CN116614245A - 一种基于多源告警日志压缩的攻击路径建模方法及*** - Google Patents
一种基于多源告警日志压缩的攻击路径建模方法及*** Download PDFInfo
- Publication number
- CN116614245A CN116614245A CN202310177705.XA CN202310177705A CN116614245A CN 116614245 A CN116614245 A CN 116614245A CN 202310177705 A CN202310177705 A CN 202310177705A CN 116614245 A CN116614245 A CN 116614245A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- event
- threat
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007906 compression Methods 0.000 title claims abstract description 48
- 230000006835 compression Effects 0.000 title claims abstract description 44
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000007781 pre-processing Methods 0.000 claims abstract description 11
- 238000011156 evaluation Methods 0.000 claims abstract description 10
- 238000001514 detection method Methods 0.000 claims description 27
- 230000002776 aggregation Effects 0.000 claims description 11
- 238000004220 aggregation Methods 0.000 claims description 11
- 238000010276 construction Methods 0.000 claims description 6
- 238000012098 association analyses Methods 0.000 claims description 4
- 230000007704 transition Effects 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 2
- 238000010219 correlation analysis Methods 0.000 claims description 2
- 238000013508 migration Methods 0.000 claims description 2
- 230000005012 migration Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 230000004927 fusion Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 101100025911 Mus musculus Ncoa3 gene Proteins 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于多源告警日志压缩的攻击路径建模方法及***,其方法包括:步骤S1:收集多个网络安全引擎源产生的告警日志,进行预处理操作,得到预处理后告警日志;步骤S2:根据同源预处理后告警日志间的相似度,合并到同一个簇,形成网络攻击事件;步骤S3:对多源网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件并对其进行置信打分;步骤S4:对压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,得到所有可能的攻击路径;步骤S5:利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分后对攻击路径进行推荐评估。本发明提供的方法通过分析多源网络安全引擎源产生的海量告警日志,构建高可信度的攻击路径。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种基于多源告警日志压缩的攻击路径建模方法及***。
背景技术
为了监测可能发生的网络攻击事件,当前技术在通讯网络中部署多种网络安全引擎获取告警日志。网络维护人员可以通过分析多种类型的告警日志,查找其中存在的网络攻击事件及攻击路径,以便完成对通讯网络的维护管理。然而,随着通讯网络中网络安全引擎的种类和数量不断增加,同时大量开源漏洞利用代码以及自动化攻击工具广泛利用,网络安全引擎每天都会产生海量的告警日志。其次,多网络安全引擎源由于检测原理的不同,所产生的告警日志的属性结构也存在这一定的差异性。海量的多源告警日志会对网络攻击事件及攻击路径分析过程产生巨大的软硬件资源消耗,日志中异构化属性和冗余属性也无疑加大了分析的难度。
多网络安全引擎源产生告警日志的压缩筛选对整个攻击路径分析过程来说是必不可少的。但是,由于攻击路径分析高度依赖前后关系,如果某一个或几个攻击阶段被丢弃,那么对于这条攻击路径整体攻击的连续性就会被打断,也就无法判断这条攻击路径是否成立。所以如何实现在有效压缩海量的多源告警日志数量的同时,保证攻击路径不间断成为了亟待解决的问题。
发明内容
为了解决上述技术问题,本发明提供一种基于多源告警日志压缩的攻击路径建模方法及***。
本发明技术解决方案为:一种基于多源告警日志压缩的攻击路径建模方法,包括:
步骤S1:收集多个网络安全引擎源产生的告警日志,并对其进行预处理操作,得到预处理后告警日志,其中,所述网络安全引擎源包括:受控流量检测引擎、CVE漏洞流量检测引擎和恶意DNS流量检测引擎;
步骤S2:分别计算同源安全引擎产生的所述预处理后告警日志间的相似度,将高于阈值的所述预处理后告警日志聚类合并到同一个簇,形成网络攻击事件;
步骤S3:对多源安全引擎聚合产生的所述网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据所述网络攻击事件发生的状态以及攻击威胁程度,对所述压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件;
步骤S4:对所述压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径;
步骤S5:利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分,根据打分情况对攻击路径的全链路进行推荐评估。
本发明与现有技术相比,具有以下优点:
1、本发明公开了一种基于多源告警日志压缩的攻击路径建模方法,从时间状态性、攻击连续性、攻击威胁置信打分三个方向对告警日志进行关联压缩,在不斩断攻击路径、保证关键信息的不丢失的前提下,完成海量日志的压缩筛选,从而实现攻击路径的高效构建。
2、本发明在多网络安全引擎源产生的告警日志及第三方威胁情报的基础上进行关联分析,有效的解决在网络关口下无法获得端侧日志的情况下完全基于流量层面对攻击路径的建模,从而真实反映整个通讯网络的安全防护水平。
附图说明
图1为本发明实施例中一种基于多源告警日志压缩的攻击路径建模方法的流程图;
图2为本发明实施例中基于时间连续性的压缩过程示意图;
图3为本发明实施例中基于攻击连续性的压缩过程示意图;
图4为本发明实施例中一种基于多源告警日志压缩的攻击路径建模***的结构框图。
具体实施方式
本发明提供了一种基于多源告警日志压缩的攻击路径建模方法,通过分析多源网络安全引擎源产生的海量告警日志,构建高可信度的攻击路径。
为了使本发明的目的、技术方案及优点更加清楚,以下通过具体实施,并结合附图,对本发明进一步详细说明。
实施例一
如图1所示,本发明实施例提供的一种基于多源告警日志压缩的攻击路径建模方法,包括下述步骤:
步骤S1:收集多个网络安全引擎源产生的告警日志,并对其进行预处理操作,得到预处理后告警日志,其中,网络安全引擎源包括:受控流量检测引擎、CVE漏洞流量检测引擎和恶意DNS流量检测引擎;
步骤S2:分别计算同源安全引擎产生的预处理后告警日志间的相似度,将高于阈值的预处理后告警日志聚类合并到同一个簇,形成网络攻击事件;
步骤S3:对多源安全引擎聚合产生的网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据网络攻击事件发生的状态以及攻击威胁程度,对压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件;
步骤S4:对压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径;
步骤S5:利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分,根据打分情况对攻击路径的全链路进行推荐评估。
在一个实施例中,上述步骤S1:收集多个网络安全引擎源产生的告警日志,并对其进行预处理操作,得到预处理后告警日志,其中,网络安全引擎源包括:受控流量检测引擎、CVE漏洞流量检测引擎和恶意DNS流量检测引擎,具体包括:
从多个网络安全引擎源收集告警日志,包括:受控流量检测引擎、CVE漏洞流量检测引擎、恶意DNS流量检测引擎。
本发明实施例以受控流量检测引擎为例,对收集到的告警日志进行预处理操作,具体步骤如下:
1、数据清理操作:将采集到的引擎告警日志中的空缺值填补完整并清除掉日志中的重复数据只留下不同的日志信息的过程,具体步骤为:
(1)空缺值处理:判断受控流量检测设备告警日志的属性的完善性,包括源/目的IP地址、源/目的端口、攻击名称和攻击时间,当上述属性缺少2个及以上时,将其过滤掉,否则将空缺值用“Null”字符填补完整。
(2)重复数据处理:通过“发生时间”关键词对日志完成排序操作,然后确定一个固定大小的窗口T=60s,不断的在排序完成的数据集上滑动,通过对窗口内的记录进行检测,找出完全相同的记录后删除掉重复的记录,只留下不同的日志信息。
2、数据规范化操作:对安全设备日志进行规范化定义,在确定选取的日志相关属性之后,采用扩展的IDMEF(Intrusion Detection Message Exchange Format)告警格式进行格式化定义,制定出以下三种规范化日志格式如表1所示:
表1规范化日志格式清单
上述规范化日志格式的定义中,其属性值含义如表1所示。
表2各类日志属性和含义对应关系
| 属性 | 含义 | 属性 | 含义 |
| logID | 日志编号ID | Time | 事件记录的时间属性 |
| Device | 设备类型 | Result | 事件结果 |
| Prioroty | 事件优先级 | Message | 事件相关信息 |
| User | 登陆用户名 | Protocol | 协议类型 |
| sourcelP/sourcePort | 源IP/源端口 | Inpackage/outpackege | 接收/发送数据包 |
| destIP/destPort | 目的IP/目的端口 | Sent/receive | 接收/发送字节数 |
| operation | 操作的命令 | PCname/PCip | 计算机名称/ip地址 |
在一个实施例中,上述步骤S2:分别计算同源安全引擎产生的预处理后告警日志间的相似度,将高于阈值的预处理后告警日志聚类合并到同一个簇,形成网络攻击事件,具体包括:
步骤S21:利用下述公式计算同源安全引擎产生的预处理后告警日志间的各个属性的相似度,属性包括:IP地址、端口、日志编号、设备类型、事件相关信息以及时间;
其中,wi为第i个属性的权重,n为属性个数,Xi为日志X的第i个属性,Yi为日志Y的第i个属性;
表3以受控流量检测引擎的告警日志为例,展示了各属性的权重分配。
表3各属性权重分配
| 属性 | IP地址 | 端口 | 日志编号 | 设备类型 | 事件相关信息 |
| 权重 | 4 | 4 | 1 | 2 | 2 |
步骤S22:确定相似度阈值,将高于相似度阈值的预处理后告警日志聚类合并到同一个簇;
首先将时间、相似度阈值、簇数目进行初始化,初始簇设置为受控流量检测设备输入的第一条日志记录,将后续产生的日志与各个簇中心点的相似度进行计算,确定该日志的最大相似度;将该日志的最大相似度与初始化时设置的阈值进行比较,如果最大相似度比阈值大,则将这条日志加入到该簇中;反之则重新创建一个簇,并对当前的簇数目进行更新;
步骤S23:对簇内的预处理后告警日志进行合并生成网络攻击事件,具体步骤为:
(1)对攻击类型和描述信息都相同的日志的攻击类型和描述信息的数据全部选取;
(2)在攻击类型和描述信息中只挑选出最能体现日志对应的类型信息的首个数据信息;
(3)将一定的时间间隔内的日志时间属性进行合并。
在一个实施例中,上述步骤S3:对多源安全引擎聚合产生的网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据网络攻击事件发生的状态以及攻击威胁程度,对压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件,具体包括:
步骤S31:根据同类型网络攻击事件的时间状态进行压缩,基于攻击在时间连续性上进行关联分析,当攻击IP、被攻击IP、攻击类型相同,攻击时间间隔小于***规定的时间间隔Δt,进行合并压缩;
如图2所示,展示了基于时间连续性的压缩过程;
步骤S32:根据不同攻击类型网络攻击事件的连续性的状态进行压缩,基于攻击在攻击连续性上的关联分析,当攻击IP、被攻击IP相同,攻击时间间隔小于***规定的时间间隔Δt,攻击类型前者对后者构成包含时,进行合并压缩;
如图3所示,展示了基于攻击连续性的压缩过程;
步骤S33:对于压缩后网络攻击事件基于改进的D-S证据理论进行置信打分,得到压缩打分后的网络攻击事件,具体步骤如下:
(1)建立攻击事件融合的识别框架;
(2)利用来自多网络安全引擎源产生的日志聚合后获得的网络攻击事件来判断对应的网络攻击发生的情况,将攻击事件分为:攻击已经发生、攻击没有发生和根据目前已知的信息无法判断攻击是否发生;
(3)对攻击事件的置信度进行考虑,根据D-S证据理论的特点,分析对网络***造成威胁的证据;
(4)确定基本置信度的分配函数和权值,将各种类型的网络安全引擎识别攻击的程度作为相应攻击事件的基本置信度;基本信度分配函数如下下述公式所示:
其中,mk为第k次出现该攻击事件的可信度;mk-1为第k-1次出现该攻击事件的可信度;N为攻击事件数量,每次发生攻击加1;Uk-1由前一次的融合结果确定,代表了网络安全引擎实际产生的攻击事件信息的正确(0)与否(1),初始值为1;N0为常数,用于限制误报率和调节收敛速度。
在一个实施例中,上述步骤S4:对压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径,具体包括:
步骤S41:按照时间对压缩打分后的网络攻击事件进行排序;
步骤S42:初始化主时间Petri网络;
步骤S43:按时间输入攻击IP和被攻击IP作为节点进行迭代;
步骤S44:当节点发生状态变迁时,构建该变迁节点的子时间Petri网络,并且构建节点的攻击状态关系表;
步骤S45:将子时间Petri网络的变化迁移合并到主时间Petri网络上,并对全局关系进行检验;重复步骤S43~S45,直到主时间Petri网络构建完成;
步骤S46:给定检索的条件,完成对攻击节点到目标节点的所有攻击路径的还原。
本发明实施例中的基于主时间Petri网络的攻击路径构建算法如下所示:
1:procedure RETRIEVAL_BY_TPN(dataset,Attack_IP,Attacked_IP)
2:dataset←sort_by_tim(dataset)
3:main_tpn←TP(Null)
4:for data in dataset do
5:updat(main_tpn,data)
6:if then(State_change(data))
7:tmp_tpn←TP(data)
8:end if
9:merg(main_tpn,tmp_tpn)
10:end for
11:return Search(Attack_IP,Attacked_IP)
12:end procedure
在一个实施例中,上述步骤S5:利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分,根据打分情况对攻击路径的全链路进行推荐评估,具体包括:
步骤S51:获取第三方安全厂商提供的威胁情报API接口以及具有IP历史的威胁情报;
如表4所示,展示了威胁情报。
表4威胁情报样例表
步骤S52:通过结合威胁情报中IP所存在的威胁时间、威胁类型、攻击置信度对攻击路径中的攻击IP和被攻击IP按照下述公式进行打分;
其中,S为IP的威胁置信分;Tc为在威胁情报中一次攻击的持续的总时间长度;Ti为威胁情报中第i次攻击的总时间长度;Qscore为本次攻击在威胁情报中的威胁打分;FL为威胁等级,由威胁情报中的威胁等级进行确定;αi为攻击类型系数,由威胁情报中的威胁类型与此次攻击的类型共同确定;Attack_typedata为攻击IP的已确定的攻击类型;Attack_typeinfo为威胁情报中的攻击类型;n为该IP的历史攻击数;
步骤S53:通过攻击IP和被攻击IP的威胁置信分对单次攻击进行攻击置信打分:
M=Sattack(1-Sattacked)
其中,M为单次攻击的攻击置信分;Sattack为攻击IP的威胁置信分;Sattacked为被攻击IP的威胁置信分;
步骤S54:根据单次攻击的攻击置信分,计算攻击路径的全链路攻击置信分:
其中,W为完整攻击路径的全链路攻击置信分;Mi为完整攻击路径下第i次攻击的攻击置信分。
本发明公开了一种基于多源告警日志压缩的攻击路径建模方法,从时间状态性、攻击连续性、攻击威胁置信打分三个方向对告警日志进行关联压缩,在不斩断攻击路径、保证关键信息的不丢失的前提下,完成海量日志的压缩筛选,从而实现攻击路径的高效构建。
本发明在多网络安全引擎源产生的告警日志及第三方威胁情报的基础上进行关联分析,有效的解决在网络关口下无法获得端侧日志的情况下完全基于流量层面对攻击路径的建模,从而真实反映整个通讯网络的安全防护水平。
实施例二
如图4所示,本发明实施例提供了一种基于多源告警日志压缩的攻击路径建模***,包括下述模块:
数据采集及预处理模块61,用于收集多个网络安全引擎源产生的告警日志,并对其进行预处理操作,得到预处理后告警日志,其中,网络安全引擎源包括:受控流量检测引擎、CVE漏洞流量检测引擎和恶意DNS流量检测引擎;
同源日志聚合模块62,用于分别计算同源安全引擎产生的预处理后告警日志间的相似度,将高于阈值的预处理后告警日志聚类合并到同一个簇,形成网络攻击事件;
多源日志聚合模块63,用于对多源安全引擎聚合产生的网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据网络攻击事件发生的状态以及攻击威胁程度,对压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件;
攻击路径还原模块64,用于对压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径;
攻击路径推荐评估模块65,用于利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分,根据打分情况对攻击路径的全链路进行推荐评估。
提供以上实施例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改,均应涵盖在本发明的范围之内。
Claims (6)
1.一种基于多源告警日志压缩的攻击路径建模方法,其特征在于,包括:
步骤S1:收集多个网络安全引擎源产生的告警日志,并对其进行预处理操作,得到预处理后告警日志,其中,所述网络安全引擎源包括:受控流量检测引擎、CVE漏洞流量检测引擎和恶意DNS流量检测引擎;
步骤S2:分别计算同源安全引擎产生的所述预处理后告警日志间的相似度,将高于阈值的所述预处理后告警日志聚类合并到同一个簇,形成网络攻击事件;
步骤S3:对多源安全引擎聚合产生的所述网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据所述网络攻击事件发生的状态以及攻击威胁程度,对所述压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件;
步骤S4:对所述压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径;
步骤S5:利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分,根据打分情况对攻击路径的全链路进行推荐评估。
2.根据权利要求1所述的基于多源告警日志压缩的攻击路径建模方法,其特征在于,所述步骤S2:分别计算同源安全引擎产生的所述预处理后告警日志间的相似度,将高于阈值的所述预处理后告警日志聚类合并到同一个簇,形成网络攻击事件,具体包括:
步骤S21:利用下述公式计算同源安全引擎产生的所述预处理后告警日志间的各个属性的相似度,所述属性包括:IP地址、端口、日志编号、设备类型、事件相关信息以及时间;
其中,wi为第i个属性的权重,n为属性个数,Xi为日志X的第i个属性,Yi为日志Y的第i个属性;
步骤S22:确定相似度阈值,将高于所述相似度阈值的所述预处理后告警日志聚类合并到同一个簇;
步骤S23:对簇内的所述预处理后告警日志进行合并生成网络攻击事件。
3.根据权利要求2所述的基于多源告警日志压缩的攻击路径建模方法,其特征在于,所述步骤S3:对多源安全引擎聚合产生的所述网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据所述网络攻击事件发生的状态以及攻击威胁程度,对所述压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件,具体包括:
步骤S31:根据同类型所述网络攻击事件的时间状态进行压缩,基于攻击在时间连续性上进行关联分析,当攻击IP、被攻击IP、攻击类型相同,攻击时间间隔小于***规定的时间间隔Δt,进行合并压缩;
步骤S32:根据不同攻击类型所述网络攻击事件的连续性的状态进行压缩,基于攻击在攻击连续性上的关联分析,当攻击IP、被攻击IP相同,攻击时间间隔小于***规定的时间间隔Δt,攻击类型前者对后者构成包含时,进行合并压缩;
步骤S33:对于压缩后网络攻击事件基于改进的D-S证据理论进行置信打分,得到压缩打分后的网络攻击事件。
4.根据权利要求3所述的基于多源告警日志压缩的攻击路径建模方法,其特征在于,所述步骤S4:对所述压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径,具体包括:
步骤S41:按照时间对所述压缩打分后的网络攻击事件进行排序;
步骤S42:初始化主时间Petri网络;
步骤S43:按时间输入攻击IP和被攻击IP作为节点进行迭代;
步骤S44:当所述节点发生状态变迁时,构建该变迁节点的子时间Petri网络,并且构建所述节点的攻击状态关系表;
步骤S45:将所述子时间Petri网络的变化迁移合并到所述主时间Petri网络上,并对全局关系进行检验;重复步骤S43~S45,直到所述主时间Petri网络构建完成;
步骤S46:给定检索的条件,完成对攻击节点到目标节点的所有攻击路径的还原。
5.根据权利要求4所述的基于多源告警日志压缩的攻击路径建模方法,其特征在于,所述步骤S5:利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分,根据打分情况对攻击路径的全链路进行推荐评估,具体包括:
步骤S51:获取第三方安全厂商提供的威胁情报API接口以及具有IP历史的威胁情报;
步骤S52:通过结合所述威胁情报中IP所存在的威胁时间、威胁类型、攻击置信度对所述攻击路径中的攻击IP和被攻击IP按照下述公式进行打分;
其中,S为IP的威胁置信分;Tc为在威胁情报中一次攻击的持续的总时间长度;Ti为威胁情报中第i次攻击的总时间长度;Qscore为本次攻击在威胁情报中的威胁打分;FL为威胁等级,由威胁情报中的威胁等级进行确定;αi为攻击类型系数,由威胁情报中的威胁类型与此次攻击的类型共同确定;Attack_typedata为攻击IP的已确定的攻击类型;Attack_typeinfo为威胁情报中的攻击类型;n为该IP的历史攻击数;
步骤S53:通过攻击IP和被攻击IP的威胁置信分对单次攻击进行攻击置信打分:
M=Sattack(1Sattacked)
其中,M为单次攻击的攻击置信分;Sattack为攻击IP的威胁置信分;Sattacked为被攻击IP的威胁置信分;
步骤S54:根据单次攻击的攻击置信分,计算攻击路径的全链路攻击置信分:
其中,W为完整攻击路径的全链路攻击置信分;Mi为完整攻击路径下第i次攻击的攻击置信分。
6.一种基于多源告警日志压缩的攻击路径建模***,其特征在于,包括下述模块:
数据采集及预处理模块,用于收集多个网络安全引擎源产生的告警日志,并对其进行预处理操作,得到预处理后告警日志,其中,所述网络安全引擎源包括:受控流量检测引擎、CVE漏洞流量检测引擎和恶意DNS流量检测引擎;
同源日志聚合模块,用于分别计算同源安全引擎产生的所述预处理后告警日志间的相似度,将高于阈值的所述预处理后告警日志聚类合并到同一个簇,形成网络攻击事件;
多源日志聚合模块,用于对多源安全引擎聚合产生的所述网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据所述网络攻击事件发生的状态以及攻击威胁程度,对所述压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件;
攻击路径还原模块,用于对所述压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径;
攻击路径推荐评估模块,用于利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分,根据打分情况对攻击路径的全链路进行推荐评估。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310177705.XA CN116614245A (zh) | 2023-02-17 | 2023-02-17 | 一种基于多源告警日志压缩的攻击路径建模方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310177705.XA CN116614245A (zh) | 2023-02-17 | 2023-02-17 | 一种基于多源告警日志压缩的攻击路径建模方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116614245A true CN116614245A (zh) | 2023-08-18 |
Family
ID=87677065
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310177705.XA Pending CN116614245A (zh) | 2023-02-17 | 2023-02-17 | 一种基于多源告警日志压缩的攻击路径建模方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116614245A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061250A (zh) * | 2023-10-12 | 2023-11-14 | 中孚安全技术有限公司 | 基于数据中台的网络安全预警方法、***、设备及介质 |
-
2023
- 2023-02-17 CN CN202310177705.XA patent/CN116614245A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061250A (zh) * | 2023-10-12 | 2023-11-14 | 中孚安全技术有限公司 | 基于数据中台的网络安全预警方法、***、设备及介质 |
| CN117061250B (zh) * | 2023-10-12 | 2023-12-15 | 中孚安全技术有限公司 | 基于数据中台的网络安全预警方法、***、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102520044B1 (ko) | 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체 | |
| CN107241226B (zh) | 基于工控私有协议的模糊测试方法 | |
| CN108964995B (zh) | 基于时间轴事件的日志关联分析方法 | |
| CN107517216B (zh) | 一种网络安全事件关联方法 | |
| CN109189736B (zh) | 一种告警关联规则的生成方法和装置 | |
| CN111475804A (zh) | 一种告警预测方法及*** | |
| US11966319B2 (en) | Identifying anomalies in a data center using composite metrics and/or machine learning | |
| CN113342564A (zh) | 日志审计方法、装置、电子设备和介质 | |
| CN109218321A (zh) | 一种网络入侵检测方法及*** | |
| CN112217674B (zh) | 基于因果网络挖掘和图注意力网络的告警根因识别方法 | |
| CN112769605B (zh) | 一种异构多云的运维管理方法及混合云平台 | |
| JP2009527839A (ja) | 通信ネットワークのトランザクション監視のための方法及びシステム | |
| CN112039906B (zh) | 一种面向云计算的网络流量异常检测***及方法 | |
| CN111126437B (zh) | 基于加权动态网络表示学习的异常群体检测方法 | |
| CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| CN116614245A (zh) | 一种基于多源告警日志压缩的攻击路径建模方法及*** | |
| CN110135603B (zh) | 一种基于改进熵权法的电力网络告警空间特征分析方法 | |
| KR20210115991A (ko) | 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치 | |
| CN113723452A (zh) | 一种基于kpi聚类的大规模异常检测*** | |
| CN116192459A (zh) | 基于边边协同的边缘节点网络安全威胁监测方法 | |
| CN114401516A (zh) | 一种基于虚拟网络流量分析的5g切片网络异常检测方法 | |
| CN113890820A (zh) | 一种数据中心网络故障节点诊断方法及*** | |
| CN116502171B (zh) | 一种基于大数据分析算法的网络安全信息动态检测*** | |
| CN115037559B (zh) | 一种基于流量的数据安全监测***、电子设备及存储介质 | |
| CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |