Post #968

1、采集应用或系统的原始日志很重要，对比基于安全产品的日志建模，原始日志建模是另外一片蓝海。 2、仅限个人经验，发挥过重要作用的模型恰恰是简单的统计，归并，甚至关键字过滤方式写出来的模型，并没有要用到复杂的关联或高深的算法，模型在整个安全事件发现中仅起到一个小线头的作用，调查中通过这个线头不停的再去关联出更多的线索再继续深入分析最后才定性。 3、建模时候是否有用到关联分析并不重要，重要的是所建的模型是否有一般攻击者想不到的针对性