基于规则关联的安全数据采集策略生成.docx

1 引言 安全数据指在入侵检测分析过程中通常使用的数据，该类数据可以协助发现系统遭受的威胁，安全数据可以是特定攻击行为的特征、签名或指纹[1]。有效采集安全数据是精准分析网络威胁的基础，数据采集的内容决定了威胁分析的准确性和时效性。复杂网络环境（如大数据环境、云计算环境、天地一体化信息网络环境）中大量异构设备产生了不同类型的海量数据，网络拓扑复杂性、数据类型多样性和数据量巨大性，导致当前的全量无差异采集模式可能采集大量噪声数据和冗余数据（如重复的日志文件数据、低信息量的主机状态数据和海量网络流量数据），这将消耗过多计算、存储和带宽资源，威胁分析难度大，数据采集的有效性低，不适应复杂网络环境。