一、引言
在当今数字化高度发展的时代,网络安全面临着前所未有的挑战。随着网络攻击手段的日益复杂和多样化,单一的安全告警往往难以全面、准确地反映网络安全态势。安全告警关联分析作为一种有效的安全分析方法,通过对多个安全告警进行关联和整合,能够发现潜在的攻击模式和威胁,为网络安全防护提供更有力的支持。
安全告警关联分析归纳起来主要分为四类:同一攻击源 / 目的特定告警数量叠加、内网主机发起安全攻击、不同网络位置的关联告警以及告警 / 异常告警关联后判定攻击成功。本文将围绕这四类场景展开详细分析,深入探讨各类场景的特点、分析方法、数据源以及相应的解决方案。
二、大量同一类型攻击相关场景
场景一:同一源地址多次发起同一类型攻击
场景描述
在网络环境中,同一源地址多次发起同一类型的攻击是一种常见的攻击模式。攻击者可能出于各种目的,如获取敏感信息、破坏系统稳定性等,持续对目标发起攻击。通过对同一类型安全攻击告警次数的统计和分析,可以判定源地址是否发起持续性安全攻击。例如,某黑客组织为了窃取企业的商业机密,可能会使用同一 IP 地址对企业的服务器持续发起远程漏洞利用攻击。
分析方法
在特定时间内(如 10 分钟内),对同一源地址发起的特定攻击(如远程漏洞利用攻击)次数进行统计。如果攻击次数超过一定数量(如 20 次),则判定该源地址发起
