CN116980195A - 面向工业生产互联网安全的数据监控方法及装置 - Google Patents
面向工业生产互联网安全的数据监控方法及装置 Download PDFInfo
- Publication number
- CN116980195A CN116980195A CN202310917927.0A CN202310917927A CN116980195A CN 116980195 A CN116980195 A CN 116980195A CN 202310917927 A CN202310917927 A CN 202310917927A CN 116980195 A CN116980195 A CN 116980195A
- Authority
- CN
- China
- Prior art keywords
- map
- module
- industrial production
- reconstruction
- graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000009776 industrial production Methods 0.000 title claims abstract description 39
- 238000012544 monitoring process Methods 0.000 title claims abstract description 25
- 238000000605 extraction Methods 0.000 claims abstract description 18
- 230000005856 abnormality Effects 0.000 claims abstract description 14
- 230000002159 abnormal effect Effects 0.000 claims description 19
- 238000004364 calculation method Methods 0.000 claims description 14
- 238000010276 construction Methods 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 8
- 238000012806 monitoring device Methods 0.000 claims description 8
- 230000001364 causal effect Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 claims description 6
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 5
- 238000001914 filtration Methods 0.000 abstract description 4
- 238000003860 storage Methods 0.000 abstract description 4
- 239000013598 vector Substances 0.000 description 26
- 230000002547 anomalous effect Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000011835 investigation Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000011176 pooling Methods 0.000 description 2
- 238000012913 prioritisation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 229910052799 carbon Inorganic materials 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 229910002804 graphite Inorganic materials 0.000 description 1
- 239000010439 graphite Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种面向工业生产互联网安全的数据监控方法及装置,方法包括:从工业生产***的日志数据提取关键日志信息,并依据关键日志信息构建起源图;利用图自编码器从起源图中提取潜在异常的可疑事件链;计算所有潜在异常的可疑事件链的异常得分并进行优先级排序;依据优先级排序确定真实的网络攻击。本申请通过关键日志信息和潜在异常的可疑事件链的提取在维护数据语义的条件下实现了日志数据的过滤,有效缓解了当前数据监控方法中运行开销大、存储成本高的问题。
Description
技术领域
本申请涉及计算机安全技术领域,更具体地,涉及一种面向工业生产互联网安全的数据监控方法及装置。
背景技术
目前,工业生产平台和联网设备成为网络攻击主要目标。工业生产互联网安全包含设备、控制、网络、平台、数据安全等方面,安全防护流程复杂,防护难度大。国内工业生产平台和联网设备频繁遭受扫描探测和恶意程序监测,重要敏感数据时有泄露。工业生产平台面临的安全风险突出,弱口令、权限绕过、远程命令执行、信息泄露、模块安全等安全漏洞较为普遍,且大部分都是中高危漏洞。
当前数据驱动的时代背景下,工业生产相关的日志数据作为反映***运行情况的第一手资料,在工业生产中安全监控、威胁感知、入侵检测等起到关键作用,具有极大的分析价值。通过对相关信息的监控、收集、分析和管理,可以直观审视工业生产的安全状况,从而对***中潜在的安全风险进行监测,并能对未来短期内安全状况做出合理准确的预测。
然而,随着各类物联网设备投入使用和大规模集群的兴起,面对如此庞大的海量监测数据,传统的日志处理方式并不能对其进行有效分析。根据调研显示,当前基于数据驱动的工业生产网络安全监测***存在如下问题:
第一,当前工业生产日志数据监测***存在运行开销大、存储成本高的问题。安全相关人员借助原生的***审计日志收集工具去了解***活动,如Windows的事件跟踪日志***ETW、linux的内核审计模块Audit,它们记录***中的各种动作和事件,方便管理员根据***审计日志开展多项安全分析任务。然而,ETW和Audit的运行开销,存储成本极其昂贵。在实际的生产活动中,一台服务器机器每天可以生成大约130GB的数据,而一台客户机机器每天可以生成大约5GB的数据,这些方法部署昂贵的原因在于这些日志采集工具处理、传输、存储了巨大的原始日志。其中,包括大量良性活动,这些良性活动充当了与安全检测无关的噪音和背景活动,一方面浪费了大量不必要的时间成本和宝贵的计算资源,导致网络攻击分析效率低下,另一方面干扰了对少量关键可疑活动的分析,导致分析结果不准确。
第二,当前工业生产日志数据监测***无法合理、准确计算可疑事件的异常问题。PrioTracker通过事件发生频率和拓扑特征来判断事件是否异常,然而,它只考虑单个事件的异常,导致大量误报;Nodoze考虑整个事件链的异常,利用概率转移矩阵在整个可疑依赖路径上进行异常值传播和聚合,然而事件异常值计算的特征过少,同样导致误报频发。总而言之,现有方法使得调查人员往往深陷于警报疲劳的问题,导致攻击响应速度迟缓。然而,网络攻击调查是一项时间关键的任务,迟缓的攻击响应速度一方面意味着更长的受损***恢复时间,这容易造成财务损失的剧增。另一方面阻碍了攻击意图的理解和攻击痕迹的跟踪,这可能进一步造成工业核心基础生产设施的损害。
发明内容
本申请提供一种面向工业生产互联网安全的数据监控方法及装置,通过关键日志信息和潜在异常的可疑事件链的提取在维护数据语义的条件下实现了日志数据的过滤,有效缓解了当前数据监控方法中运行开销大、存储成本高的问题。
本申请提供了一种面向工业生产互联网安全的数据监控方法,包括:
从工业生产***的日志数据提取关键日志信息,并依据关键日志信息构建起源图;
利用图自编码器从起源图中提取潜在异常的可疑事件链;
计算所有潜在异常的可疑事件链的异常得分并进行优先级排序;
依据优先级排序确定真实的网络攻击。
优选地,利用图自编码器从起源图中提取潜在异常的可疑事件链,具体包括:
将起源图输入图自编码器,获得重构图;
计算重构图中每个第一节点的重构误差;
筛选出重构误差大于阈值的第二节点,利用所有第二节点的重构误差构建残差图,残差图中包含多个潜在异常的可疑事件链。
优选地,计算所有潜在异常的可疑事件链的异常得分,具体包括:
提取潜在异常的可疑事件链中的多个异常值特征;
依据所有异常值特征以及衰减因子计算潜在异常的可疑事件链的异常得分,其中,衰减因子依据潜在异常的可疑事件链的路径长度的变化而变化。
优选地,残差图是一个权重图,残差图中每个第二节点的权重是该第二节点的重构误差。
优选地,起源图是利用关键日志信息构建的带时间戳的有向无环图,用于表示实体之间的依赖关系和因果关系。
本申请还提供一种面向工业生产互联网安全的数据监控装置,包括起源图构建模块、第一提取模块、排序模块以及网络攻击确定模块;
起源图构建模块用于从工业生产***的日志数据提取关键日志信息,并依据关键日志信息构建起源图;
第一提取模块用于利用图自编码器从起源图中提取潜在异常的可疑事件链;
排序模块用于计算所有潜在异常的可疑事件链的异常得分并进行优先级排序;
网络攻击确定模块用于依据优先级排序确定真实的网络攻击。
优选地,第一提取模块包括重构图构建模块、误差计算模块以及残差图构建模块;
重构图构建模块用于将起源图输入图自编码器,获得重构图;
误差计算模块用于计算重构图中每个第一节点的重构误差;
残差图构建模块用于筛选出重构误差大于阈值的第二节点,利用所有第二节点的重构误差构建残差图,所述残差图中包含多个潜在异常的可疑事件链。
优选地,排序模块包括第二提取模块和得分计算模块;
第二提取模块用于提取潜在异常的可疑事件链中的多个异常值特征;
得分计算模块用于依据所有异常值特征以及衰减因子计算潜在异常的可疑事件链的异常得分,其中,衰减因子依据潜在异常的可疑事件链的路径长度的变化而变化。
优选地,残差图是一个权重图,残差图中每个第二节点的权重是该第二节点的重构误差。
优选地,起源图是利用关键日志信息构建的带时间戳的有向无环图,用于表示实体之间的依赖关系和因果关系。
通过以下参照附图对本申请的示例性实施例的详细描述,本申请的其它特征及其优点将会变得清楚。
附图说明
被结合在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且连同其说明一起用于解释本申请的原理。
图1为本申请提供的面向工业生产互联网安全的数据监控方法的流程图;
图2为本申请提供的提取潜在异常的可疑事件链的流程图;
图3为本申请提供的图自编码器模型框架的示意图;
图4为本申请提供的面向工业生产互联网安全的数据监控装置的结构图。
具体实施方式
现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本申请及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
本申请提供一种面向工业生产互联网安全的数据监控方法及装置,通过关键日志信息和潜在异常的可疑事件链的提取在维护数据语义的条件下实现了日志数据的过滤,有效缓解了当前数据监控方法中运行开销大、存储成本高的问题。本申请在多个维度上考虑潜在异常的可疑事件链的多个异常值特征,有助于合理、准确地聚合可疑事件的异常程度,有效地缓解警报疲劳问题,加快了网络攻击调查的响应速度。
如图1所示,本申请提供的面向工业生产互联网安全的数据监控方法,包括:
S110:从工业生产***的日志数据提取关键日志信息,并依据关键日志信息构建起源图。
提取关键日志信息时,通过日志管理工具(例如ELK(Elasticsearch、Logstash和Kibana三个开源软件的缩写))采集工业生产***中产生的日志数据,并使用过滤器(例如grok)解析和过滤日志数据,过滤掉非关键的日志数据,将各类关键日志信息提取出来,并组成事件模型。
作为一个实施例,关键日志信息包括:
(1)用户操作信息:包括用户ID、登录时间、操作时间、操作内容;
(2)***事件信息:包括***事件触发时间、事件类型、事件描述、事件产生源IP地址;
(3)应用程序访问信息:包括应用程序名称、访问时间、访问路径、请求参数;
(4)数据库访问信息:包括数据库名称、访问时间、SQL查询语句;
(5)网络流量信息:包括网络带宽、传输协议、数据大小;
(6)***性能指标信息:包括CPU占用率、内存使用率、磁盘IO。
作为一个实施例,利用Graphite绘图软件,根据grok定义的事件模型构建出起源图。
起源图是利用关键日志信息构建的带时间戳的有向无环图(DAG),用于表示实体之间的依赖关系和因果关系,从而帮助安全人员快速定位和识别异常行为并采取相应的措施,从而保障计算机***的安全。
S120:利用图自编码器从起源图中提取潜在异常的可疑事件链。
作为一个实施例,如图2所示,利用图自编码器从起源图中提取潜在异常的可疑事件链,具体包括:
S210:将起源图输入图自编码器,获得重构图。
结合图3,图自编码器是无监督学习模型,编码器和解码器,因此,重构图的构建包括编码阶段和解码阶段。具体地,将构建的起源图输入编码器,得到图的节点特征向量和边特征向量,在解码阶段对节点特征向量和边特征向量进行反卷积、反池化操作,得到重构后的节点属性特征和边属性特征。具体包括如下步骤:
S2101:编码阶段
起源图中,每个节点和边都被映射为一个特征向量,将这些特征向量输入到自编码器的编码部分,最后得到对应的节点特征向量和边特征向量的表示。
具体地,获得节点特征向量时,基于GCN(Graph convolution Network,图卷积神经网络)在节点之间传递消息来聚合相邻节点信息,获得节点的向量化表示,最后提取得到节点特征向量。
获得边特征向量时,对每个边进行时间步上的向量化处理,获得当前边与相邻边之间的关系信息,然后将其转换为可用于模型进一步处理的向量表示,最后提取得到边特征向量。
在此基础上,在后续层中,通过堆叠多层GCN来增强编码能力,得到更加丰富的节点嵌入表示。最后,将得到的最终节点嵌入表示输出给解码器,完成编码阶段。
编码阶段的主要作用是将输入的图形数据转换为相应的节点特征向量和边特征向量表示。这些特征向量可以用于后续的模型训练和学习任务中,以提取和表示输入的图形数据的潜在特征。
在形式上,编码阶段的一个卷积操作可以表示为:
T(α+1)=g(α)(T(α),C|Z(α)) (1)
其中,g(ɑ)、T(ɑ)、C和Z(ɑ)分别为图的卷积函数、节点特征向量、边特征向量和第α层的可训练权重矩阵。
S2102:解码阶段
图自编码器的解码阶段用于从节点特征向量和边特征向量还原出对应的图形数据。具体来说,GAE(Google App Engine,Google公司在2008年推出的互联网应用服务引擎)将节点特征向量和边特征向量作为输入,使用一系列反卷积、反池化操作恢复出图形数据的结构。解码过程主要包括节点属性的重构以及边属性的重构,将重构后的节点属性与边属性特征组合在一起得到重构图。
对于节点属性,解码器在过程中将隐含的节点特征向量转换成原始的节点属性,如果原始的节点属性也包含在特征向量中,那么解码器也会利用这些信息来恢复出节点属性。
对于边属性,GAE使用重建误差来衡量预测边属性的准确性,将预测的边属性与原始的边属性进行比较,然后计算它们之间的重建误差。
在图自编码器的训练阶段,图自编码器的损失函数表示如下:
其中,T-T′为重构后节点属性特征的差异,C-C′为重构后边属性特征的差异,表示向量的范数。
损失函数的作用是衡量模型预测输出与真实值之间的差异,即度量重构图像或者重构特征向量时的误差。通过优化损失函数,可以使模型学习到更好的表示,并提高模型的预测准确性。
S220:计算重构图中每个第一节点的重构误差。
由于解码器的输出可能存在一定的误差,因此可以计算原始图与重构图之间的差异,得到重构误差。
对于每个节点,在编码阶段得到该节点的嵌入表示,在解码器阶段生成的对应的重构特征,通过计算它们之间的差异获得重构误差。一个节点的重构误差ri定义为:
其中,Ti-Ti′为节点i重构后属性特征的差异,Cij-Cij′为边Cij重构后属性特征的差异,表示向量的范数。
S230:筛选出重构误差大于阈值的第二节点,利用所有第二节点的重构误差构建残差图。其中,残差图中包含多个潜在异常的可疑事件链。
若某节点i的重构误差ri大于阈值,则保留该节点,由此过滤掉正常的工业生产活动,从而利用被保留的节点进行后续的异常值计算操作。
作为一个实施例,残差图是一个权重图,残差图中每个第二节点的权重是该第二节点的重构误差。
S130:计算所有潜在异常的可疑事件链的异常得分并进行优先级排序,其中异常得分可以量化警报事件链的可疑程度。
作为一个实施例,计算所有潜在异常的可疑事件链的异常得分,具体包括:
S1301:提取潜在异常的可疑事件链中的多个异常值特征。
作为一个实施例,异常值特征包括潜在异常的可疑事件链的输入输出节点类型、时间跨度、敏感文件以及时间的独特性,从这四个方面衡量事件链为真正攻击的可能性。
从进程节点更容易找到其他的攻击阶段。因此若事件链的输入、输出节点类型是进程节点,则该事件链更有可能是真正的攻击活动。本申请中,基于以下公式利用每一条可疑事件链的输入节点和输出节点的类型计算可疑事件链的输入输出类型Sioc:
其中vi代表一个节点,v0代表输入节点,vk-1代表输出节点;若节点vi是一个进程节点,则节点类型δ(vi)为1,反之则为0。
针对工业生产***的大型攻击往往是持久且相似的,本申请根据已有的攻击入侵记录或公开的威胁情报统计相关攻击过程的时间跨度,同时记录可疑事件链的实际时间跨度,将二者进行比对,获得该可疑事件链的时间跨度Stim,具体比对方式如下:
其中Time(Ck)表示该可疑事件链的实际时间跨度,若实际时间跨度与统计的平均时间跨度值Time(R)的差值在一定范围内,则判定Stim为1,反之则为0。
敏感文件通常指携带敏感信息的文件,许多攻击者的真实目的正是查看这部分敏感文件以获取其所需的信息。本申请中,敏感文件清单包括passward、iptables、user等文件,涵盖了计算机中最敏感且最容易成为攻击者目标的文件,并定义异常值特征-敏感文件Ssen来衡量可疑事件链涉及敏感文件的情况,具体公式如下:
其中num(n)表示该可疑事件链涉及的敏感文件的数目,num(all)表示敏感文件清单中敏感文件的总数,α为一个变量,根据敏感文件总数保证Ssen的得分最小不低于0.1,以保证其在总异常得分中的权重。
由于在不同的事件链中经常能观测到的文件往往代表不相关的良性文件,因此在事件链中出现频次较少的文件事件可能更具代表性,基于此,本申请以一个文件事件在可疑事件链中出现的频率来衡量其独特性,定义为事件独特性Suni,具体公式如下:
其中Ek表示所有事件链,Event(Ek)表示所有事件链中文件事件的数量,|Chain(ei)|表示包含文件事件ei的事件链数目,涉及该文件的事件链数量越少,Suni值就越大。
S1302:依据所有异常值特征以及衰减因子计算潜在异常的可疑事件链的异常得分。其中,衰减因子依据潜在异常的可疑事件链的路径长度的变化而变化。
获得异常值特征后,将每个可疑事件链的异常值特征聚合成一个异常得分,其中每个异常值特征具有相等的权重。
由于较长的事件链往往比较短的事件链具有更高的异常得分,为了消除事件链的评分偏差,对异常得分进行归一化处理。具体地,统计大量事件链,计算其最长长度及异常得分,记录每个路径长度的平均异常得分,异常得分随路径长度增加的比率记为衰减因子β,最终异常得分的计算公式如下:
Score=(Sioc+Spoi+Suni+Stim)×β (8)
真实警报的排名将高于虚假警报的排名,因此获得每条可疑事件链的异常得分后,对所有异常得分进行排名,获得优先级排序。
S140:依据优先级排序确定真实的网络攻击。安全从业人员可疑根据优先级排序更好地确定哪些可疑事件链是真实攻击,哪些是虚假警报,由此去除误报。
基于上述面向工业生产互联网安全的数据监控方法,本申请还提供一种面向工业生产互联网安全的数据监控装置。如图4所示,面向工业生产互联网安全的数据监控装置包括起源图构建模块410、第一提取模块420、排序模块430以及网络攻击确定模块440。
起源图构建模块410用于从工业生产***的日志数据提取关键日志信息,并依据关键日志信息构建起源图。
第一提取模块420用于利用图自编码器从起源图中提取潜在异常的可疑事件链。
排序模块430用于计算所有潜在异常的可疑事件链的异常得分并进行优先级排序。
网络攻击确定模块440用于依据优先级排序确定真实的网络攻击。
优选地,第一提取模块420包括重构图构建模块4201、误差计算模块4202以及残差图构建模块4203。
重构图构建模块4201用于将起源图输入图自编码器,获得重构图。
误差计算模块4202用于计算重构图中每个第一节点的重构误差。
残差图构建模块4203用于筛选出重构误差大于阈值的第二节点,利用所有第二节点的重构误差构建残差图,残差图中包含多个潜在异常的可疑事件链。
优选地,排序模块430包括第二提取模块4301和得分计算模块4302。
第二提取模块4301用于提取潜在异常的可疑事件链中的多个异常值特征。
得分计算模块4302用于依据所有异常值特征以及衰减因子计算潜在异常的可疑事件链的异常得分,其中,衰减因子依据潜在异常的可疑事件链的路径长度的变化而变化。
优选地,残差图是一个权重图,残差图中每个第二节点的权重是该第二节点的重构误差。
优选地,起源图是利用关键日志信息构建的带时间戳的有向无环图,用于表示实体之间的依赖关系和因果关系。
虽然已经通过例子对本申请的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上例子仅是为了进行说明,而不是为了限制本申请的范围。本领域的技术人员应该理解,可在不脱离本申请的范围和精神的情况下,对以上实施例进行修改。本申请的范围由所附权利要求来限定。
Claims (10)
1.一种面向工业生产互联网安全的数据监控方法,其特征在于,包括:
从工业生产***的日志数据提取关键日志信息,并依据所述关键日志信息构建起源图;
利用图自编码器从所述起源图中提取潜在异常的可疑事件链;
计算所有潜在异常的可疑事件链的异常得分并进行优先级排序;
依据所述优先级排序确定真实的网络攻击。
2.根据权利要求1所述的面向工业生产互联网安全的数据监控方法,其特征在于,所述利用图自编码器从所述起源图中提取潜在异常的可疑事件链,具体包括:
将所述起源图输入所述图自编码器,获得重构图;
计算所述重构图中每个第一节点的重构误差;
筛选出重构误差大于阈值的第二节点,利用所有第二节点的重构误差构建残差图,所述残差图中包含多个潜在异常的可疑事件链。
3.根据权利要求1所述的面向工业生产互联网安全的数据监控方法,其特征在于,计算所有潜在异常的可疑事件链的异常得分,具体包括:
提取潜在异常的可疑事件链中的多个异常值特征;
依据所有异常值特征以及衰减因子计算所述潜在异常的可疑事件链的异常得分,其中,所述衰减因子依据所述潜在异常的可疑事件链的路径长度的变化而变化。
4.根据权利要求2所述的面向工业生产互联网安全的数据监控方法,其特征在于,所述残差图是一个权重图,所述残差图中每个第二节点的权重是所述第二节点的重构误差。
5.根据权利要求1所述的面向工业生产互联网安全的数据监控方法,其特征在于,所述起源图是利用所述关键日志信息构建的带时间戳的有向无环图,用于表示实体之间的依赖关系和因果关系。
6.一种面向工业生产互联网安全的数据监控装置,其特征在于,包括起源图构建模块、第一提取模块、排序模块以及网络攻击确定模块;
所述起源图构建模块用于从工业生产***的日志数据提取关键日志信息,并依据所述关键日志信息构建起源图;
所述第一提取模块用于利用图自编码器从所述起源图中提取潜在异常的可疑事件链;
所述排序模块用于计算所有潜在异常的可疑事件链的异常得分并进行优先级排序;
所述网络攻击确定模块用于依据所述优先级排序确定真实的网络攻击。
7.根据权利要求6所述的面向工业生产互联网安全的数据监控装置,其特征在于,所述第一提取模块包括重构图构建模块、误差计算模块以及残差图构建模块;
所述重构图构建模块用于将所述起源图输入所述图自编码器,获得重构图;
所述误差计算模块用于计算所述重构图中每个第一节点的重构误差;
所述残差图构建模块用于筛选出重构误差大于阈值的第二节点,利用所有第二节点的重构误差构建残差图,所述残差图中包含多个潜在异常的可疑事件链。
8.根据权利要求6所述的面向工业生产互联网安全的数据监控装置,其特征在于,所述排序模块包括第二提取模块和得分计算模块;
所述第二提取模块用于提取潜在异常的可疑事件链中的多个异常值特征;
所述得分计算模块用于依据所有异常值特征以及衰减因子计算所述潜在异常的可疑事件链的异常得分,其中,所述衰减因子依据所述潜在异常的可疑事件链的路径长度的变化而变化。
9.根据权利要求7所述的面向工业生产互联网安全的数据监控装置,其特征在于,所述残差图是一个权重图,所述残差图中每个第二节点的权重是所述第二节点的重构误差。
10.根据权利要求6所述的面向工业生产互联网安全的数据监控装置,其特征在于,所述起源图是利用所述关键日志信息构建的带时间戳的有向无环图,用于表示实体之间的依赖关系和因果关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310917927.0A CN116980195A (zh) | 2023-07-24 | 2023-07-24 | 面向工业生产互联网安全的数据监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310917927.0A CN116980195A (zh) | 2023-07-24 | 2023-07-24 | 面向工业生产互联网安全的数据监控方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116980195A true CN116980195A (zh) | 2023-10-31 |
Family
ID=88476173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310917927.0A Pending CN116980195A (zh) | 2023-07-24 | 2023-07-24 | 面向工业生产互联网安全的数据监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116980195A (zh) |
-
2023
- 2023-07-24 CN CN202310917927.0A patent/CN116980195A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10909241B2 (en) | Event anomaly analysis and prediction | |
| Palmieri et al. | A distributed approach to network anomaly detection based on independent component analysis | |
| CN111190876A (zh) | 日志管理***及其运行方法 | |
| CN111885040A (zh) | 分布式网络态势感知方法、***、服务器及节点设备 | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及*** | |
| Elsayed et al. | PredictDeep: security analytics as a service for anomaly detection and prediction | |
| Dou et al. | Pc 2 a: predicting collective contextual anomalies via lstm with deep generative model | |
| CN117473571B (zh) | 一种数据信息安全处理方法及*** | |
| Gonaygunta | Machine learning algorithms for detection of cyber threats using logistic regression | |
| CN115001934A (zh) | 一种工控安全风险分析***及方法 | |
| Razaq et al. | A big data analytics based approach to anomaly detection | |
| CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
| Liu et al. | Multi-step attack scenarios mining based on neural network and Bayesian network attack graph | |
| Fedorchenko et al. | Correlation of security events based on the analysis of structures of event types | |
| CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| CN113746780B (zh) | 基于主机画像的异常主机检测方法、装置、介质和设备 | |
| CN117240632A (zh) | 一种基于知识图谱的攻击检测方法和*** | |
| CN116668264A (zh) | 一种告警聚类的根因分析方法、装置、设备及存储介质 | |
| CN116846612A (zh) | 攻击链补全方法、装置、电子设备及存储介质 | |
| Khan et al. | Context-based irregular activity detection in event logs for forensic investigations: An itemset mining approach | |
| CN116980195A (zh) | 面向工业生产互联网安全的数据监控方法及装置 | |
| Fedorchenko et al. | IOT Security event correlation based on the analysis of event types | |
| Zhang et al. | A security monitoring method based on autonomic computing for the cloud platform | |
| Dong et al. | Security situation assessment algorithm for industrial control network nodes based on improved text simhash | |
| WO2021055964A1 (en) | System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |