网络攻防学习笔记 Day98

采集的数据可能存在数据重复、数据偏差等情况，不经过数据清洗可能导致分析过程因存在偏差的脏数据影响，而使最后的分析结果不理想。因此，采集的网络安全数据需要进行清洗。

噪声数据是指数据集中存在错误或异常数据，一般是指偏离期望数值较大的数据。此类数据一般源自设备出现故障、在数据传输过程中出现错误等特殊情况，对其处理的一般性方法是使用“光滑”的数据进行替代。

网络安全数据集成可以从以下三个方面进行。首先是实体方面，要统一实体命名，即对不同维度采集的实体名字进行统一，也就是对标识符进行统一。其次是数据格式方面，常用的方法为通过对数据格式进行合并，即将数据格式按照统一以后的属性进行合并。最后是数据自身的集成方面。对于不同数据源采集的相同数据，将冗余的数据消除，保留一份数据即可。

样本规约是指从完整的数据集中选取具有代表性的样本子集，从而降低数据集规模。特征规约是指剔除原始数据集中无关紧要的数据特征。维度规约的主要目的是减少分析过程中随机变量或属性的个数。

目前的网络攻击按照攻击方式可以分为单步攻击、多步攻击等，按照攻击危害可以分为有效攻击和无效攻击等。针对传统的单步攻击（如 SQL 注入攻击）和多步攻击（如 APT 攻击），分析师可以根据攻击行为的特征、规则对攻击事件进行检测，许多态势感知系统也可根据相应的特征、规则对攻击行为进行检测和发现。

3M 认知模型是根据人类在真实世界中对客观事物的认知过程建立的模型。一般而言，人类对客观事物的认知过程可以简化为对三个问题的回答，即“是什么”、“为什么”、“怎么实现”，英文用“What”、“How”和“Why”表示。

在 IBLT 认知模型中，实例（instance）被定义为“情景-决策-效用”（situation，decision，utiliy）三元组，记为 SDU 三元组。SDU 三元组是存储在组块中的内容。其中，特定的情景（situation）被描述为一系列的环境因素；决策（decision）表示适用于某种情景下的一组动作；效用（utility）是在特定情景下对决策好坏程度的评价。

SOAR 认知模型是一种通用的问题求解程序，以知识块理论为基础，利用基于规则的记忆，获取搜索知识和对应的操作、运算等，即从经验中学习，记住以前是如何解决问题的，并把这种经验和知识用于以后的问题求解过程之中，实现对通用问题的解答。