CN105471623A - 一种基于模糊场景的关键ip地址安全报警关联分析方法 - Google Patents
一种基于模糊场景的关键ip地址安全报警关联分析方法 Download PDFInfo
- Publication number
- CN105471623A CN105471623A CN201510776357.3A CN201510776357A CN105471623A CN 105471623 A CN105471623 A CN 105471623A CN 201510776357 A CN201510776357 A CN 201510776357A CN 105471623 A CN105471623 A CN 105471623A
- Authority
- CN
- China
- Prior art keywords
- weight
- alarm
- security alarm
- security
- suspected degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0609—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on severity or priority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0618—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on the physical or logical position
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种基于模糊场景的关键IP地址安全报警关联分析方法,其首先利用统计方法对报警进行聚合,然后利用策略对报警进行忽略和过滤,最后利用基于模糊场景的关联分析算法计算出与源IP对应的事件疑似度,并采用大数据分析方法对与嫌疑IP有关的报警日志进行统计查询。本发明创新性的提出了模糊场景的概念,打破传统的构建攻击场景进行分析的方式,其中模糊场景的关联分析方式是以IP地址为核心进行相关的海量安全报警事件的深度挖掘和关联分析的方式。本发明通过分析可能影响IP安全的报警的相关因素,对该因素进行整合分析,最后由事件疑似度计算公式得出反映IP安全情况的疑似度数值。
Description
技术领域
本发明属于安全报警关联分析方法技术领域,具体的说是涉及一种基于模糊场景的关键IP地址安全报警关联分析方法。
背景技术
计算机与网络***中时刻有诸如网络连接、发送数据包和浏览网页等行为发生,这些行为可以被安全设备监测并记录。在这些行为当中,某些行为可能会影响计算机与网络***的安全,我们把这种行为定义为安全事件。在安全监控***中,安全事件的最终表现形式是安全工具产生的报警信息和日志信息,当安全工具检测到所感兴趣的行为时会产生安全报警。在监控***中往往存在大量重复报警和误报警,导致安全数据量过于庞大,增加了数据分析的难度。而且多个安全报警之间是存在相关性的,比如一个攻击行为可能隐藏于多个安全报警之中,其逻辑复杂性和时间跨度都较大,如果缺乏有效的关联分析机制则难以发现。为了挖掘不同报警之间的关联性、重现攻击场景以及发现真实安全事件,安全事件关联分析技术应运而生,目前国内外已经在关联分析技术上做了很多研究。关联分析技术可以通过信息的聚合与关联,能够处理同构及异构网络安全报警,大量减少报警数量,重建攻击场景,有效降低误报率、重报率和漏报率。现有技术中已有的技术实现方案主要有三种:
1、基于攻击场景的关联分析:
基于攻击场景关联算法是最早用于报警事件关联分析研究的一种方法,通过机器学习或人类专家来得到各种攻击场景,将这些攻击场景作为模板输入到***中去,然后***就可以将新的报警同这些攻击场景模板相比较,进行实时关联。关联过程需要的先验知识表现为攻击场景模板,其形式一般为:e=e1ope2op,ei,opej。其中ei为报警事件,op代表为了说明ei和ej之间关系的运算符,在整个事件序列e中,隐含着不同报警事件发生的一个时序关系,即ei+1是ei的后继。不同研究成果中,为了有效表示攻击场景模板,采用了不同的形式,攻击场景模板形式的不同也导致了不同的关联算法。
例如利用ASL语言来完成两个功能:(1)将安全报警看作一个实体,并描述不同的攻击所产生的报警信息的内部信息;(2)描述攻击过程中安全报警和安全报警之间的关系。被ASL语言描述的攻击场景模板形式上表现为一个有向图,有向图的生成方式如下:图的每一个节点代表一种类型的安全报警,从代表报警ei的节点到代表报警的节点ej的有向边表示存在一个攻击场景模板,在该模板内部,报警ej是ei的后继。则报警关联算法就演化为一个沿着图的根节点(没有输入边的节点)进行模式匹配的过程,在匹配的过程中,本节点的匹配进行以前,必须保证其所有前驱节点的匹配工作已经被完成。基于场景的关联分析方法的关键问题是如何获得攻击场景,从而得到这些关联规则。根据人类专家知识或数据挖掘方法获得合适的聚合与关联模板,既可以实现聚合也可以实现关联,实时性好,有利于在此基础上进行深入的报警处理。
该方法的缺点是需要专家知识,且更新困难。由训练数据集学习得到的攻击场景是此类方法的一个重要发展方向,但由于各方面的不确定性很难获得合适的训练集,同时存在过学习问题,不能处理在训练集中未出现的攻击场景模式。另外,这种模板匹配方法的抗噪能力较差。
2、基于安全事件前因后果的关联分析:
基于安全事件前因后果的关联方法是针对攻击者发动攻击的前因和后果设计的,其基本思想是:寻找一个攻击行为A发起的先决条件和攻击行为B的攻击结果之间是否存在逻辑关系,如果存在,则A和B就可能是系列攻击的两个环节,可以关联为B->A。在该关联方法中,安全知识一般表示为三元组:(Attack,Prerequisites,Consequences),其中Attack代表攻击动作名,Prerequisites代表攻击发生的前提条件,而Consequences代表攻击发生后给整个***所造成的影响。该关联方法的总体思想就是用攻击atti发生后的后续结果和攻击attj发生的前提条件去进行匹配,如果能够全部或部分匹配,则表明攻击atti和attj是具有因果联系的,从而可完成两者之间的关联工作。基于安全事件前因后果的事件关联方法是现在研究最多的一种关联方法。
基于安全事件前因后果的关联方法的优势是,由于只指出单独攻击的前因后果,不必事先知道整个攻击过程,所以不必手工产生大量的关联规则,只要指出一个已知攻击的前提条件和可能造成的后果就足够了。同时,这种方法还可以识别和报告不同攻击组合形成的新攻击过程。
该方法的缺点是不能处理新攻击类型(不知道其前因、后果),且只适用于具有明显攻击步骤的关联。实验证明,这种方法可以比较好的发现报警之间的因果关联关系,但关联的效果依赖于知识库的制定,新的攻击层出不穷,提前定义一套***的、完善的前因后果知识库不太可行,并且对于每个安全事件都要进行前因与后果的关联分析,以及归属决策,需要耗费大量的计算机资源,不利于实时在线处理。
3、基于相似概率的关联分析:
基于近似度函数的关联算法主要通过把报警事件定义为一个实体,形成描述单个报警事件内容的向量,然后通过定义的计算事件e1和与关联队列中e2之间相似性函数来计算他们之间的近似度,如果当前发生的报警事件其与已发生的报警事件之间的近似度大于预定义的阈值,则其与近似度比较大的事件实体完成关联,否则,则创建新的关联队列来容纳事件e1,并将其作为该队列的首事件。
通常认为相关报警具有一定的属性相似性,此假设可以从实际攻击过程的分析中可以得到验证。基于相似概率的关联其实是基于属性相似度的关联,通过合适的函数来计算报警之间的属性相似度,然后根据属性相似度来决定是否对两种报警进行关联,比如当属性相似度超过一定的阈值时就可以认为这两种报警存在关联。在计算中有两个关键点,属性集的选取以及各属性相似度函数的选择。属性集需要从安全事件中获得,主要包括传感器标识、攻击类别、攻击源和目标地址、攻击时间等。各属性相似度函数根据特征各有不同,这需要具有一定的安全报警专家知识。一些学者对报警相似概率的计算上进行了有益的研究。通过精心选定相似度标准、权重系数等参数,可以较好地处理报警泛滥问题,且算法实时性好。
该方法的缺点是方法本身对攻击不理解,不能有效关联报警间的时序关系和因果关系,难以识别复杂的攻击场景,且属性相似度的计算以及权重分配很大程度上依赖于领域知识,移植性不好。
虽然以上三种分析方法均具有一定分析效果,但也都或多或少地存在一些缺点和不足。现急需在对主流关联分析方法进行研究总结的基础上,结合烟草行业监控***的实际情况,提出的一种基于模糊场景的关联分析方法。
发明内容
本发明就是要解决现有技术中关联分析技术存在的不足,以至于造成海量安全报警事件关联分析能力不足的问题,提供一种基于模糊场景的关键IP地址安全报警关联分析方法。
本发明是通过以下技术方案实现的:一种基于模糊场景的关键IP地址安全报警关联分析方法,所述关联分析方法包括如下步骤:首先利用统计方法对报警进行聚合,然后利用策略对报警进行忽略和过滤,最后利用基于模糊场景的关联分析算法计算出与源IP对应的事件疑似度,并采用大数据分析方法对与嫌疑IP有关的报警日志进行统计查询;根据疑似度的大小和排序,管理人员能够对当前的网络状况有个直观的认识,并基于关联分析的结果进行与安全事件相关的展示以及进行安全态势评估;所述关联分析算法影响事件疑似度的因素有报警来源、聚合数量和报警等级三个因素,在计算事件疑似度时首先分别计算出所述三个因素对应的权重,最后将三个权重进行融合。
所述报警来源权重Ts的计算方法为:由于四个数据源产生的安全报警的影响是不同的,已用于生成安全事件的安全报警最高,未人工处理的安全报警次之,聚合失败或被策略忽略的安全报警和人为忽略的安全报警均属于忽略状态的报警,所以此两者的影响最低,其对应在计算方法中的权值也是依次降低,已用于生成安全事件的安全报警权重>未人工处理的安全报警权重>聚合失败或被策略忽略的安全报警=人为忽略的安全报警权重;数据源权重Ts的范围为1-100,对于每个具体的权值如何设置需要在实际运行环境中不断训练模糊场景关联分析的模型,最终将权值的分配变为可手工配置的。
所述聚合数量权重Tc的计算方法为:在模糊场景关联分析方法中,每个报警的聚合数量存在较大差异,为了避免聚合数量对计算结果误导性影响,聚合数量权重采用非线性的计算方式获得,具体计算公式为:Tc=a*th(X/Fn),聚合数量权重Tc的计算公式为双曲正切函数,使用双曲正切函数能保证数量的大小变化对权重值影响不成比例。
所述报警等级权重Td的计算方法为:安全报警一共分为三个等级:高、中、低;报警等级的权重Td的范围为1-10,由于低等级的安全报警对于疑似度的影响较小,***默认定义低级别安全报警的权值为1;报警等级权重Td的设置需要在实际运行环境中不断训练模糊场景关联分析的模型,最终将权值的分配变为可手工配置的。
所述计算事件疑似度的方法为:一个IP的事件疑似度是由数据源种类、安全报警数量和安全报警等级决定的,所以在计算得出报警来源权重Ts、聚合数量权重Tc和报警等级权重Td之后,可以利用它们来计算事件疑似度,具体计算公式为:在计算报警聚合数量权重和某IP对应的事件疑似度时,都使用了双曲正切函数y=th(x)=(e^x-e^(-x))/(e^x+e^(-x)),在使用双曲正切函数计算聚合数量权重Tc时,能保证聚合数量的大小变化对权重值影响不成比例;在计算事件疑似度时,不论数值有多大,最终计算出的结果都是在0-1之间的,而其他函数则没有此性质;由此分值限制计算公式中利用双曲正切函数将疑似度值控制在0-100%之间,从而最终得到疑似度。
关联分析技术原理:在报警关联分析技术中经常采用构建攻击场景的方式来进行关联分析,攻击场景可以包括单个的简单的攻击行为和由一系列攻击步骤组成的复杂的攻击行为,利用基于攻击场景的关联分析算法去判断一系列安全报警是否源于同一个攻击行为并完成攻击场景的重构。对于一系列攻击行为的描述,我们认为是一个清晰的场景,在这个场景中,已经为攻击行为建立了严密的发展顺序,攻击事件的进展严格按照场景规定的步骤进行。这种明确的场景描述方法的局限在于,攻击场景不可能全部枚举出来,而且攻击的隐蔽性越来越强,攻击者为了绕过安全设备的防守,采取各种各样的方式,攻击步骤不断变化,一旦攻击步骤变了,而监控***仍然按照原先设定的场景进行匹配,则此次关联分析对于攻击的识别肯定是失败的。所以,无法保证攻击场景的完备性。而且,如果采用人工来建立攻击场景,则需要专家知识,且更新困难;如果采用机器学习方法来建立攻击场景,则需要完备的训练数据集,数据集获得具有难度,并且训练效果还有赖于数据挖掘方法。
基于以上背景,本发明技术采用模糊场景的概念,用以解决安全告警日志关联分析能力不足的实际问题。模糊场景是一个相对的概念,其含义是不针对由一系列特定攻击行为组成的攻击场景进行分析,而是综合考虑与某IP有关的所有安全报警,基于报警的某些因素进行分析计算,根据计算结果由来判断该IP的可疑情况和风险程度等。
因为模糊场景关联分析考虑的不是某个特定攻击场景,而是一个IP的可疑情况或风险程度,所以该分析方法的数据来源是与该IP相关的所有安全数据。本发明技术通过研究当前监控***的数据处理流程,如图1所示发现存在四种类型的安全数据:
1、聚合失败或被策略忽略的安全报警。在基于统计的报警聚合中,有些原始报警在进行归并操作后可能会由于不满足聚合条件而未能生成高层报警,称之为聚合失败报警。此类报警虽然没有聚合成功,但它与原始报警有不同之处,表现为两个方面:此类报警是经过归并操作的,所以是多个报警的融合,具有“聚合数量”属性;此类报警与聚合成功的高层报警存储于同一张数据表中,与原始报警的存储位置不同。聚合成功后产生的高层报警中,部分报警由于满足忽略策略而被筛选出去,称之为被策略忽略的报警。聚合失败的报警和被策略忽略的报警由于都未能用于人工处理,所以在本方法中将此两者归为一类数据源。
2、未进行人工处理的安全报警。聚合成功且未被策略忽略的高层报警将被用于进行人工处理,其中尚未进行人工处理的报警的状态为“未处理”。由于此类报警尚未得以分析利用,所以需要在分析方法中对其重点关注。
3、人工忽略的安全报警。管理人员在面对高层报警时,如果不能分析出各个报警之间的关联关系,不能发现隐藏于报警背后的安全信息,往往会对这些报警采取忽略处理,而错过了彻底发现攻击的最佳时机。由于人工分析方式的局限性,可以认为此类报警尚具有较大的利用价值,所以在分析中将之列为一类数据源。
4、已用于生成安全事件的安全报警。管理人员在面对高层报警时,根据专家知识和运维经验对其进行分析判断。当认为某些报警与攻击行为相关时,将根据这些报警生成安全事件,制定相应的措施。由于此类报警已经用于生成安全事件,可以认为它们的价值较高,需要在后续分析中进行持续关注,所以在分析中也将之列为一类数据源。
每一种安全报警都存在攻击源和攻击目标(源IP即攻击源,目的IP即攻击目标),所以在计算一个IP的安全情况时,应该将其分别作为源IP和目的IP进行分析,当作为源IP时计算结果是其作为攻击者的嫌疑,当作为目的IP时计算结果是其作为被攻击者的风险度。模糊场景关联分析方法就是根据四个数据源计算出每个源IP和目的IP的疑似度,此为分析结果的两个维度。
通过对模糊场景管理分析的数据源的分析,每种数据源都是由安全报警组成,每个安全报警又是由多个原始的报警聚合产生,所以安全报警的聚合数量、报警等级是直接影响计算疑似度的两个重要参数。报警数量和报警等级是模糊场景关联分析的核心参数,而模糊场景关联分析方法的四个数据来源提供了报警数量和报警等级。模糊场景关联分析方法中有四个数据来源、两个维度和两个核心参数。模糊场景关联分析主要是攻击源和攻击目标疑似度的计算模型。
本发明能够解决关联分析技术依赖预构建攻击场景进行分析的问题:本发明通过基于关键IP地址相关的所有安全报警事件进行综合关联分析,不需要专门构建攻击场景进行分析,解决了攻击场景需要专家知识构建且知识更新困难的问题,且本技术针对新型攻击方式有更好的检测和分析能力。
本发明能够解决关联分析技术依赖知识库实现因果关联分析的问题:本发明通过知识库进行因果关联分析能够比较好的发现安全报警之间的因果关联关系,但是其关联分析效果非常依赖于知识库,并且不能处理新型攻击类型,仅适用于具有明显攻击步骤的关联。本技术不依赖专家知识,也不需要耗费过多的计算资源,而且对于新攻击类型能够较好的检测和分析。
本发明能够解决关联分析技术对攻击本身不理解的问题:本发明基于相似概率的关联分析技术过于依赖知识领域,如没有使用领域足够的知识支撑则很难有准确的关联分析结果,而且一旦变更领域,则需要根据该领域知识进行重新的权重分配和概率计算。本技术不依赖领域知识,完全以IP地址为核心进行相关事件的深入分析,有较好的移植性。
本发明的有益效果是:本发明创新性的提出了模糊场景的概念,打破传统的构建攻击场景进行分析的方式,其中模糊场景的关联分析方式是以IP地址为核心进行相关的海量安全报警事件的深度挖掘和关联分析的方式。本发明通过分析可能影响IP安全的报警的相关因素,对该因素进行整合分析,最后由事件疑似度计算公式得出反映IP安全情况的疑似度数值。
本发明旨在解决烟草行业在信息安全监控中面临的海量报警信息的收集、存储及关联分析等问题,实现信息安全事件的及时发现、处置,以减少对烟草生产运营信息***所造成的影响。在研究国内外关联分析技术的基础上,结合烟草行业安全报警日志关联分析实际情况及信息安全的特点,提出一套适用于烟草行业信息安全监控的关联分析技术,它能对海量安全数据进行关联分析,揭示隐藏于报警背后的逻辑关系及其攻击意图,对各个攻击依据疑似度生成快速直观的分析报告,从而实现对信息网络状况的全面监控,有效指导信息网络安全管理,有效预防、阻断或减少存在的安全威胁。
本发明基于模糊场景的关键IP地址安全报警关联分析方法不依赖于构建攻击场景,不需要预定义攻击知识库而进行安全报警的关联分析。因构建攻击场景的方式存在局限性,对于隐蔽性强的攻击方法,或者是已有攻击方法发生变化,已有的攻击场景是无法进行有效匹配分析的。而攻击场景的构建需要丰富的专家知识,完备的数据集等,在实时性上无法满足对不断变化的攻击方式的检测和分析。而模糊场景概念的提出则是要解决该问题。该技术不依赖与特定的攻击行为组成的攻击场景进行分析,而是综合考虑与某IP有关的所有安全报警,基于报警的某些因素进行分析计算,根据计算结果由来判断该IP的可疑情况和风险程度等。为了保证关联分析的有效性,该方法的数据来源选取的是与该IP相关的所有安全数据。
附图说明
图1是本发明分析方法模糊场景关联分析的四种数据来源;
图2是本发明分析方法模糊场景关联分析参数;
图3是本发明分析方法模糊场景关联分析模型;
图4是本发明分析方法双曲正切函数示意图。
具体实施方式
以下结合附图对本发明作详细描述。
如图1至图4所示,一种基于模糊场景的关键IP地址安全报警关联分析方法,所述关联分析方法包括如下步骤:本发明提出了海量安全报警事件基于模糊场景的关联分析方法,首先利用统计方法对报警进行聚合,然后利用策略对报警进行忽略和过滤,最后利用基于模糊场景的关联算法,计算出与源IP(目的IP)对应的事件疑似度,并采用大数据分析方法对与嫌疑IP有关的报警日志进行统计查询。根据疑似度的大小和排序,管理人员可以对当前的网络状况有个直观的认识。基于关联分析的结果,可以进行与安全事件相关的展示以及进行安全态势评估。
关联分析算法设计:由上节可知,影响事件疑似度的因素一共有三个:报警来源、聚合数量、报警等级,所以在计算事件疑似度时可以首先分别计算出三个因素对应的权重,最后将三个权重进行融合。
一、计算报警来源权重Ts、聚合数量权重Tc、报警等级权重Td:
(1)报警来源权重Ts的计算方法:由于四个数据源产生的安全报警的影响是不同的,已用于生成安全事件的安全报警最高,未人工处理的安全报警次之,聚合失败或被策略忽略的安全报警和人为忽略的安全报警均属于忽略状态的报警,所以此两者的影响最低。
其对应在计算方法中的权值也是依次降低,如下:已用于生成安全事件的安全报警权重>未人工处理的安全报警权重>聚合失败或被策略忽略的安全报警=人为忽略的安全报警权重
数据源权重Ts的范围为1-100,对于每个具体的权值该如何设置,需要在实际运行环境中去不断训练模糊场景关联分析的模型,以达到更好的效果,最终,将权值的分配变为可手工配置的。下面是数据源模拟权重表:
表1数据源模拟权重表
| 序号 | 数据源 | 权值 | 备注 |
| 1 | 已生成安全事件的安全报警 | 60 | Ts=606 --> |
| 2 | 未人工处理的安全报警 | 40 | Ts=40 |
| 3 | 聚合失败或被策略忽略的安全报警 | 30 | Ts=30 |
| 4 | 人为忽略的安全报警 | 30 | Ts=30 |
(2)聚合数量权重Tc的计算方法:在模糊场景关联分析方法中,每个报警的聚合数量存在较大差异,为了避免聚合数量对计算结果误导性影响,聚合数量权重应该采用非线性的计算方式获得,具体计算公式为:Tc=a*th(X/Fn);
Tc表示聚合数量的权重,X表示一个报警的聚合数量。a是控制权重的变化趋势,a值越大表明Tc的值越大。th为双曲正切函数,使用双曲正切函数能保证数量的大小变化对权重值影响不成比例。Fn为调整系数,是一个常量值,更能符合Tc的变化趋势。
需要注意的是,该计算公式中的Fn和a两个系数的设置需要在实际运行环境中去不断训练模糊场景关联分析的模型,以达到更好的效果,最终将权值的分配变为可手工配置的。
(3)报警等级权重Td的计算方法:在模糊场景关联分析方法中,报警等级权重Td也是重要的参数,安全报警一共分为三个等级:高、中、低。报警等级的权重范围为1-10,由于低等级的安全报警对于疑似度的影响较小,***默认定义低级别安全报警的权值为1。至于报警级别权重的设置,需要在实际运行环境中去不断训练模糊场景关联分析的模型,以达到更好的效果,最终将权值的分配变为可手工配置的。安全报警等级的模拟权重如下表所示(表中高、中级数据为假设数据):
表2报警级别模拟权重表
| 序号 | 安全报警等级 | 权值 | 备注 |
| 1 | 高级别 | 6 | Td=6 |
| 2 | 中级别 | 4 | Td=4 |
| 3 | 低级别 | 1 | Td=1 |
二、计算事件疑似度:
一个IP的事件疑似度是由数据源种类、安全报警数量和安全报警等级决定的,所以在计算得出报警来源权重、报警数量权重和报警级别权重之后,可以利用它们来计算事件疑似度,计算公式为:
其中DoubtC表示源IP(或目的IP)作为攻击源(或攻击目的)的疑似度。n表示时间范围内参加计算的安全报警数量。Tsi表示报警来源权重,Tci表示报警数量权重,Tdi表示报警等级权重。Fa为疑似度调整系数,是一个常量值,Fa的设置是一个将疑似度作整体调整的人性化设计,更能符合用户对于疑似度的感念意识。需要注意的是,Fa的设置,需要在实际运行环境中去不断训练模糊场景关联分析的模型,以达到更好的效果。最终,将权值的分配变为可手工配置的。
在计算报警聚合数量权重和某IP对应的事件疑似度时,都使用了双曲正切函数y=th(x)=(e^x-e^(-x))/(e^x+e^(-x)),如图4所示。在使用双曲正切函数计算聚合数量权重Tc时,能保证聚合数量的大小变化对权重值影响不成比例。在计算事件疑似度时,不论数值有多大(如:疑似度原值可以是无限大),最终计算出的结果都是在0-1之间的,而其他函数则没有此性质。双曲函数这样的性质正符合要求——用百分比定性表示疑似度。由此分值限制计算公式中利用双曲正切函数将疑似度值控制在0-100%之间,从而最终得到疑似度。
本发明模糊场景关联分析算法实施例:时间范围10分钟,取源IP为192.168.10.1的10条数据为例;数量权重计算公式中的Fn值为200,a系数值为10;安全报警等级权值高中低分别为:Td=6、Td=4、Td=1;疑似度计算公式中的Fa值为1000。
DoubtC=th(9982.400/10000)=0.7609,则时间范围10分钟,源IP为192.168.10.1的攻击者疑似度为76.09%。
最后应当说明的是,以上内容仅用以说明本发明的技术方案,而非对本发明保护范围的限制,本领域的普通技术人员对本发明的技术方案进行的简单修改或者等同替换,均不脱离本发明技术方案的实质和范围。
Claims (5)
1.一种基于模糊场景的关键IP地址安全报警关联分析方法,其特征在于:所述关联分析方法包括如下步骤:首先利用统计方法对报警进行聚合,然后利用策略对报警进行忽略和过滤,最后利用基于模糊场景的关联分析算法计算出与源IP对应的事件疑似度,并采用大数据分析方法对与嫌疑IP有关的报警日志进行统计查询;根据疑似度的大小和排序,管理人员能够对当前的网络状况有个直观的认识,并基于关联分析的结果进行与安全事件相关的展示以及进行安全态势评估;所述关联分析算法影响事件疑似度的因素有报警来源、聚合数量和报警等级三个因素,在计算事件疑似度时首先分别计算出所述三个因素对应的权重,最后将三个权重进行融合。
2.根据权利要求1所述的基于模糊场景的关键IP地址安全报警关联分析方法,其特征在于:所述报警来源权重Ts的计算方法为:由于四个数据源产生的安全报警的影响是不同的,已用于生成安全事件的安全报警最高,未人工处理的安全报警次之,聚合失败或被策略忽略的安全报警和人为忽略的安全报警均属于忽略状态的报警,所以此两者的影响最低,其对应在计算方法中的权值也是依次降低,已用于生成安全事件的安全报警权重>未人工处理的安全报警权重>聚合失败或被策略忽略的安全报警=人为忽略的安全报警权重;数据源权重Ts的范围为1-100,对于每个具体的权值如何设置需要在实际运行环境中不断训练模糊场景关联分析的模型,最终将权值的分配变为可手工配置的。
3.根据权利要求1所述的基于模糊场景的关键IP地址安全报警关联分析方法,其特征在于:所述聚合数量权重Tc的计算方法为:在模糊场景关联分析方法中,每个报警的聚合数量存在较大差异,为了避免聚合数量对计算结果误导性影响,聚合数量权重采用非线性的计算方式获得,具体计算公式为:Tc=a*th(X/Fn),聚合数量权重Tc的计算公式为双曲正切函数,使用双曲正切函数能保证数量的大小变化对权重值影响不成比例。
4.根据权利要求1所述的基于模糊场景的关键IP地址安全报警关联分析方法,其特征在于:所述报警等级权重Td的计算方法为:安全报警一共分为三个等级:高、中、低;报警等级的权重Td的范围为1-10,由于低等级的安全报警对于疑似度的影响较小,***默认定义低级别安全报警的权值为1;报警等级权重Td的设置需要在实际运行环境中不断训练模糊场景关联分析的模型,最终将权值的分配变为可手工配置的。
5.根据权利要求1所述的基于模糊场景的关键IP地址安全报警关联分析方法,其特征在于:所述计算事件疑似度的方法为:一个IP的事件疑似度是由数据源种类、安全报警数量和安全报警等级决定的,所以在计算得出报警来源权重Ts、聚合数量权重Tc和报警等级权重Td之后,可以利用它们来计算事件疑似度,具体计算公式为:在计算报警聚合数量权重和某IP对应的事件疑似度时,都使用了双曲正切函数y=th(x)=(e^x-e^(-x))/(e^x+e^(-x)),在使用双曲正切函数计算聚合数量权重Tc时,能保证聚合数量的大小变化对权重值影响不成比例;在计算事件疑似度时,不论数值有多大,最终计算出的结果都是在0-1之间的,而其他函数则没有此性质;由此分值限制计算公式中利用双曲正切函数将疑似度值控制在0-100%之间,从而最终得到疑似度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510776357.3A CN105471623A (zh) | 2015-11-16 | 2015-11-16 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510776357.3A CN105471623A (zh) | 2015-11-16 | 2015-11-16 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105471623A true CN105471623A (zh) | 2016-04-06 |
Family
ID=55608937
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510776357.3A Pending CN105471623A (zh) | 2015-11-16 | 2015-11-16 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105471623A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN108900514A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
| CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及*** |
| CN110545251A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种木马攻击场景的证据链构建方法 |
| CN110598404A (zh) * | 2019-09-17 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 安全风险监控方法、监控装置、服务器和存储介质 |
| CN111709022A (zh) * | 2020-06-16 | 2020-09-25 | 桂林电子科技大学 | 基于ap聚类与因果关系的混合报警关联方法 |
| CN113162904A (zh) * | 2021-02-08 | 2021-07-23 | 国网重庆市电力公司电力科学研究院 | 一种基于概率图模型的电力监控***网络安全告警评估方法 |
| CN113691518A (zh) * | 2021-08-17 | 2021-11-23 | 北京鸿腾智能科技有限公司 | 情报分析方法、装置、设备及存储介质 |
| CN114944964A (zh) * | 2022-07-21 | 2022-08-26 | 北京未来智安科技有限公司 | 一种网络安全事件处理方法及装置 |
| CN115499245A (zh) * | 2022-11-16 | 2022-12-20 | 广东电网有限责任公司江门供电局 | 一种基于关联检测的事中实时告警方法和*** |
| CN116980181A (zh) * | 2023-06-21 | 2023-10-31 | 江南信安(北京)科技有限公司 | 一种用于检测关联报警事件的方法及*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951329A (zh) * | 2010-09-27 | 2011-01-19 | 北京***工程研究所 | 一种网络安全态势评估方法及*** |
-
2015
- 2015-11-16 CN CN201510776357.3A patent/CN105471623A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951329A (zh) * | 2010-09-27 | 2011-01-19 | 北京***工程研究所 | 一种网络安全态势评估方法及*** |
Non-Patent Citations (2)
| Title |
|---|
| 张淑英: ""网络安全事件关联分析与态势评测技术研究"", 《中国博士学位论文全文数据库》 * |
| 陈炜,卢茵,白昵: ""等级保护安全事件关联分析技术的研究"", 《信息网络安全》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN110545251A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种木马攻击场景的证据链构建方法 |
| CN108900514A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
| CN108900514B (zh) * | 2018-07-04 | 2021-04-23 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
| CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及*** |
| CN109922069B (zh) * | 2019-03-13 | 2020-12-25 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及*** |
| CN110598404A (zh) * | 2019-09-17 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 安全风险监控方法、监控装置、服务器和存储介质 |
| CN111709022B (zh) * | 2020-06-16 | 2022-08-19 | 桂林电子科技大学 | 基于ap聚类与因果关系的混合报警关联方法 |
| CN111709022A (zh) * | 2020-06-16 | 2020-09-25 | 桂林电子科技大学 | 基于ap聚类与因果关系的混合报警关联方法 |
| CN113162904A (zh) * | 2021-02-08 | 2021-07-23 | 国网重庆市电力公司电力科学研究院 | 一种基于概率图模型的电力监控***网络安全告警评估方法 |
| CN113691518A (zh) * | 2021-08-17 | 2021-11-23 | 北京鸿腾智能科技有限公司 | 情报分析方法、装置、设备及存储介质 |
| CN113691518B (zh) * | 2021-08-17 | 2023-12-05 | 三六零数字安全科技集团有限公司 | 情报分析方法、装置、设备及存储介质 |
| CN114944964A (zh) * | 2022-07-21 | 2022-08-26 | 北京未来智安科技有限公司 | 一种网络安全事件处理方法及装置 |
| CN114944964B (zh) * | 2022-07-21 | 2022-10-21 | 北京未来智安科技有限公司 | 一种网络安全事件处理方法及装置 |
| CN115499245A (zh) * | 2022-11-16 | 2022-12-20 | 广东电网有限责任公司江门供电局 | 一种基于关联检测的事中实时告警方法和*** |
| CN116980181A (zh) * | 2023-06-21 | 2023-10-31 | 江南信安(北京)科技有限公司 | 一种用于检测关联报警事件的方法及*** |
| CN116980181B (zh) * | 2023-06-21 | 2024-02-20 | 江南信安(北京)科技有限公司 | 一种用于检测关联报警事件的方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105471623A (zh) | 一种基于模糊场景的关键ip地址安全报警关联分析方法 | |
| Li et al. | Analysis framework of network security situational awareness and comparison of implementation methods | |
| CN107204876B (zh) | 一种网络安全风险评估方法 | |
| CN102821007B (zh) | 一种基于自律计算的网络安全态势感知***及其处理方法 | |
| CN105095048B (zh) | 一种基于业务规则的监控***告警关联处理方法 | |
| CN104539626A (zh) | 一种基于多源报警日志的网络攻击场景生成方法 | |
| US20160308725A1 (en) | Integrated Community And Role Discovery In Enterprise Networks | |
| Tianfield | Cyber security situational awareness | |
| CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及*** | |
| CN103581186A (zh) | 一种网络安全态势感知方法及*** | |
| CN101242278A (zh) | 网络多步攻击意图在线识别方法 | |
| TW200849917A (en) | Detecting method of network invasion | |
| CN103905440A (zh) | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 | |
| CN103607388A (zh) | 一种apt威胁预测方法及*** | |
| CN108540329A (zh) | 基于两层贝叶斯网络模型的网络安全推断方法 | |
| CN110020687A (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
| CN114629674A (zh) | 一种基于注意力机制的工业控制网络安全风险评估方法 | |
| Chen et al. | Multi-level adaptive coupled method for industrial control networks safety based on machine learning | |
| CN102195975A (zh) | 基于移动代理和学习向量量化神经网络的智能nips架构 | |
| CN1472916A (zh) | 大规模分布式入侵检测***的数据融合机制 | |
| CN111967011A (zh) | 一种基于可解释的内部威胁评估方法 | |
| CN105827611A (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和*** | |
| Luktarhan et al. | Multi-stage attack detection algorithm based on hidden markov model | |
| Spathoulas et al. | Methods for post-processing of alerts in intrusion detection: A survey | |
| Swamy et al. | Network intrusion detection using improved decision tree algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160406 |
|
| RJ01 | Rejection of invention patent application after publication |