态势感知安全产品误报、漏报分析

1.分析思路

 

 

 

 正向分析——根据已有的高危、严重、中危、低危规则分析目前的规则制定的信息是否有效，本质上属于功能测试

黑盒分析——从爆出的告警日志分析，分析具体的攻击行为，根据产品具体日志信息，查看数据包内容，确定是误报。

正向分析出现的问题，已经做完功能测试，每条规则本身是生效的，那么存在问题，应该归为bug。攻击测试，本身规则不够，需要分析日志在规则中有没有拦截。。

黑盒分析——产品为其他安全厂家的，其他安全厂家本身就是误报的日志，态势感知在这个基础上分析，仍然是误报。

2.分析情况

1、同一IP对目标使用多种攻击手段 5

2、检测到病毒邮件 5条

3、检测到内网主机扫描行为 10条

4、检测到用户收取了病毒邮件 10条

5、同一IP对目标使用多种攻击手段 10条

6、web网页扫描后，发生web服务器漏洞攻击1 2条 ThinkPHP框架执行任意代码漏洞

7、WEB登录时使用了弱口令  6条

8、检测到内网可疑445端口扫描行为 5条

9、webshell上传攻击 3条

10、同一ip对同一目标在扫描后尝试多种攻击 5条

11、检测到可疑命令行为 5条

12 、webshell连接攻击 1条

13、同一ip对同一目标扫描后尝试sql注入并同时尝试其他攻击 3条

每种类型根据实际告警情况选取一定条数共80条分析，误报9条。该误报值跟选取样本有关系，存在偏差。

3.分析结果

每种类型根据实际告警情况选取一定条数共80条分析，误报9条。该误报值跟选取样本有关系，存在偏差。