安全事件关联聚合、意图判断

背景

目前采集的数据都比较底层，告警太多，需要向上聚合，事件、意图等意图的判断，比如XSS攻击进来，意味什么？不同攻击之间，是否有关联？意图目前没有太多涉及。如何能说清楚，下结论？例如，原来做过从内部IP到黑IP的连接关系，做分析，但是发现从数据，到结论，还是差一层的，无法下结论，说不清楚，所以不了了之。例如，连接黑产IP，可能是由于想进行调查，不能归于安全问题。问题 * 如何结合本体提高威胁检测准确率？ * 如何基于内外部知识进行攻击意图判断？

	* 外部：开源情报、本体
	* 内部：关键资产、风险

解决思路

形成包、事件、计划、意图，立体的结构， 检测是跨层的，可以同时利用level 0 + 3 的数据，需要灵活的选择数据源，进行组装，图的结构，看到的是data source，数据源的发现和使用机制，看起来是分布式的SIEM，计算和存储是分布的 数据来源是动态抓出来的动态实时数据，也可以是半离线化的数据 安全知识、情报库的建设，希望构建知识网

难点

安全本体多大规模？ 安全本体中包含的要素？描述到什么程度？系统状态？还是手段本身？ 最困难的是知识的构建，会不会有人工标记的问题？ 成本是重要考虑因素。例如，如果要花大量时间的话，不知道是否投入可控？通常的做法是由浅入深。目前都是简单的匹配，使用最简单的方法。 意图的可能形式：对于关键资产是正常使用还是窃取？ 可能的场景：钓鱼邮件的识别？