CN110351260A - 一种内网攻击预警方法、装置及存储介质 - Google Patents

一种内网攻击预警方法、装置及存储介质 Download PDF

Info

Publication number
CN110351260A
CN110351260A CN201910576746.XA CN201910576746A CN110351260A CN 110351260 A CN110351260 A CN 110351260A CN 201910576746 A CN201910576746 A CN 201910576746A CN 110351260 A CN110351260 A CN 110351260A
Authority
CN
China
Prior art keywords
attack
data
correlation rule
intranet
tds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910576746.XA
Other languages
English (en)
Inventor
冯彩彩
成国华
李国文
蔡志
冯景峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Zhuixing Information Technology Co Ltd
Original Assignee
Guangzhou Zhuixing Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Zhuixing Information Technology Co Ltd filed Critical Guangzhou Zhuixing Information Technology Co Ltd
Priority to CN201910576746.XA priority Critical patent/CN110351260A/zh
Publication of CN110351260A publication Critical patent/CN110351260A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种内网攻击预警方法,至少包括以下步骤:根据第一预设时间间隔定时获取内网攻击事件数据;对所述内网攻击事件数据进行预处理,得到事务数据集,并将所述事务数据集入库;根据Apriori算法将所述事务数据生成关联规则,将所述关联规则入库,并自动更新所述关联规则;根据第二预设时间间隔定时获取实时攻击事件数据,对所述实时攻击事件数据进行预处理,得到预处理数据;通过异常分析器将所述预处理数据与所述关联规则的前件进行匹配,得到预测的未知攻击;将所述未知攻击与所述关联规则显示在Web界面。本发明能够准确实现内网攻击事件的实时预测,从而能够为网络信息管理人员提供决策支持,能够有效地阻止攻击行为。

Description

一种内网攻击预警方法、装置及存储介质
技术领域
本发明涉及网络预警技术领域,尤其涉及一种内网攻击预警方法、装置及存储介质。
背景技术
目前电力企业的信息网络基本上已经投入了必要的安全系统,比如IDS、IPS、防火墙等系统等,能够有效地解决部分内网安全问题,比如网络攻击行为的拦截、病毒的防御等。但是,这些系统在运行中产生的大量日志数据没有被充分运用,网络信息管理人员不能够第一时间直观地、有效地、事实地查看当前网络信息系统受攻击的情况。因此,充分利用大量日志数据建立态势感知模型,可以预先感知有效阻止各类攻击行为,以便为网络信息管理人员提供分析与决策的支持。
因此,需要通过现有的日志数据建立一套安全态势感知模型的系统,深层次地挖掘网络信息系统所隐藏的潜在安全风险,直观地、有效地、事实地展示攻击态势,对有效阻止各类攻击行为、有效地预警提供安全决策,以达到提前防御网络信息系统受到攻击,最终降低网络信息系统安全事件的发生。
目前,电力企业对防火墙、IDS、IPS等系统产生了大量的日志采用人工分析的方法,人工对抽象的日志数据进行分析会使得网络信息管理人员工作量大,分析的攻击行为浅,不能直观地表达,导致网络信息管理人员的工作效率很低,使得日志分析并没有被充分地利用,并且消耗企业大量的人力资源。另外,人工分析数据没有实时性,无法准确对攻击事件进行分析,将会导致网络系统资源遭受巨大的损失,不能实时有效地采取相应的措施防护网络系统资源。
发明内容
本发明实施例提供的一种内网攻击预警方法,能够准确实现内网攻击事件的实时预测,从而能够为网络信息管理人员提供决策支持,能够有效地阻止攻击行为。
为解决上述问题,一方面,本发明的一个实施提供了一种内网攻击预警方法,至少包括以下步骤:
根据第一预设时间间隔定时获取内网攻击事件数据;
对所述内网攻击事件数据进行预处理,得到事务数据集,并将所述事务数据集入库;
根据Apriori算法将所述事务数据生成关联规则,将所述关联规则入库,并自动更新所述关联规则;
根据第二预设时间间隔定时获取实时攻击事件数据,对所述实时攻击事件数据进行预处理,得到预处理数据;
通过异常分析器将所述预处理数据与所述关联规则的前件进行匹配,得到预测的未知攻击;
将所述未知攻击与所述关联规则显示在Web界面。
进一步地,所述对所述内网攻击事件数据进行预处理,得到事务数据集,并将所述事务数据集入库,具体为:
将所述内网攻击事件数据作为输入数据,设置第三预设时间间隔为攻击事务,将所述输入数据和所述攻击事务进行统计预处理,得到内网攻击事件数据的事务数据集。
进一步地,所述根据Apriori算法将所述事务数据生成关联规则,具体为:
根据Apriori算法将所述事务数据集生成频繁项集;
通过所述频繁项集得到所述事务数据集的关联规则。
进一步地,所述根据Apriori算法将所述事务数据集生成频繁项集,具体为:
扫描电力系统事务数据库中的所有所述事务数据集,得到候选的项集,其中所述候选的项集包括候选的项和候选支持度计数;
将所述候选的项集的支持度计数与所述与系统默认的最小支持度计数进行比对,从所述候选的项集中删除不满足预设条件的项,得到频繁项集。
进一步地,所述通过所述频繁项集得到所述事务数据集的关联规则,具体为:
通过每一所述频繁项集生成对应的非空子集,根据所述频繁项集中任一元素的支持度与所述非空子集对应的支持度的商与预设的置信度进行比对,得到所述事务数据集的关联规则;通过python将所述关联规则封装为DataFrame数据类型,并入库。
另一方面,本发明的另一个实施例提供了一种内网攻击预警装置,包括数据获取模块、第一预处理模块、生成模块、第二预处理模块、匹配模块和显示模块;
所述数据获取模块,用于根据第一预设时间间隔定时获取内网攻击事件数据;
所述第一预处理模块,用于对所述内网攻击事件数据进行预处理,得到事务数据集,并将所述事务数据集入库;
所述生成模块,用于根据Apriori算法将所述事务数据生成关联规则,将所述关联规则入库,并自动更新所述关联规则;
所述第二预处理模块,用于根据第二预设时间间隔定时获取实时攻击事件数据,对所述实时攻击事件数据进行预处理,得到预处理数据;
所述匹配模块,用于通过异常分析器将所述预处理数据与所述关联规则的前件进行匹配,得到预测的未知攻击;
所述显示模块,用于将所述未知攻击与所述关联规则显示在Web界面。
又一方面,本发明的另一个实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至5中任意一项所述的内网攻击预警方法。
本发明实施例提供的一种内网攻击预警方法、装置及存储介质,能够准确实现对内网攻击事件的实时预测,从而能够为网络信息管理人员提供决策支持,能够有效地阻止攻击行为。
附图说明
图1是本发明第一实施例提供的一种内网攻击预警方法的流程示意图;
图2是本发明第一实施例提供的一种内网攻击预警方法的另一流程示意图;
图3是本发明第一实施例提供的关联规则与未知攻击展示效果图;
图4是本发明第二实施例提供的一种内网攻击预警装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-3:
本发明的第一实施例。
本发明实施例提供了一种内网攻击预警方法,至少包括以下步骤:
S1、根据第一预设时间间隔定时获取内网攻击事件数据;
S2、对内网攻击事件数据进行预处理,得到事务数据集,并将事务数据集入库;
S3、根据Apriori算法将事务数据生成关联规则,将关联规则入库,并自动更新关联规则;
S4、根据第二预设时间间隔定时获取实时攻击事件数据,对实时攻击事件数据进行预处理,得到预处理数据;
S5、通过异常分析器将预处理数据与关联规则的前件进行匹配,得到预测的未知攻击;
S6、将未知攻击与关联规则显示在Web界面。
在本发明实施例中,可以理解的是,关联规则挖掘相关概念为:(1)项集:项集是项的集合,包含k个项的项集称为k项集,如I={i1,i2,……,im}就是一个 m项集,其中ij是项。本发明实施例的项集是攻击事件的集合(比如IDS安全日志,IPS安全日志、内网威胁发现日志等)。
(2)事务:每一个事务是一个非空项集,是上述提到I的子集,所有事务的集合是事务集,构成关联规则发现的事务数据库。
(3)基于频繁项集产生的关联规则:设I={i1,i2,……,im}是项的集合,则关联规则是A=>B的蕴涵式,其中A和B都是I的子集,且A、B都不为空,A、B 的交集为空,形成的关联规则可以存入规则库。如果规则R:A=>B满足 support(A=>B)=P(A∪B)>=min_sup(最小支持度)。confidence(A=>B) =P(B|A)>=min_conf(最小置信度)称关联规则A=>B为强关联规则。
(4)事务数据库:事务数据库T是元组<TID,T>的集合,TID是事务编号, T是一个事务。
(5)序列:设I={i1,i2,…,im}是一个项目的集合,一个非空的项目集合X∈I,一个序列s用<a1a2…ar>表示,其中序列元素ai是一个项集,也是序列 s的一个元素,且序列是一个排过序的项集列表。序列元素ai用{x1,x2,…,xk}, 表示,其中xj∈I是一个项目。本发明实施例挖掘的是攻击者的攻击序列。
(6)子序列:对于两个序列s1=<a1a2…ar>和s2=<b1b2…bv>,如果存在整数1 ≤j1<j2<…<jr-1<jr≤v。使得a1∈bj1,a2∈bj2,…,ar∈bjr,则称s1为s2的子序列,s2是s1的超序列。比如:序列<a(bc)df>是序列<a(abc)(ac)d(cf)>的子序列。
(7)频繁k-序列:如果频繁序列的所有项目数为k,则称为k频繁序列,也称为序列模式。本发明实施例的频繁k-序列就是攻击者实际的攻击行为模式。
(8)支持度(Support)与置信度(Confidence):某个序列s1的支持度就是指在整个序列集中包含该序列(序列可能是一个事件中的k-项集,也可能是多个事件形成的序列,而每一个事件有一个k-项集,k=1,2....)出现的次数。而某个序列关联规则的置信度是指两个序列s1、s2,如果s1是s2的子序列,则序列关联规则s1=>s2的置信度为:
(9)序列数据库:序列数据库S是元组<SID,s>的集合,SID是序列编号, s是一个序列,每个序列由若干个事件构成,每个序列的时间在时间上是有序排列的,可以表示攻击者的攻击序列或者受攻击者的受攻击序列,本发明实施例是对攻击者的攻击序列进行隐藏的模式挖掘。
在本发明实施例中,通过对实时获取到的内网攻击事件数据进行统计预处理,得到满足Apriori算法输入数据格式的事务数据集;通过扫描电力系统事务数据库中的事务数据集,得到候选的项集,并通过将候选的项集中的候选支持度计数与与系统默认的最小支持度计数进行比对,获得频繁项集,并通过频繁项集生成事务数据集对应的关联规则,并自动更新关联规则库,能够深入挖掘电力企业网络信息受攻击数据隐藏的行为模式,从而能够有效地提高内网攻击预警的准确性和可靠性;通过获取实时攻击事件数据并对获取到的实时攻击数据进行预处理得到符合异常分析器的数据格式,通过异常分析器将预处理后的数据与关联规则的前件进行匹配,能够深层次地挖掘网络信息系统所隐藏的潜在安全风险,准确地得到预测的未知攻击;将预测的未知攻击通过flask Web框架在界面实时显示,能够使得网络信息管理人员能够第一时间直观地、有效地、实时地查看当前网络信息系统受攻击的预警情况;将关联规则和未知攻击显示在界面,能够使得网络管理人员能够通过展示的数据做出分析和决策,提前防御网络信息系统受到攻击,从而能够有效地阻止各类攻击行为,进而能够有效降低网络信息系统安全事件的发生。
作为本发明实施例的一种具体实施方式,对内网攻击事件数据进行预处理,得到事务数据集,并将事务数据集入库,具体为:
将内网攻击事件数据作为输入数据,设置第三预设时间间隔为攻击事务,将输入数据和攻击事务进行统计预处理,得到内网攻击事件数据的事务数据集。
在本发明实施例中,本发明实施例获取2018年9月19日—2018年9月25 日的内网攻击事件数据作为输入数据,设置第三预设时间间隔为30分钟作为攻击事务。首先明确输入数据的数据结构按照时间先后顺序排列如下:
序号 攻击名称 攻击时间(先后顺序)
1 攻击1 2018.07.15 21:10:10
2 攻击2 2018.07.15 21:20:30
3 攻击1 2018.07.15 21:40:10
4 攻击3 2018.07.16 19:40:10
5 攻击4 2018.07.16 23:40:10
(1)将输入数据和攻击事务进行统计预处理,具体为:对序号1,攻击1 为前件,按照攻击时间间隔(超过30分钟(含30分钟))纳入攻击1的后件,由于序号2的攻击2的发生时间为2018.07.15 21:20:30,距离序号1的攻击1的时间间隔为20分钟,不超过30分钟,因此不纳入攻击1的后件,而序号3 的攻击1发生时间为2018.07.15 21:40:10,距离序号1的攻击1的时间间隔为30分钟,因此纳入攻击1的后件。以此类推,得到以下事务数据:
对序号1:{(攻击1,攻击1),(攻击1,攻击3),(攻击1,攻击4)}
(2)依次对其他序号进行类似的统计,得到结果如下:
对序号2:{(攻击2,攻击1),(攻击2,攻击3),(攻击2,攻击4)}
对序号3:{(攻击1,攻击3),(攻击1,攻击4)}
对序号4:{(攻击3,攻击4)}
对序号5:由于攻击4是数据集的最后依次攻击,没有后续攻击,因此没有后件。
(3)对上面的数据集进行汇总统计,形成攻击事件的事务数据集,如下表所示:
item 前件 后件 出现次数
1 攻击1 攻击1 1
2 攻击1 攻击3 2
3 攻击1 攻击4 2
4 攻击2 攻击1 1
5 攻击2 攻击3 1
6 攻击2 攻击4 1
7 攻击3 攻击4 1
可以理解的是,本发明实施中的第三预设时间间隔可以设置为任意时间,本发明中第三预设时间间隔设置为30分钟,能够使得汇总统计得到的攻击事件事务数据集更具有准确性,且能够使得工作人员有足够的时间处理预测出来的攻击。
作为本发明实施例的一种具体实施方式,根据Apriori算法将事务数据生成关联规则,具体为:
根据Apriori算法将事务数据集生成频繁项集;
通过频繁项集得到事务数据集的关联规则。
在本发明实施例中,将生成的关联规则进行自动更新,Apriori算法生成关联规则模块首先初始化关联规则库,如果Apriori算法生成关联规则的前件在关联规则库中存在,则更新该关联规则,实现关联规则库自动更新。
例如:之前的关联规则库里为A===>B1,A====>B2,C===>D1(其中A、C是关联规则的前件),如果现在出现关联规则A====>B3(步骤(3)产生的新规则,该规则的前件为A),则将关联规则A====>B3添加到关联规则库里,现在关联规则库里就有A===>B1,A====>B2,A====>B3,C====>D1的关联规则。本发明实施例通过对关联规则的自动更新,能够有效地提高关联规则的时效性和准确性,从而能够有效地提高内网攻击的准确性和可靠性。
作为本发明实施例的一种具体实施方式,根据Apriori算法将事务数据集生成频繁项集,具体为:
扫描电力系统事务数据库中的所有事务数据集,得到候选的项集,其中候选的项集包括候选的项和候选支持度计数;
将候选支持度计数与系统默认的最小支持度计数进行比对,从候选的项集中删除不满足预设条件的项,得到频繁项集。
在本发明实施例中,通过扫描电力系统事务数据库中的事务数据集,产生候选的1-项集C1;通过扫描电力系统事务数据库中的事务数据集,累计每个项的计数,形成候选的项集Key-Value(其中,Key是候选的项,Value是候选支持度计数),然后把候选支持度计数与系统默认的最小支持度计数相对比,形成频繁的L1(既Key-Value,其中,Key是频繁项集的项,Value是频繁项集的支持度计数);扫描电力系统事务数据库中的事务数据集,产生候选的2-项集C2;扫描电力系统事务数据库中的事务数据集,对C2中每个项进行计数。同样的,根据系统默认的最小支持度从C2中删除不满足的项,从而获得频繁2项集L2。
通过对候选的k-项集Ck中每个项进行计数,再根据系统默认的最小支持度从Ck中删除不满足的项,从而获得频繁k项集Lk。
可以理解的是,本发明实施例中候选的k-项集可以是全部的k-项集,也可以根据业务性质筛选出部分的k-项集。本发明实施例的策略是选择所有k-项集为候选的k-项集,即不需要筛选。本发明实施例通过扫描电力系统事务数据库中的事务数据集,得到候选的项集,并通过将候选支持度计数与系统默认的最小支持度计数进行比对,获得频繁项集,能够深入挖掘电力企业网络信息受攻击数据隐藏的行为模式,能够有效地提高内网攻击预警的准确性和可靠性。
作为本发明实施例的一种具体实施方式,通过频繁项集得到事务数据集的关联规则,具体为:
通过每一频繁项集生成对应的非空子集,根据频繁项集中任一元素的支持度与非空子集对应的支持度的商与预设的置信度进行比对,得到事务数据集的关联规则;通过python将关联规则封装为DataFrame数据类型,并入库。
在本发明实施例中,对于每个频繁k项集Lk,产生Lk的所有非空子集sub_set,对于Lk的每个非空子集sub_set,作如下计算:如果 则输出sub_set=>(freq_set-sub_set),且该关联规则的置信度为其中,support_count(sub_set)是频繁项集sub_set对应的支持度,freq_set是频繁k项集Lk中的一个元素,min_conf是用户输入的置信度,用于提取满足用户要求的强关联规则。最后使用python把关联规则封装为 DataFrame数据类型,并入库。本发明实施例中,将获取到的关联规则和未知攻击显示在在Web界面,网络信息管理人员能够的攻击行为进行详细的分析,为网络信息管理人员有效阻止网络攻击提供决策支持。比如规则:WEB登录明文传输检测=>WEB登录弱口令防护的置信度是0.518518519,提醒内网用户需要更改弱口令。
请参阅图3,为本发明第一实施例提供的关联规则与未知攻击展示效果图。根据图3的字段“next_attack_occur_probability”,即下次攻击的概率,概率越大,发生攻击的可能性越高。信息管理人员可以根据自身经验进行自行决策是否采纳该规则的预测,或者通过定义一个阈值,只要概率超过该阈值,即决策采纳该规则的预测。假设定义阈值为0.51,由于规则“WEB登录明文传输检测=>WEB 登录弱口令防护”的发生概率为0.518518519,超过0.51,因此选择相信该预测。由于我们统计的时间窗口为30分钟,该规则的意思是,如果出现“WEB登录明文传输检测”攻击,那么30分钟后,出现“WEB登录弱口令防护”攻击的概率为 0.518518519。由于我们采纳了该预测,因我们需要提前修改登录弱口,预防“WEB 登录弱口令防护”攻击造成的后果。
Web界面所显示的关联规则的信息需要网络信息管理人员更详细地分析,为网络信息管理人员有效阻止网络攻击提供决策支持。通过以上序列关联规则分析,UDP洪水攻击,方法过滤,弱口令检测等攻击是攻击者常用的攻击手段,网络信息管理员通过更改相应的FTP弱口令,以阻止下一次的网络攻击。
实施本发明实施例,具有如下有益效果:
在本发明实施例中,通过对实时获取到的内网攻击事件数据进行统计预处理,得到满足Apriori算法输入数据格式的事务数据集;通过扫描电力系统事务数据库中的事务数据集,得到候选的项集,并通过将候选的项集中的候选支持度计数与系统默认的最小支持度计数进行比对,获得频繁项集,并通过频繁项集生成事务数据集对应的关联规则,并自动更新关联规则库,能够深入挖掘电力企业网络信息受攻击数据隐藏的行为模式,从而能够有效地提高内网攻击预警的准确性和可靠性;通过获取实时攻击事件数据并对获取到的实时攻击数据进行预处理得到符合异常分析器的数据格式,通过异常分析器将预处理后的数据与关联规则的前件进行匹配,能够深层次地挖掘网络信息系统所隐藏的潜在安全风险,准确地得到预测的未知攻击;将预测的未知攻击通过flask Web框架在界面实时显示,能够使得网络信息管理人员能够第一时间直观地、有效地、实时地查看当前网络信息系统受攻击的预警情况;将关联规则和未知攻击显示在界面,能够使得网络管理人员能够通过展示的数据做出分析和决策,从而采取相应的措施防护网络系统资源,能够提前防御网络信息系统受到攻击,从而能够有效地阻止各类攻击行为,进而能够有效降低网络信息系统安全事件的发生。
请参阅图4:
本发明提供的第二实施例。
本发明实施例提供了一种内网攻击预警装置,包括数据获取模块101、第一预处理模块102、生成模块103、第二预处理模块104、匹配模块105和显示模块 106;
数据获取模块101,用于根据第一预设时间间隔定时获取内网攻击事件数据;
第一预处理模块102,用于对内网攻击事件数据进行预处理,得到事务数据集,并将事务数据集入库;
生成模块103,用于根据Apriori算法将事务数据生成关联规则,将关联规则入库,并自动更新关联规则;
第二预处理模块104,用于根据第二预设时间间隔定时获取实时攻击事件数据,对实时攻击事件数据进行预处理,得到预处理数据;
匹配模块105,用于通过异常分析器将预处理数据与关联规则的前件进行匹配,得到预测的未知攻击;
显示模块106,用于将未知攻击与关联规则显示在Web界面。
实施本发明实施例,具有如下有益效果:
在本发明实施例中,通过第一预处理模块102对实时获取到的内网攻击事件数据进行统计预处理,得到满足Apriori算法输入数据格式的事务数据集;通过生成模块103扫描电力系统事务数据库中的事务数据集,得到候选的项集,并通过将候选的项集中的候选支持度计数与系统默认的最小支持度计数进行比对,获得频繁项集,并通过频繁项集生成事务数据集对应的关联规则,并自动更新关联规则库,能够深入挖掘电力企业网络信息受攻击数据隐藏的行为模式,从而能够有效地提高内网攻击预警的准确性和可靠性;通过第二预处理模块104获取实时攻击事件数据并对获取到的实时攻击数据进行预处理得到符合异常分析器的数据格式,通过匹配模块105利用异常分析器将预处理后的数据与关联规则的前件进行匹配,能够深层次地挖掘网络信息系统所隐藏的潜在安全风险,准确地得到预测的未知攻击;将预测的未知攻击通过flask Web框架在界面实时显示,能够使得网络信息管理人员能够第一时间直观地、有效地、实时地查看当前网络信息系统受攻击的预警情况;通过显示模块106将关联规则和未知攻击显示在界面,能够使得网络管理人员能够通过展示的数据做出分析和决策,提前防御网络信息系统受到攻击,从而能够有效地阻止各类攻击行为,进而能够有效降低网络信息系统安全事件的发生。
本发明的一个实施例还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行如权利要求1至5中任意一项的内网攻击预警方法。
以上是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (7)

1.一种内网攻击预警方法,其特征在于,至少包括以下步骤:
根据第一预设时间间隔定时获取内网攻击事件数据;
对所述内网攻击事件数据进行预处理,得到事务数据集,并将所述事务数据集入库;
根据Apriori算法将所述事务数据生成关联规则,将所述关联规则入库,并自动更新所述关联规则;
根据第二预设时间间隔定时获取实时攻击事件数据,对所述实时攻击事件数据进行预处理,得到预处理数据;
通过异常分析器将所述预处理数据与所述关联规则的前件进行匹配,得到预测的未知攻击;
将所述未知攻击与所述关联规则显示在Web界面。
2.如权利要求1所述的内网攻击预警方法,其特征在于,所述对所述内网攻击事件数据进行预处理,得到事务数据集,并将所述事务数据集入库,具体为:
将所述内网攻击事件数据作为输入数据,设置第三预设时间间隔为攻击事务,将所述输入数据和所述攻击事务进行统计预处理,得到内网攻击事件数据的事务数据集。
3.如权利要求1所述的内网攻击预警方法方法,其特征在于,所述根据Apriori算法将所述事务数据生成关联规则,具体为:
根据Apriori算法将所述事务数据集生成频繁项集;
通过所述频繁项集得到所述事务数据集的关联规则。
4.如权利要求3所述的内网攻击预警方法,其特征在于,所述根据Apriori算法将所述事务数据集生成频繁项集,具体为:
扫描电力系统事务数据库中的所有所述事务数据集,得到候选的项集,其中所述候选的项集包括候选的项和候选支持度计数;
将所述候选的项集的支持度计数与所述与系统默认的最小支持度计数进行比对,从所述候选的项集中删除不满足预设条件的项,得到频繁项集。
5.如权利要求3所述的内网攻击预警方法,其特征在于,所述通过所述频繁项集得到所述事务数据集的关联规则,具体为:
通过每一所述频繁项集生成对应的非空子集,根据所述频繁项集中任一元素的支持度与所述非空子集对应的支持度的商与预设的置信度进行比对,得到所述事务数据集的关联规则;通过python将所述关联规则封装为DataFrame数据类型,并入库。
6.一种内网攻击预警装置,其特征在于,包括数据获取模块、第一预处理模块、生成模块、第二预处理模块、匹配模块和显示模块;
所述数据获取模块,用于根据第一预设时间间隔定时获取内网攻击事件数据;
所述第一预处理模块,用于对所述内网攻击事件数据进行预处理,得到事务数据集,并将所述事务数据集入库;
所述生成模块,用于根据Apriori算法将所述事务数据生成关联规则,将所述关联规则入库,并自动更新所述关联规则;
所述第二预处理模块,用于根据第二预设时间间隔定时获取实时攻击事件数据,对所述实时攻击事件数据进行预处理,得到预处理数据;
所述匹配模块,用于通过异常分析器将所述预处理数据与所述关联规则的前件进行匹配,得到预测的未知攻击;
所述显示模块,用于将所述未知攻击与所述关联规则显示在Web界面。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至5中任意一项所述的内网攻击预警方法。
CN201910576746.XA 2019-06-28 2019-06-28 一种内网攻击预警方法、装置及存储介质 Pending CN110351260A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910576746.XA CN110351260A (zh) 2019-06-28 2019-06-28 一种内网攻击预警方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910576746.XA CN110351260A (zh) 2019-06-28 2019-06-28 一种内网攻击预警方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN110351260A true CN110351260A (zh) 2019-10-18

Family

ID=68177186

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910576746.XA Pending CN110351260A (zh) 2019-06-28 2019-06-28 一种内网攻击预警方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN110351260A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404914A (zh) * 2020-03-11 2020-07-10 南京邮电大学 一种特定攻击场景下泛在电力物联网终端安全防护方法
CN111626239A (zh) * 2020-05-29 2020-09-04 山东山科智能科技有限公司 基于行为特征的服刑人员危险倾向预测方法及系统
CN112148715A (zh) * 2020-10-26 2020-12-29 北京安信天行科技有限公司 一种基于用户行为规则的数据库安全检测方法及系统
CN112714462A (zh) * 2020-12-25 2021-04-27 南京邮电大学 基于改进Apriori算法的电力无线专网特定网络攻击监测方法
CN113079153A (zh) * 2021-03-26 2021-07-06 新华三技术有限公司 网络攻击类型的预测方法、装置及存储介质
CN113645181A (zh) * 2021-06-21 2021-11-12 上海电力大学 一种基于孤立森林的分布式规约攻击检测方法及系统
CN113794696A (zh) * 2021-08-27 2021-12-14 北京航空航天大学杭州创新研究院 一种基于因果模型的网络安全信息处理方法和系统
CN115118500A (zh) * 2022-06-28 2022-09-27 深信服科技股份有限公司 攻击行为规则获取方法、装置及电子设备
CN115603989A (zh) * 2022-10-08 2023-01-13 东南大学溧阳研究院(Cn) 一种源网荷储协同控制系统的网络攻击关联性分析方法
CN116308721A (zh) * 2023-05-11 2023-06-23 菏泽市市场监管监测中心 一种信息监督管理方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281341A (zh) * 2013-06-27 2013-09-04 福建伊时代信息科技股份有限公司 网络事件处理方法及装置
US20180032880A1 (en) * 2016-07-28 2018-02-01 International Business Machines Corporation Using Learned Application Flow to Predict Outcomes and Identify Trouble Spots in Network Business Transactions
CN108255996A (zh) * 2017-12-29 2018-07-06 西安交大捷普网络科技有限公司 基于Apriori算法的安全日志分析方法
CN109302407A (zh) * 2018-10-31 2019-02-01 广东电网有限责任公司 一种网络安全态势预测方法、装置、设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281341A (zh) * 2013-06-27 2013-09-04 福建伊时代信息科技股份有限公司 网络事件处理方法及装置
US20180032880A1 (en) * 2016-07-28 2018-02-01 International Business Machines Corporation Using Learned Application Flow to Predict Outcomes and Identify Trouble Spots in Network Business Transactions
CN108255996A (zh) * 2017-12-29 2018-07-06 西安交大捷普网络科技有限公司 基于Apriori算法的安全日志分析方法
CN109302407A (zh) * 2018-10-31 2019-02-01 广东电网有限责任公司 一种网络安全态势预测方法、装置、设备及存储介质

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404914A (zh) * 2020-03-11 2020-07-10 南京邮电大学 一种特定攻击场景下泛在电力物联网终端安全防护方法
CN111626239A (zh) * 2020-05-29 2020-09-04 山东山科智能科技有限公司 基于行为特征的服刑人员危险倾向预测方法及系统
CN112148715A (zh) * 2020-10-26 2020-12-29 北京安信天行科技有限公司 一种基于用户行为规则的数据库安全检测方法及系统
CN112714462A (zh) * 2020-12-25 2021-04-27 南京邮电大学 基于改进Apriori算法的电力无线专网特定网络攻击监测方法
CN113079153B (zh) * 2021-03-26 2022-06-21 新华三技术有限公司 网络攻击类型的预测方法、装置及存储介质
CN113079153A (zh) * 2021-03-26 2021-07-06 新华三技术有限公司 网络攻击类型的预测方法、装置及存储介质
CN113645181A (zh) * 2021-06-21 2021-11-12 上海电力大学 一种基于孤立森林的分布式规约攻击检测方法及系统
CN113794696A (zh) * 2021-08-27 2021-12-14 北京航空航天大学杭州创新研究院 一种基于因果模型的网络安全信息处理方法和系统
CN115118500A (zh) * 2022-06-28 2022-09-27 深信服科技股份有限公司 攻击行为规则获取方法、装置及电子设备
CN115118500B (zh) * 2022-06-28 2023-11-07 深信服科技股份有限公司 攻击行为规则获取方法、装置及电子设备
CN115603989A (zh) * 2022-10-08 2023-01-13 东南大学溧阳研究院(Cn) 一种源网荷储协同控制系统的网络攻击关联性分析方法
CN116308721A (zh) * 2023-05-11 2023-06-23 菏泽市市场监管监测中心 一种信息监督管理方法、装置、电子设备及存储介质
CN116308721B (zh) * 2023-05-11 2023-10-20 菏泽市市场监管监测中心 一种信息监督管理方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN110351260A (zh) 一种内网攻击预警方法、装置及存储介质
CN103368976B (zh) 一种基于攻击图邻接矩阵的网络安全评估装置
CN106209893B (zh) 基于业务过程模型挖掘的内部威胁检测系统及其检测方法
CN106656991A (zh) 一种网络威胁检测系统及检测方法
CN109885562A (zh) 一种基于网络空间安全的大数据智能分析系统
CN109861995A (zh) 一种网络空间安全大数据智能分析方法、计算机可读介质
CN110380896A (zh) 基于攻击图的网络安全态势感知模型和方法
CN101399658B (zh) 一种安全日志分析方法及系统
CN106453386A (zh) 基于分布式技术的自动化互联网资产监控和风险检测方法
CN101931570B (zh) 一种基于频繁模式增长算法的网络攻击路径重构方法
Schindler Anomaly detection in log data using graph databases and machine learning to defend advanced persistent threats
CN105681286A (zh) 关联分析方法和关联分析系统
CN107547526A (zh) 一种云地结合的数据处理方法及装置
CN103368979A (zh) 一种基于改进K-means算法的网络安全性验证装置
CN108123939A (zh) 恶意行为实时检测方法及装置
CN108494802A (zh) 基于人工智能的关键信息基础设施安全威胁主动防御系统
CN112839039B (zh) 一种网络威胁事件攻击场景交互式自动还原方法
CN110213226A (zh) 基于风险全要素辨识关联的网络攻击场景重建方法及系统
CN110493179A (zh) 基于时间序列的网络安全态势感知模型和方法
CN101252440B (zh) 基于固有子序列模式分解的网络入侵检测方法
CN106096406A (zh) 一种安全漏洞回溯分析方法及装置
CN116436659A (zh) 一种网络安全威胁的量化分析方法及装置
CN110430158A (zh) 采集代理部署方法及装置
CN103593610A (zh) 基于计算机免疫的间谍软件自适应诱导与检测方法
CN110135165A (zh) 一种动态化的分级多粒度模糊测试漏洞挖掘方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191018