无法在短时间内让政企客户快速感知到「情报数据」的价值。那么想要“即时”的体现「安全感」，还是要在「攻击有效性」的检测上多花点时间。告警日志数据主要来自：WAF、IPS「入侵防御系统」、IDS「入侵防御系统」、蜜罐、NTA、EDR、APT、防病毒、堡垒机、态势感知等安全设备。当安全设备检测到来自外部或内部的「攻击..

99%误报与1%真实告警之间，差一个“威胁情报”

wangluoanquan111的博客

07-30

200

在网络安全领域，平均检测时间（MTTD）与平均响应时间（MTTR）是衡量企业应对威胁事件能力的重要指标。根据 SANS 2019事件响应的调查，52.6%的企业平均检测时间少于24小时。一旦检测到事件，67%的企业平均响应时间低于24小时，整体已达到较高水平。这其中，威胁情报发挥了极大作用：稳定的情报输出，高精准度的情报检测，全方位的安全态势展现等，确保企业能够有效提升威胁检测与响应能力。威胁情报的重要性已不言而喻。相比之下，国内安全从业者对于威胁情报的认知却依旧存在滞后与误差。

安全态势感知

月牙寂

11-21

5332

原文链接：https://mp.weixin.qq.com/s/xp7Ngg_WTTBMyi-0L4Ykrw 态势感知的定义 态势感知的基础是对报警和元数据的收集，为达到“全方位全天候”的目标，需要在流量、内容、终端三个方面，利用实时数据和历史数据进行检测。但单纯报警的可视化展示并不是真正的“态”。要呈现当前的“态”，需要针对报警或者异常，进行误报甄别、定性分析（识别定向型...