针对企业安全运营中网络攻击检测存在的海量告警问题,提出一种新的告警误报缓解方法。该方法从攻击阶段、攻击频次、攻击者地域特征等维度去刻画攻击者偏离正常范围的程度。由于实际环境中真实高威胁的攻击会偏离正常范围,采用异常检测的方法可以去除大量的误报,使得安全运营人员集中精力分析真正的高危告警。该方法在公安部组织的大型网络攻防实战中进行部署,结果表明具备较好的检测性能。

• 单位
  中国电子科技网络信息安全有限公司