CN109510793A - 一种基于协同过滤的安全事件预测技术 - Google Patents

一种基于协同过滤的安全事件预测技术 Download PDF

Info

Publication number
CN109510793A
CN109510793A CN201710824750.4A CN201710824750A CN109510793A CN 109510793 A CN109510793 A CN 109510793A CN 201710824750 A CN201710824750 A CN 201710824750A CN 109510793 A CN109510793 A CN 109510793A
Authority
CN
China
Prior art keywords
collaborative filtering
security incident
model
security
technology based
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710824750.4A
Other languages
English (en)
Inventor
杨育斌
吴智东
覃晓宁
柯宗贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bluedon Information Security Technologies Co Ltd
Original Assignee
Bluedon Information Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bluedon Information Security Technologies Co Ltd filed Critical Bluedon Information Security Technologies Co Ltd
Priority to CN201710824750.4A priority Critical patent/CN109510793A/zh
Publication of CN109510793A publication Critical patent/CN109510793A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于协同过滤的安全事件预测技术,该发明通过基于用户的协同过滤和基于模型的协同过滤相结合的方法,对设备将会发生的安全事件进行准确有效的预测并告警,为设备提供了更加安全的保障。

Description

一种基于协同过滤的安全事件预测技术
技术领域
本发明涉及一种互联网通信技术领域,特别涉及一种基于协同过滤的安全事件预测技术。
背景技术
在数据储存技术和设备计算能力大幅度提高的背景下,标准SIEM/SOC从多个安全事件源收集到各种恶意攻击、非法入侵、病毒木马、数据泄露、流量异常等安全日志的数据日呈指数式增长,而如何使用各种安全日志的数据,服务于设备的安全,显得尤其重要。
针对安全日志的数据利用情况,目前较为常见的是用关联规则检测当前发生的事件是否为正常的安全事件。这种方法只能实时检测发生的安全事件是否对设备或系统存在损害可能,并不能防范于未然。如果在某个恶意的事件发生前,系统能提前预测出该安全事件将会发生的时间和位置,这样对于防范资产设备所受的损害,提供了极大的帮助。
推荐算法的出现,是为了解决在信息过载的情况下,如何准确有效地为用户提供个性化推荐服务的难题。目前,各大电子商务平台都在不同程度地使用了推荐系统,如Amazon,eBay,豆瓣网等,并且推荐算法不断被开发成更多形式不同的算法模式,日渐成熟。而其中最为常用的算法为协同过滤。协同过滤可以细分为一下三种:基于用户的协同过滤、基于项目的协同过滤和基于模型的协同过滤。基于用户的协同过滤的基本思想是:计算与用户兴趣爱好相似的用户组,再从喜好相似的用户组中找到此用户没有的商品,进行推荐。基于项目的协同过滤原理类似。而基于模型的协同过滤是采用了机器学习的方法,使用历史数据训练生成推荐模型,再用此模型进行推荐。
本发明将结合安全事件和协同过滤算法,对设备将要发生的安全事件进行预测。
发明内容
为克服现有技术的不足,本发明通过基于用户的协同过滤和基于模型的协同过滤相结合的方法,对设备将会发生的安全事件进行准确有效的预测并告警,为设备提供了更加安全的保障。
本发明所叙述安全事件包括但不限于各种网络攻击事件、异常流量、授权操作等,数据来源于SIEM/SOC整合的主机日志数据、IDS日志数据、WAF日志数据、防火墙日志数据等。该发明技术方案如下:
步骤s1:收集原始SIEM/SOC系统的事件日志数据,按照细分的时间粒度进行分割并进行处理,形成适合统计分析的数据。
步骤s2:采用基于模型的协同过滤思想,将步骤1处理后的数据整合成资产-事件的UV矩阵,其中矩阵的行为资产IP,矩阵的列为事件名称,矩阵值为对应资产的对应安全事件发生次数,类似于多维空间的多个点。将此UV矩阵进行分解,分解为资产因子矩阵和安全事件因子矩阵。不断迭代,最小化误差,构建出推荐模型。通过该模型,可以计算每个资产在各个时间段各个安全事件的推荐得分。
步骤s3:采用基于用户的协同过滤思想,遍历所有资产,计算资产两两之间的相似性,找出与当前资产在安全事件上最为相似的一个资产组。设定一定的阈值,对组内发生而该资产没有发生且推荐得分大于阈值的安全事件进行推荐。
步骤s4:结合步骤s2和步骤s3,对同一资产的同一推荐的安全事件结果,采用最佳的权重值,进行线性加权组合,得出最终的事件预测得分。
步骤s5:将设备实施发生的安全事件和预测该设备将会发生的安全事件进行配对,根据配对结果更新模型权重值,提高模型预测准确率。
本发明本发明技术方案带来的有益效果:
本发明相对于以往仅对安全事件进行检测,从一个新的角度出发,对设备将要发生的安全事件进行预测,提前发现设备可能潜在的威胁;采用推荐系统和机器学习的方式,利用历史数据和设备之间的相关性,本发明通过预测的安全事件,能够判断当前设备的安全现状,对后续应对威胁或改善设备安全状态提供了一定的指示。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实施方案:
步骤1,对原始SIEM/SOC系统的事件日志数据进行预处理;包括4个步骤:
步骤1.1:收集原始SIEM/SOC系统的事件日志数据,使用全量的历史日志数据,选取建模字段为设备IP、事件名称、事件发生时间;
步骤1.2:一个IP作为一个资产对象,选取时间间隔将每天的日志数据进行切割;
步骤1.3:对于每一个时间标签,统计在相同时间标签下相同资产发生的安全事件种类和事件次数,组成一个由资产IP、安全事件名称、安全事件发生次数和时间标签组成的四元组数据,以此作为样本数据;
步骤1.4:选取特定的时间标签,构造UV矩阵,其中矩阵行是资产IP,矩阵列是安全事件名称,矩阵值为对应资产的对应安全事件发生次数。
步骤2,采用基于模型的协同过滤算法计算资产安全事件推荐得分;包括3个步骤:
步骤2.1:将此UV矩阵使用SVD奇异值分解的方法,分解为资产因子矩阵U和安全事件因子矩阵V;
步骤2.2:采用交替最小二乘法来计算出使模型误差低于某阈值的最佳资产因子矩阵U和事件因子矩阵V,训练目标为最小化以下损失函数:
通过交叉训练选出使模型最优的c,λ,以此构建出最优的推荐模型;
步骤2.3:通过该模型,可以计算每个资产在各个时间段各个安全事件的推荐得分,如对于资产ui在安全事件vj上的得分为
步骤3,采用基于用户的协同过滤算法计算资产推荐安全事件推荐得分;包括2个步骤:
步骤3.1:根据余弦相似度,计算资产间两两的余弦相似度
步骤3.2:计算出资产ui在安全事件vj上的推荐得分。其中得分计算算法如下,选出与资产ui余弦相似度最高的K个资产和发生过安全事件vj的资产集合T,通过如下公式计算出资产ui在安全事件vj上的推荐得分:
通过对所有安全事件vj的计算得分降序排列,设置指定阈值a,选取出得分超过该a的安全事件,以此作为对资产ui进行预测的安全事件。
步骤4,采用线性加权的方法,组合得出最终预测得分;包括2个步骤:
步骤4.1:计算资产ui对安全事件vj的预测得分。对步骤二和步骤三中每个资产计算出来的推荐得分结果,对资产ui预测其发生安全事件vj的得分为:
其中wm表示设置的基于模型得分的权重,wn表示设置的基于用户的协同过滤得分权重。计算出加权后的推荐得分作为模型最终的预测得分。
步骤4.2:对每个资产按安全事件的总预测得分降序排列,排名最前的为在该时间段内最可能发生的安全事件。
步骤5,记录设备当前发生的安全事件,并与模型预测的安全事件,进行配对,计算准确率和更新模型权重;包括2个步骤:
步骤5.1:实时监测设备发生的安全事件,与模型预测的安全事件进行匹配,计算预测安全事件发生的准确率;
步骤5.2:通过准确率自动调整两个模型在步骤4.1的线性权重值,自学习式更新模型,提高准确率。
以上对本发明实施例所提供的一种基于协同过滤的安全事件预测技术进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (5)

1.一种基于协同过滤的安全事件预测技术,该发明基于用户的协同过滤和基于模型的协同过滤相结合的方法,对设备将会发生的安全事件进行准确有效的预测并告警,为设备提供了更加安全的保障。
2.根据权利要求1所述的一种基于协同过滤的安全事件预测技术,其特征在于:将协同过滤推荐算法使用在安全事件领域,以及使用协同过滤算法对安全事件进行预测。
3.根据权利要求1所述的一种基于协同过滤的安全事件预测技术,其特征在于:使用主机日志数据、IDS日志数据、WAF日志数据、防火墙日志数据,结合协同过滤算法,创造性地对设备的安全事件进行预测。
4.根据权利要求1所述的一种基于协同过滤的安全事件预测技术,其特征在于:使用两种协同过滤算法来进行建模,并使用自动调整模型权重参数的方式调节模型准确率。
5.根据权利要求1中所述的一种基于协同过滤的安全事件预测技术,其特征在于:预测模型权重的自学习调整方式,区别于静态设置组合模型权重的方式,通过对设备实时发生的安全事件与预测安全事件进行匹配,从而更新模型权重参数,使得模型能自学习地提高预测准确率和自动优化预测模型。
CN201710824750.4A 2017-09-14 2017-09-14 一种基于协同过滤的安全事件预测技术 Pending CN109510793A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710824750.4A CN109510793A (zh) 2017-09-14 2017-09-14 一种基于协同过滤的安全事件预测技术

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710824750.4A CN109510793A (zh) 2017-09-14 2017-09-14 一种基于协同过滤的安全事件预测技术

Publications (1)

Publication Number Publication Date
CN109510793A true CN109510793A (zh) 2019-03-22

Family

ID=65744307

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710824750.4A Pending CN109510793A (zh) 2017-09-14 2017-09-14 一种基于协同过滤的安全事件预测技术

Country Status (1)

Country Link
CN (1) CN109510793A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112733181A (zh) * 2020-12-18 2021-04-30 平安科技(深圳)有限公司 一种产品推荐方法、系统、计算机设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103197983A (zh) * 2013-04-22 2013-07-10 东南大学 基于概率图模型的服务组件可靠性在线时间序列预测方法
CN103793465A (zh) * 2013-12-20 2014-05-14 武汉理工大学 基于云计算的海量用户行为实时分析方法及系统
CN104394021A (zh) * 2014-12-09 2015-03-04 中南大学 基于可视化聚类的网络流量异常分析方法
US20160210321A1 (en) * 2015-01-16 2016-07-21 Google Inc. Real-time content recommendation system
CN106790008A (zh) * 2016-12-13 2017-05-31 浙江中都信息技术有限公司 用于在企业网络中检测异常主机的机器学习系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103197983A (zh) * 2013-04-22 2013-07-10 东南大学 基于概率图模型的服务组件可靠性在线时间序列预测方法
CN103793465A (zh) * 2013-12-20 2014-05-14 武汉理工大学 基于云计算的海量用户行为实时分析方法及系统
CN104394021A (zh) * 2014-12-09 2015-03-04 中南大学 基于可视化聚类的网络流量异常分析方法
US20160210321A1 (en) * 2015-01-16 2016-07-21 Google Inc. Real-time content recommendation system
CN106790008A (zh) * 2016-12-13 2017-05-31 浙江中都信息技术有限公司 用于在企业网络中检测异常主机的机器学习系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
PENG YU: "Collaborative Filtering Recommendation Algorithm Based on Both User and Item", 《2015 4TH INTERNATIONAL CONFERENCE ON COMPUTER SCIENCE AND NETWORK TECHNOLOGY (ICCSNT)》 *
李浩: "基于Hadoop的分布式数据挖掘关键技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112733181A (zh) * 2020-12-18 2021-04-30 平安科技(深圳)有限公司 一种产品推荐方法、系统、计算机设备及存储介质
CN112733181B (zh) * 2020-12-18 2023-09-15 平安科技(深圳)有限公司 一种产品推荐方法、系统、计算机设备及存储介质

Similar Documents

Publication Publication Date Title
Wang et al. Anomaly detection for industrial control system based on autoencoder neural network
EP3462267B1 (en) Anomaly diagnosis method and anomaly diagnosis apparatus
Hosseini et al. Artificial intelligence for resilience enhancement of power distribution systems
CN108418841A (zh) 基于ai的下一代关键信息基础设施网络安全态势感知系统
Prasanna Venkatesan et al. Supply chain risk prioritisation using a hybrid AHP and PROMETHEE approach
Elmas et al. A data fusion framework with novel hybrid algorithm for multi-agent Decision Support System for Forest Fire
Zarreh et al. Risk assessment for cyber security of manufacturing systems: A game theory approach
CN103678431A (zh) 一种基于标准标签和项目评分的推荐方法
Tufail et al. False data injection impact analysis in ai-based smart grid
CN106713233A (zh) 一种网络安全状态的判断与保护方法
Tang et al. Securing microgrid optimal energy management using deep generative model
Nishanthi et al. Prediction of dengue outbreaks in Sri Lanka using artificial neural networks
Kumar et al. An information theoretic approach for feature selection
Farajzadeh-Zanjani et al. Generative-adversarial class-imbalance learning for classifying cyber-attacks and faults-a cyber-physical power system
He et al. Detection of false data injection attacks leading to line congestions using Neural networks
Hossain et al. Smart-Agri: A Smart Agricultural Management with IoT-ML-Blockchain Integrated Framework
CN117478365B (zh) 一种计及攻击的能源互联网用电数据软恢复方法、设备及介质
CN109510793A (zh) 一种基于协同过滤的安全事件预测技术
Wang et al. Multi‐block principal component analysis based on variable weight information and its application to multivariate process monitoring
Wang et al. Research of the early warning analysis of crop diseases and insect pests
Zhang et al. An abnormal behavior detection based on deep learning
Chen et al. Manipulating supply chain demand forecasting with targeted poisoning attacks
CN111931798B (zh) 进行冷头状态分类检测和寿命预测的方法
Yu et al. Resilience, adaptability, and regime shifts thinking: A perspective of dryland socio-ecology system
Kanagaraj et al. Differential Privacy Techniques-Based Information Security for Cyber Physical System Applications: An Overview

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190322