|
|
知识路径: > 网络安全审计技术原理与应用 > 网络安全审计机制与实现技术 > 网络审计数据分析技术(字符串匹配、全文搜索、数据关联、统计报表、可视化分析等) >
|
|
相关知识点:9个
|
|
|
|
|
网络审计数据蕴涵着网络安全威胁相关信息,需要通过数据分析技术方法来提取。常见的网络审计数据安全分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。
|
|
|
|
|
|
字符串匹配通过模式匹配来查找相关审计数据,以便发现安全问题。常见的字符串匹配工具是grep,其使用的格式如下:
|
|
|
|
|
|
regexp为正则表达式,用来表示要搜索匹配的模式。
|
|
|
|
|
|
全文搜索利用搜索引擎技术来分析审计数据。目前,开源搜索引擎工具Elasticsearch常用作数据分析。
|
|
|
|
|
|
数据关联是指将网络安全威胁情报信息,如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段。日志数据关联如下图所示。
|
|
|
|
|
|
|
|
|
|
统计报表是对安全审计数据的特定事件、阈值、安全基线等进行统计分析,以生成告警信息,形成发送日报、周报、月报。
|
|
|
|
|
|
将安全审计数据进行图表化处理,形成饼图、柱状图、折线图、地图等各种可视化效果,以支持各种用户场景。将不同维度的可视化效果汇聚成仪表盘,辅助用户实时查看当前事件变更。安全关键KPI状态高亮显示,突出异常行为的重要性,如下图所示。
|
|
|
|
|
|
|
