基于局部异常检测的告警误报缓解

针对企业安全运营中网络攻击检测存在的海量告警问题,提出一种新的告警误报缓解方法.该方法从攻击阶段、攻击频次、攻击者地域特征等维度去刻画攻击者偏离正常范围的程度.由于实际环境中真实高威胁的攻击会偏离正常范围,采用异常检测的方法可以去除大量的误报,使得安全运营人员集中精力分析真正的高危告警.该方法在公安部组织的大型网络攻防实战中进行部署,结果表明具备较好的检测性能.