基于蜜网数据基线分析的互联网安全事件检测方法

摘要

分布式蜜网技术能够实现对互联网安全威胁进行有效的监测,为安全应急部门提供前期预警、应急响应以及事后追查提供支持。随着分布式蜜网规模的扩大,捕获的互联网安全威胁数据量远远超出了手工分析的能力,安全分析人员很难从海量的数据中挖掘出有意义的攻击信息。因此,需要一种辅助安全分析人员快速发现和掌握监测到的安全事件的方法。现有的蜜网数据分析技术方法包括摘要分析、统计分析、数据可视化方法等,这些方法能够帮助安全分析人员发现网络中的恶意行为。但是这些蜜网数据分析技术面对超大规模的安全威胁数据集时不能有效地为安全分析人员提供有效的特殊安全事件检测机制。本文提出了基于蜜网数据基线分析的互联网安全事件检测方法,对Matrix分布式蜜网系统的捕获数据进行特殊安全事件感知。基线分析方法通过概率统计的理论选取上下线,并对偏离上下线的部分提供向下钻取和底层数据分析,帮助安全分析人员逐层深入地了解攻击细节。最后通过攻击案例分析验证了基线分析方法能够有效地对明显偏离基线的安全威胁事件进行感知,帮助安全分析人员发现特殊事件并进行快速反应。