精华内容
下载资源
问答
  • 网络安全事件分类

    千次阅读 2010-09-23 10:51:00
    MI:有害程序事件(Malware Incidents) CVI:计算机病毒事件(Computer Virus Incidents) WI:蠕虫事件(Worms Incidents) THI:特洛伊木马事件(Trojan Horses Incidents) BI:僵尸网络事件(Botnets Incidents...

    MI:有害程序事件(Malware Incidents) CVI:计算机病毒事件(Computer Virus Incidents) WI:蠕虫事件(Worms Incidents) THI:特洛伊木马事件(Trojan Horses Incidents) BI:僵尸网络事件(Botnets Incidents) BAI:混合攻击程序事件(Blended Attacks Incidents) WBPI:网页内嵌恶意代码事件(Web Browser Plug-Ins Incidents) NAI:网络攻击事件(Network Attacks Incidents) DOSAI:拒绝服务攻击事件(Denial of Service Attacks Incidents) BDAI:后门攻击事件(Backdoor Attacks Incidents) VAI:漏洞攻击事件(Vulnerability Attacks Incidents) NSEI:网络扫描事件(Network Scan & Eavesdropping Incidents) PI:网络钓鱼事件(Phishing Incidents) II:干扰事件(Interference Incidents) IDI:信息破坏事件(Information Destroy Incidents) IAI:信息篡改事件(Information Alteration Incidents) IMI:信息假冒事件(Information Masquerading Incidents) ILEI:信息泄漏事件(Information Leakage Incidents) III:信息窃取事件(Information Interception Incidents)
    GB/Z 20986—2007
    注 2
    ILOI:信息丢失事件(Information Loss Incidents) ICSI:信息内容安全事件(Information Content Security Incidents) FF:设备设施故障(Facilities Faults) SHF:软硬件自身故障(Software and Hardware Faults) PSFF:外围保障设施故障(Periphery Safeguarding Facilities Faults) MDA:人为破坏事故(Man-made Destroy Accidents) DI:灾害性事件(Disaster Incidents) OI:其他事件(Other Incidents)

    展开全文
  • 信息安全技术 信息安全事件分类分级指南--思维导图 信息安全事件分类:有害程序事件、网络攻击事件、信息破坏事件.... 信息安全事件分级:特别重大事件(I级)\。。。。。。。 分级考虑要素
  • 信息安全事件可以是故意、过失或非人... 信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类分别包括若干个子类。
  • 16-信息安全技术 信息安全事件分类分级指南.pdf。。。
  • 信息安全事件分类分级解读

    万次阅读 2018-03-08 13:39:52
    信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。 1、信息安全事件分类 依据《中华人民共和国网络安全法》 、《GBT ...

    信息安全事件分类分级解读

         信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。

    1、信息安全事件分类

      依据《中华人民共和国网络安全法》 、《GBT 24363-2009 信息安全技信息安全应急响应计划规范》、《GB\T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》  《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等多部法律法规文件,根据信息安全事件发生的原因、表现形式等,将信息安全事件分为网络攻击事件、有害程序事件、信息泄密事件和信息内容安全事件四大类。

    网络攻击事件:

      通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件,包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。

    有害程序事件:

      蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。

    信息泄露事件:

      通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等,导致的信息安全事件。信息泄露事件包括专利泄露、系统主动监控及异常查单、产品竞价推销、怀疑员工泄露客户资料、员工泄露公司合同等。

    信息内容安全事件:

       利用信息网络发布、传播危害国家安全、社会稳定、公共利益和公司利益的内容的安全事件。包括违反法律、法规和公司规定的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件。 

    2、信息安全事件分级

      依据《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》  《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等法律法规文件,从以下因素进行考虑

    信息密级:衡量因信息安全事件中所涉及信息的重要程度的要素;

    声誉影响:衡量因信息安全事件对公司品牌所造成的负面影响范围和程度的要素;

    业务影响:衡量因信息安全事件对公司或事发部门正常业务开展所造成的负面影响程度的要素;

    资产损失:衡量因恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

    根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。

    特别重大事件(Ⅰ级)

    特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受特别严重的系统损失;

    b)  产生特别重大的社会影响。

    解读:公司部门中心的基础设施网络、重要信息系统(A类I类系统)、核心网站(如官网、管理后台)瘫痪,导致长时间业务中断,直接导致巨大经济损失的事件;绝密和机密数据(数据库或客户资料)被泄露导致大范围社会传播事件,严重影响公司声誉;对外发布公司内部机密信息、大范围传播损害公司形象利益的言论等事件,直接影响公司投资者关系或者上市进程或者公司股价等事件

    重大事件(Ⅱ级)

    重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;

    b)  产生的重大的社会影响。

    解读:公司部门中心的基础设施网络、重要信息系统(A类I类系统)、核心网站(如官网、管理后台)瘫痪,导致业务中断,造成严重影响或经济损失的事件;绝密和机密数据(数据库或客户资料)遭受非法访问或传播事件;未经授权对外发布公司内部机密信息、大范围传播损害公司形象利益的言论等事件。

    较大事件(Ⅲ级)

    较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失;

    b)  产生较大的社会影响。

    解读:公司信息系统、网站、部门范围内的网络通信或者应用系统受到影响,并关系到业务正常运行的事件和用户系统账户被非法使用,遭受非法访问和泄密、传播损害公司形象利益的言论等事件,但是这些事件仅出现社会舆论小范围报告,没有给公司带来实际的损失和影响的事件。

    一般事件(Ⅳ级)

    一般事件是指不满足以上条件的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;

    b)  产生一般的社会影响。

    解读:公司内小范围出现的网络延时或故障,信息系统功能缺陷或者短暂不可用,导致个别用户或者业务受影响等技术层面的事件,或部分员工无意识的违反信息安全规定等管理层面的事件,但是这些事件没有给公司带来实际的损失和影响的事件。

     

    欢迎大家分享更好的思路,热切期待^^_^^ !

     

    展开全文
  • 行业分类-物理装置-一种网络安全事件应急处理方法.zip
  • GBZ 20986-2007 信息安全技术 信息安全事件分类分级指南
  • GB/Z20986-2007 信息安全事件分类分级指南
  • 行业分类-作业装置-一种网络安全事件的关联分析方法、装置及存储介质.zip
  • 行业分类-电子电器-一种企业专用网络安全事件管理系统.zip
  • GB-T 20986-2007 信息安全技术 信息安全事件分类分级指南.pdf;GB-T 20986-2007 信息安全技术 信息安全事件分类分级指南.pdf
  • 信息安全事件分类分级指南

    万次阅读 2019-02-15 17:24:26
    一、信息安全事件分类: 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件和其他信息安全事件 二、信息安全事件分级: 分级考虑要素:信息系统的重要程度、系统损失和社会...

    一、信息安全事件分类:
    有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件和其他信息安全事件
    二、信息安全事件分级
    分级考虑要素:信息系统的重要程度、系统损失和社会影响
    1. 信息系统的重要程度
    信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度,划分为特别重要信息系统、重要信息系统和一般信息系统。
    2. 系统损失
    系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑系统恢复正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失。
    (1)特别严重的系统损失:造成系统大面积瘫痪,使其业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
    (2)严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的;
    (3)较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
    (4)较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
    **3.社会影响:**是指社会安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响。(1)特别重大的社会影响:波及到一个或多个省市的大部分地区,极大威胁国家安全,引起社会动荡,对经济建设有极其恶劣的负面影响,或者严重损害公众利益;
    (2)重大的社会影响:波及到一个或多个地市的大部分地区,威胁到国家安全,引起社会恐慌,对经济建设有重大的负面影响,或者损害到公众利益;(3)较大的社会影响:波及到一个或多个地市的部分地区,可能影响到国家安全,扰乱社会秩序,对经济建设有一定的负面影响,或者影响到公众利益;(4)一般的社会影响:波及到一个地市的部分地区,对国家安全,社会秩序,经济建设和公众利益基本没有影响,但对个别公民、法人或其他组织的利益会造成损害。
    **三、事件分级:**根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:
    (1)特别重大事件(I级)
    是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:A) 会使特别严重信息系统遭受特别严重的系统损失;B) 产生特别重大的社会影响。
    (2)重大事件:(II级)
    是指能够导致严重影响或破坏的信息安全事件,包括以下情况:A) 会使特别重要信息系统遭受严重的系统损失、或使重要信息遭受特别严重的系统损失;B) 产生重大的社会影响
    (3)较大事件(III级)A) 会使特别重要信息系统遭受较大的系统损失、或使严重信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失;B) 产生较大的社会影响。
    (4)一般事件(IV级)一般事件是指不满足以上条件的信息安全事件,包括以下情况:A) 会使特别严重信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;B) 产生一般的社会影响。

    展开全文
  • 网络游戏-一种基于贝叶斯网络学习的城市安全复杂事件分类控制方法.zip
  • 信息安全技术 信息安全事件分类分级指南 1 范围 本指导性技术文件为信息安全事件的分类分级提供指导用于信息安全事件的防范与处置为事前准备事中应对事后处理提供一个基础指南可供信息系统和基础信息传输网络的运营...
  • 机器学习应用在安全领域,尤其是各种攻击检测(对外的入侵检测与对内的内部威胁检测)中,相信很多人早已习以为常。当前机器学习应用的焦点在于能够及时检测出系统/组织中发生的攻击威胁,从而缩短攻击发生到应急...

    机器学习应用在安全领域,尤其是各种攻击检测(对外的入侵检测与对内的内部威胁检测)中,相信很多人早已习以为常。当前机器学习应用的焦点在于能够及时检测出系统/组织中发生的攻击威胁,从而缩短攻击发生到应急响应的时间差。

    但是即便是最理想的威胁检测系统,当发现威胁报警时,威胁大多已经发生,对系统/组织的危害已经造成,因此检测永远只能作为一种相对被动的安全机制。因此,学界和业界开始将目光投向攻击威胁的事先防御,即预测机制的研究。

    今天我们给大家介绍一个基于安全态势感知技术实现的网络安全事件预测方法,相信可以给感兴趣的广大攻城狮、程序猿们带来启发。

    0×00 Outline
    介绍(Introduction)数据收集(Data Collection)数据预处理(Data Pre-processing)特征集(Feature Set)训练与测试(Training and Test Procedure)事件预测(Incident Prediction)小结(Summary)参考文献(Reference)
    0×01 介绍

    最近几年报道的网络安全事件对于社会和经济的影响越来越大,比如轰动全球的JPMorgan Chase Hack事件,就设计到76,000,000个普通家庭,而其在搜索引擎中可以找到近120,000条相关条目,如图1: 


    类似的安全事件还有很多,其共同点都是造成的社会经济影响已经远不是之前局限在系统/组织内部的微观Hack攻击。现有的安全研究集中在使用基于机器学习的多种主动主动防御机制来保护系统/组织免收这类威胁。然而由于现有主动防御机制的本质依旧是检测存在的攻击威胁,因此即便报警采取应急措施,实际的损失也已经不可避免。研究事先防御的预测方法势在必行。

    我们今天所介绍的“预测”方法,单纯依靠外部公开可得的系统/组织信息,对系统可能发生的网络安全事件进行预判,从而作为原有检测机制的有益补充,提高系统防范网络威胁攻击的能力。

    在继续我们今天的讨论之前,先来简单介绍下安全态势的背景。

    安全态势简要介绍

    安全态势的概念来自于态势感知,最早源于航天飞行的人因研究,之后在军事、核反应控制、空中交通监管等多个领域被广泛研究,原因在于在动态复杂的环境中,决策者需要借助态势感知的工具显示当前环境的连续变化情况,才能准确地做出决策。网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知则是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。

    一般的网络安全态势分为三个层次,如图2:

    0×02 数据收集

    作为一种实际可行的态势评估、预测方法,我们今天的方法所使用的所有数据均来自公开可得的数据源,这些数据源主要分为:

    1. 安全态势数据(Security Posture Data)

    网络安全态势可以使用许多测量方法,这里采用两种,一种是测量网络的误配置或与标准/建议配置的差异;另一种则是测量来自于该网络的恶意行为程度。具体地:

    1.1 管理失当的数据表现(Mismanagement Symptoms)

    此类数据主要表现为以下五类数据,分别来自于文献[1]中的数据特征的一个子集:

    >Open Recurisive Resolvers:错误配置的DNS服务器很容易被用于*DNS放大*攻击;这部分数据来源于一个开源项目Open Resovler Project [2],该项目自动搜索、记录配置不当的DNS服务器信息;
    
    >DNS Source Port Randomization:RFC-5452建议出于安全考虑,DNS源端口和查询ID都应当随机化,然而实际中很多DNS没有遵循这一建议,这非常容易遭受*缓存中毒*攻击,这部分数据同样来自于文献[1];
    
    >BGP Misconfiguration:BGP配置错误或重新配置都会造成不必要的路由协议更新和出现生存期很短的临时路由表项,这部分数据也来自文献[1];
    
    >Untrusted HTTPS Certificates:X509证书用于实现TLS协议中d客户端认证,但是很多没有正确配置。通过网络扫描获得了2013年3月22日的10,300,000台主机配置错误[1];
    
    >Open SMTP Mail Relays:这常被用来发送垃圾邮件,论文中使用的是2013年7月23日收集到的22,284个开放邮件中继服务器信息[1];
    

    1.2 恶意行为数据(Malicious Activity Data)

    恶意行为数据主要指的是在外部检测观察到的,源自于某组织内部的恶意行为,这里我们只关注三种恶意行为,分别是Spam、Phishing以及Scan行为。

    这部分数据主要来自以下数据库

    >SPAM:CBL、SBL、SpamCop、WPBL和UCEPROTECT;
    >Phishing:SURBL、PhishTank和hpHosts;
    >Scanning:Darknet scanners list、Dshield和OpenBL;
    
    2. 安全事件数据

    安全事件数据主要来自于三大公开的网络安全数据库,分别是:

    >VERIS Commnunity Database(VCDB)[3]; 
    >Hackmageddon[4];
    >The Web Hacing Incidents Database(WHID)[5];
    

    下面用图3来简单展示下VCDB数据库中的安全事件示例:

     

    为了实验基于安全态势感知的网络安全事件预测方法,在收集安全事件数据时,事件发生事件应晚于收集的网络安全态势数据,如图4,其中的态势数据(前两类)用于训练,而最后的事件数据则用于预测测试。

    在事件集中,选择了700个安全事件,排除掉物理攻击、偷窃、内部攻击行为以及目标不明的事件报告,如图5:

     

    0×03 数据预处理

    在收集到安全态势数据之后,实际使用前一般都需要进行预处理。这里主要的预处理工作是将安全态势数据与安全事件数据结合,即映射(Mapping Process)与聚合(Aggregation Process)。

    我们所收集到的安全态势数据与安全事件数据结合最大的问题在于:安全态势数据是基于主机IP层次的,而安全事件数据则是基于组织/企业层次的,那么如何利用基于IP的安全态势数据来预测基于组织/企业的安全事件呢?

    一种可行的方法是:通过确定一个Sample IP作为代表IP来确定本次攻击目标的实际所有者(组织/企业),再通过查询公开的RIR数据库获得与攻击目标相关的所有IP地址块,然后这些IP地址块作为一个聚合单元与安全态势数据进行结合。

    RIR(Reginal Internet Registry)负责将IP地址块分配给ISP的多家国际组织之一,全球五大RIR分别是RIPE(欧洲)、LACNIC、ARIN(美国)、AFRINIC以及APNIC(亚太地区)。Sample IP的思想是用一个代表IP反向查找RIR获取相关的所有IP块,从而得到一个组织/企业对应的IP集合信息。即:

    Attack Target's Sample IP --->RIR--->Owner ID--->IP Block with the Owner--->Corporate IP Set
    
    3.1 Sample IP提取算法

    为了说明如何获得一次攻击事件中的目标Sample IP,我们简单地描述算法:

    获取一个安全事件报告;从安全报告中提取出与事件相关的公司的网站;如果该网站是此次安全事件的起始点/入侵点,则将该网站的IP地址作为 Sample IP ,如文献[6]中对曼德菲尔城的官网攻击,官网就是入侵点;如果该网站不是入侵点,但是却可以代表攻击目标,即该网站的所有者ID正是攻击事件的受害方,则也可以将该网站的IP作为本次事件的 Sample IP ;其它情况的 Sample IP 暂不考虑;  Sample IP 必须根绝安全事件报告人工分析确定; 3.2 聚合分析

    在获得了攻击目标的Sample IP后,接下来就要查询RIR得到相关的IP块了,具体地:

    通过 Sample IP 查询RIR数据库,得知其所有者ID,然后将RIR数据库中属于该ID的所有IP地址作为一个聚合单元;全局聚合:将没有遭受攻击的组织也处理成聚合单元的模式,所得受害方与非受害方的聚合单元的全集(攻击目标与非目标都要分析);

    聚合分析:

    对于安全态势数据中的管理不善的数据表现,计算一个聚合单元中命中的IP地址比例(fraction);

    对于安全态势数据中的恶意行为数据,计算聚合单元中被列入攻击黑名单中IP地址的个数;

    对受害方和非受害方均执行上述分析;

    0×04 特征集

    我们从所得到的处理过的数据中,分类成两类数据用于特征提取,一类是主数据集(Primary Set),用于表示原始数据;另一类是次数据集(Secondary Set),用于表示从原始数据中分析得到的统计数据。

    实验共用到258个特征属性,其中隶属于主数据集180个特征属性,隶属于次数据集72个特征属性。

    4.1 主数据集特征(Primary Features) Mismanagement Features:来源于前述的管理不善的五种数据表现,分别作为了特征。特征计算方法是计算配置不当的IP地址数量/聚合单元的IP地址数量,取值在[0,1]之间; Malicious activity time series:每个组织(聚合单元)收集三种恶意行为的时间序列,分别是spam、phish以及scan,其中第i个组织的三种恶意行为的时间特征如图6, 且数据收集周期为60天,每个组织共180个记录特征,聚合单元的规模 Size 也作为一个特征; 且数据收集周期为60天,每个组织共180个记录特征,聚合单元的规模 Size 也作为一个特征;

    为了便于理解,我们给出三个组织中恶意行为时间序列的例子,如图7,其中Y轴表示60天的周期中,每一天出现在所有Spam黑名单上的唯一IP地址数量:

     

    4.2 次数据集特征(Secondary Features)

    从原始数据中分析获得的统计特征作为次数据集特征,这里引入了Region,概念,用于表示是图形中的特定区域,低于Normal的区域为正常(Good),高于Normaal的区域为异常(Bad),如图8:

     

    其中的红色实线表示Normal准线,高于红实线的区域为Bad,低的则是Good区域,持续性(Persistency)用于表示保持在同一个区域中的时间。

    每个Region具备四个基本的统计特征:

    归一化平均幅度(normalized average magnitude) 非归一化平均幅度;处于该区域的时间;进入该区域的频率;一个时间序列具有good、bad、normal三个区域,因此一共有12个统计特征;同时每个聚合单元由三条事件序列(三种恶意行为),因此有36个统计特性,记为Fi;根据数据收集时间(60天和14天)又分为Recent-60和Recent-14两大类,总共72个统计特征;

    归一与非归一幅度的例子如图9:

     

    0×05 训练与测试

    数据处理完毕,提取到所需的特征集后,接下来使用随机森林构建分类器。

    5.1 训练集构建

    训练部分采用的数据集由两个部分组成,分别是Group(1)和Group(0); 安全事件中攻击目标的特征数据被作为Group(1),即安全事件发生; 从非攻击目标中随机抽取目标的特征数据作为Group(0),即安全事件未发生;

    Group(1)特征集的抽取有着不同的比例,如50:50,意味着一半的数据用于训练,另一半用于测试,也可以是70:30;

    Group(0)选取数据的过程会重复多次,每次都会通过RF学习获得一个分类器,最终实验预测结果是所有这些分类器预测的平均值;

    5.2 随机森林分类器(Randome Forest Classifier)

    Randome Forest,称作随机森林算法,是一种由多棵决策树组合而成的联合预测模型,天然可以作为快速有效的多分类模型;

    简要介绍学习算法:

    1. 用N表示训练例子的个数,M表示变量的数目; 2. 选择一个数m,用来决定在一个node上做决定时使用多少个变量,m选择那些不包含在Group(1)中的安全事件数据加入到测试集,同时随机抽取非攻击目标的数据一起构建实验测试集。实验中根据预测的时间长短分短期预测(Short-term Forecasting)与长期预测(Long-term Forecasting),如图10:

     

    因为要预测安全事件的发生,因此采用的训练集必须在事件发生前的某个阶段。设定每个阶段为一个月(30天),一般对于短期预测而言,使用第一次安全事件发生的该阶段即可(30天),对于长期预测而言,训练集应当从测试集中安全时间第一次发生的阶段之前开始。

    0×06 事件预测

    实验预测结果如下,图11中展示了不同安全事件集中的事件预测的TP与FP的关系:

     

    图12给出了上图中效果最佳的(TP, FP)值,如图12:

     

    图13给出了同一个事件集VCDB上采用50-50/70-30的训练集/测试集比例效果对比,以及长短期预测的效果对比:

     

    0×07 小结

    我们今天介绍了一种基于安全态势的网络安全事件预测方法,其目标是能够仅仅基于组织网络外部的可观测信息,对该组织中可能发生的网络安全事件进行预测的预警系统

    预测中使用了258个目标组织/企业网络的外部可测量特征属性,一类是管理不善的特征,如配置错误的DNS或BGP,另一类则是恶意行为时间序列,如垃圾邮件、网络钓鱼,以及发自组织内部的扫描行为。

    通过使用这些特性树形,建立随机森林分类器,实验针对约1000个事件训练测试了预测方法的准确性,最佳可以达到90%的正确检测率,10%的误报率。 

    原文章:http://www.2cto.com/Article/201603/495657.html

    展开全文
  • 浅谈网络安全产品的分类

    万次阅读 2018-06-27 10:15:24
    最近又犯病了,居然对网络安全产品的分类动了心思。用了两个晚上时间梳理了一下,总算是有个勉强可接受的结果。在此感谢启明星辰叶蓬关于分类的意见,和你的讨论让我受益匪浅。第一部分 概述我们先来看看IDC沿用多年...
  • CISP-IRE 认证- 应急响应知识体系与课件 入侵排查篇 日志分析篇 权限维持篇 Windows实战篇 Linux实战篇 Web实战篇 ...证券期货业网络安全事件应急演练指南 XX系统安全总体应急预案等等 重大节假日HW资料等
  • 时 有害程序类事件 事件分类 信息内容安全类事件 其它类事件 网络攻击类事件 故障类事件 信息破坏类事件 灾害类事件 事件级别 eq?\o\ac( eq?\o\ac,级) 级 级?级 危害表象 网络中断 系统瘫痪 数据毁坏 数据泄密 其它...
  • 网络与信息安全事件应急预案...2开展风险分析对重要信息系统进行风险评估查找安全风险分析可能出现的安全事件并对安全事件及次生衍生安全事件可能造成的后果进行预测 3明确相关人员对照信息安全事件分类分级指南对可
  • GAT 708-2007 信息安全技术 信息系统安全等级保护体系框架 ...GBZ 20986-2007信息安全技术+信息安全事件分类分级指南 信息安全技术 信息系统安全等级保护测评要求 信息安全技术信息系统安全等级保护测评过程指南
  • 2020年中国网络安全产业白皮书分析解读

    千次阅读 多人点赞 2020-11-05 07:15:45
    安全从来都是一个聚焦的话题,根据信通院的提供的数据,2019年中国网络安全产业较2018年增长17.1%,这是信通院第六次发布中国网络安全产业研究成果,主要从全球网络安全产业规模和进展以及中国安全产业进展、生态...
  • 网络安全学习过程中,应急响应是什么?应急响应体系的要素有哪些?应急响应的对象是什么?应急响应的主要意义是什么?应急响应的工作流程是怎样的?是每个网络安全工程师都需要了解的问题。 什么是应急响应? “应急...
  • 网络安全管理规章制度

    千次阅读 2019-10-18 23:45:33
    为进一步加强公司网络安全与信息安全管理,提高网络信息安全风险处理能力,确保网络运行安全与信息安全,预防和减少突发事件造成的危害与损失,根据国家对网络安全的有关规定以及公司实际情况制定了本预案。...
  • 文件编号1015 版本1.0.0 页码第 PAGE 16 页共 NUMPAGES 16 页 标题网络与信息安全事件应急预案 目录 TOC \o "1-3" \h \z \u 1 目的 2 2 适用范围 3 3 组织机构及职责 3 4 事件分类分级 5 4.1 事件分类 5 4.2 事件...
  • 网络安全】常见的网路安全设备及功能作用总结

    千次阅读 多人点赞 2020-10-20 01:50:39
    三、IPS 入侵防御系统(入侵检测+入侵防御)四、SOC 安全运营中心五、SIEM 信息安全事件管理六、Vulnerability Scanner漏洞扫描器七、UTM 统一威胁管理八、DDOS防护九、FireWall 防火墙十、VPN 虚拟专用网络十一、...
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及...
  • 一总则 为做好应对网络与信息安全事件的各项准备工作提高 应急处理能力结合本单位实际制定本预案 1编制依据 中华人民共和国突发事件应对法国家网络与信息 安全事件应急预案信息安全事件分类分级指南等相 法律规定 2...
  • 一总则 为做好应对网络与信息安全事件的各项准备工作提高应急处理能力结合本单位实际制定本预案 1编制依据 中华人民共和国突发事件应对法国家网络与信息安全事件应急预案信息安全事件分类分级指南等相关法律规定 ...
  • 网络与信息安全事件报告操作规程 第一章 总 则 第一条 河南省地税系统发生重大网络与信息安全事件的报告适用本操作规程 第二条 根据税务系统网络与信息安全事件分级分类指南规定本操作规程所指的重大网络与信息安全...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 61,387
精华内容 24,554
热门标签
关键字:

网络安全事件分类