发明内容
本发明提出一种基于向量标签的场景化检测方法及系统,通过实现用户自定义场景,形成用户私有安全检测规则及检测能力。
一种基于向量标签的场景化检测方法,包括:
选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;
基于用户自定义向量,构建计算矩阵;
计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;
多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;
若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
所述的方法中,还包括,若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建。
所述的方法中,所述计算矩阵的元素包括算子、函数、数值。
所述的方法中,所述原始数据至少为一条。
所述的方法中,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。
本发明还提出一种基于向量标签的场景化检测系统,包括:
场景构建模块,用于选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
向量计算模块,用于基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
告警模块,用于对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
所述的系统中,还包括,标注模块,用于若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建。
所述的系统中,所述计算矩阵的元素包括算子、函数、数值。
所述的系统中,所述原始数据至少为一条。
所述的系统中,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。
本发明提出一种基于向量标签的场景化检测方法及系统,通过选择标签,构建传输场景,筛选出元数据;基于构建的传输场景,对筛选出的元数据构建稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算稀疏矩阵与计算矩阵的乘积;多次应用计算矩阵进行乘积计算,得到最终结果;若元数据对应的最终结果为命中,则当前构建的场景下存在可疑事件;对可疑事件元数据对应的原始数据发出告警,并呈现告警信息。通过本发明的方法及系统,能够形成用于私有化的检测能力。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出一种基于向量标签的场景化检测方法及系统,通过实现用户自定义场景,形成用户私有安全检测规则及检测能力。
本发明方法实施例一种基于向量标签的场景化检测方法,如图1所示,包括:
S101:选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
原始数据可以包括一个文件、一段数据流、一个文件的分析序列等。每条元数据都包含一系列从厂家规则、外部知识附加、资产附加、用户条件等来源附加上的一系列标签。通过对多个标签的选择,构建出传输场景,筛选出在该传输场景下的元数据。例如,所选择的标签可以包括:如“跨境通讯”、“邮件传输”、“文件传输”、“可执行文件”等。通过这些标签可以筛选出通过邮件传递可执行文件的元数据。而所选择的标签就构成了元数据对应的场景。元数据的提取特定于原始数据,例如:对流量原始数据,可以包括源IP、目的IP、源端口、目的端口、协议。对HTTP协议流量,又可以额外包括HTTP的请求方法、HTTP的响应结果、HTTP的请求的URI、HTTP的Host、HTTP的全部请求头、HTTP的全部响应头等一系列信息。
S102:基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;
S103:基于用户自定义向量,构建计算矩阵;
S104:计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;
S105:多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;
S106:若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
计算矩阵有多个,每个矩阵均由厂家或用户规则提供。计算结果如何被视为命中由厂家或用户规则提供。
计算结果为布尔值时,将用户规则指定的标签作为元数据附加到原始数据上。最终计算结果为字符串时,将字符串作为元数据附加到原始数据上。最终计算结果为数值时,将数值作为元数据附加到原始数据上。最终计算结果为向量时,将向量作为多个元数据附加到数据上。最终计算结果为矩阵时,将矩阵整体作为每个原始数据的多个元数据分别附加到数据上。
以最终结果为布尔值为例,若布尔值为True,则为命中,即当前构建的场景下存在用户定义事件,如:
S107:对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
所述的方法中,还包括,若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建。用户可以选择在发现可疑事件时的动作,可以在发现可疑事件时,对原始数据进行新的用户自定义标签标注,而用户自定义标签标注也可以参与下一轮场景构建工作。
所述的方法中,所述计算矩阵的元素包括算子、函数、数值。所述计算矩阵的每一行,是一条元数据。每一列是元数据的一个项;所述计算矩阵的行向量与列向量可以互换。
所述的方法中,所述原始数据至少为一条。
所述的方法中,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。上述标签类型主要为网络传输中可能出现的标签类型,但标签是依赖于元数据类型的,因此文件的标签和流量的标签也是不同的。如文件标签可以为文件类型等,流量的标签可以为源IP、目的IP等。
本发明还提出一种基于向量标签的场景化检测系统,如图2所示,包括:
场景构建模块201,用于选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
向量计算模块202,用于基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
标注模块203,用于若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建;若用户选择标注,此模块负责维护元数据与用户自定义标注的对应关系;可以应用于私有APT事件的标注,可维护对应元数据作为控制指示器(IoC)或检测指示器(IoD),指示该事件表明网内正遭遇何种定向攻击,及当前处于该攻击的何种阶段;
告警模块204,用于对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
所述的系统中,所述计算矩阵的元素包括算子、函数、数值。
所述的系统中,所述原始数据至少为一条。
所述的系统中,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。
本发明提出一种基于向量标签的场景化检测方法及系统,通过选择标签,构建传输场景,筛选出元数据;基于构建的传输场景,对筛选出的元数据构建稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算稀疏矩阵与计算矩阵的乘积;多次应用计算矩阵进行乘积计算,得到最终结果;若元数据对应的结果为命中,则当前构建的场景下存在可疑事件;对可疑事件元数据对应的原始数据发出告警,并呈现告警信息。通过本发明的方法及系统,能够形成用于私有化的检测能力。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。