关于SOC、态势感知，5种常见的关联分析模型

引言

在很多安全分析类产品建设的过程中都会涉及到关联分析，比如日志分析，soc，态势感知，风控等产品。关联分析可以认为是这类产品中最核心的能力之一。这个东西从名字上看就知道，千人千面，每个人的想法和理解都不一样。很多甲方都会提关联分析，但你要在细问要做什么样的关联分析，估计大多数甲方都不太能详细说出来，很多乙方对此也是藏着掖着，可能也是核心机密不愿意细说。下面就来聊一下我对关联分析模型的一点思考。

一、概述

有很多公司在自己的产品介绍中说自己的产品有多少种内置规则等等，仔细分析就会发现很多是一个模型出来的，比如主机密码猜测，数据库密码猜测，网络设备密码猜测等，这些规则背后可以理解为一个模型。所以评价一个产品分析规则好坏的关键点我认为不全是内置多少种有效的规则，对关联规则模型支持的多少也可以作为一个重要指标，正如道生一，一生二，二生三，三生万物。当然分析规则的分析能力还要依托于日志解析的准确度和广度，日志解析的越准确，广度越广，对分析的支撑能力就越强。

 

关联分析模型从大的分类看大概有以下 5种：

1、基于规则的关联分析

2、基于统计的关联分析

3、基于威胁情报的关联分析

4、基于情境的关联分析

5、基于大数据的关联分析

这些模型大概是业内提的最多的，但仔细分析，其实里面的内容并不是完全在一个维度上，里面还会有一些些交叉和关联。下面就对这5种常见的关联分析方法进行介绍：

二、基于规则的关联分析

基于规则的关联分析是目前是最常用的一种关联分析模型，这种关联分析模型是指按平台预先内置关联规则，或者用户自定义维护的关联规则对安全事件进行分析。平台接收到经过范式化的安全事件以后，通过事件维度与告警规则进行匹配，一旦匹配到符合条件的规则，规则就会被触发。在规则设定的时间窗口内，平台会将多条成功匹配规则的安全事件进行关联，并按规则设定进行告警。

关联规则主要模拟攻击者攻击的行为，将平台采集的范式化后的日志，通过有效的字段组合，进行规则模型匹配分析，基于规则的关联分析主要针对于已知安全事件的分析，还要基于企业实际网络结构，业务场景进行调整，满足企业实际环境的需求。

基于规则的关联分析的特点是准确，可理解