| 网络审计数据蕴涵着网络安全威胁相关信息,需要通过数据分析技术方法来提取。常见的网络审计数据安全分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。
|
|
|
|
|
| 字符串匹配通过模式匹配来查找相关审计数据,以便发现安全问题。常见的字符串匹配工具是grep,其使用的格式如下:
|
|
|
|
|
| regexp为正则表达式,用来表示要搜索匹配的模式。
|
|
|
|
|
| 全文搜索利用搜索引擎技术来分析审计数据。目前,开源搜索引擎工具Elasticsearch常用作数据分析。
|
|
|
|
|
| 数据关联是指将网络安全威胁情报信息,如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段。日志数据关联如下图所示。
|
|
|
|
|
|
|
|
|
| 统计报表是对安全审计数据的特定事件、阈值、安全基线等进行统计分析,以生成告警信息,形成发送日报、周报、月报。
|
|
|
|
|
| 将安全审计数据进行图表化处理,形成饼图、柱状图、折线图、地图等各种可视化效果,以支持各种用户场景。将不同维度的可视化效果汇聚成仪表盘,辅助用户实时查看当前事件变更。安全关键KPI状态高亮显示,突出异常行为的重要性,如下图所示。
|
|
|
|
|
|
|
