计算机科学 > 密码学与安全
[提交于 2025年1月16日
]
标题: 管理无序:为安全运营中心设计有效且低噪声的网络入侵检测规则
标题: Ruling the Unruly: Designing Effective, Low-Noise Network Intrusion Detection Rules for Security Operations Centers
摘要: 许多安全运营中心(SOCs)目前仍然严重依赖基于特征的网络入侵检测系统(NIDS),例如Suricata。 入侵检测规则的具体性以及规则集提供的覆盖范围是围绕SOC的专业社区中的常见问题,这会影响自动化警报后处理方法的有效性。 我们假设对影响规则质量的因素有更深入的理解,可以帮助解决当前的SOC问题。 在本文中,我们描述了一个合作的商业(托管)SOC中的规则,该SOC为包括教育和IT管理在内的多个行业客户提供服务。 在此过程中,我们发现了六个相关的设计原则,这些原则通过与SOC中经验丰富的规则设计师进行访谈得到整合。然后,我们通过定量评估这些原则对规则具体性的影响来验证我们的设计原则。 我们发现,其中一些设计考虑因素显著影响由规则引起的不必要的工作量。 例如,利用代理进行检测的规则,以及不使用警报限流或不区分(未)成功的恶意行为的规则,会显著增加SOC分析人员的工作量。 此外,那些匹配通用特征以检测恶意行为的规则,尽管被认为可以增加覆盖范围,但也显著增加了工作量,这表明在规则具体性和覆盖范围之间必须做出权衡。 我们展示了这些设计原则可以在SOC中成功应用,从而在保持覆盖范围的同时减少工作量,即使这些原则存在普遍违反的情况。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.