CN110460558A - 一种基于可视化的攻击模型发现的方法及系统 - Google Patents
一种基于可视化的攻击模型发现的方法及系统 Download PDFInfo
- Publication number
- CN110460558A CN110460558A CN201810427344.9A CN201810427344A CN110460558A CN 110460558 A CN110460558 A CN 110460558A CN 201810427344 A CN201810427344 A CN 201810427344A CN 110460558 A CN110460558 A CN 110460558A
- Authority
- CN
- China
- Prior art keywords
- challenge model
- alarm
- original alarm
- discovery
- system based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于可视化的攻击模型发现的方法及系统,其特征在于,包括步骤:原始告警预处理、聚合原始告警和攻击模型的生成。通过本发明,可以帮助网络管理员快速定位入侵攻击和采取预防措施,大大地减轻了政府和企业的IT业务所遭受的影响。
Description
技术领域
本发明涉及信息安全技术、大数据、入侵告警可视化和攻击模型发现技术领域,尤其涉及到安全入侵告警可视化的方法及系统。
背景技术
近年来,随着计算机网络的迅速发展和完善,新的服务和应用越来越依赖于网络,伴随着这一增长,网络安全的重要性日益增加,减轻安全事件的后果的措施势在必行。入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙、堡垒机、网管和SOC(Security OperationCenter)等安全设备已被广泛用于此目的。
安全设备在信息系统安全策略配置中起着重要作用的设备。安全设备监视网络和系统活动/操作以预防任何安全入侵威胁。当它们检测到安全入侵威胁时,则向网络管理员发出告警(alert),网络管理员通过手动分析以响应这些告警(或原始告警)。原始告警提供了该告警的原始信息,例如,采集设备ID、告警事件名、源IP、源端口、目标IP、目标端口、告警级别、ASN(Autonomous System Number)、告警开始时间、告警结束时间、告警特征描述等;然而,不幸的是,这些信息却没有给出原始告警之间的任何关联关系,安全分析人员从这些原始告警信息中无法重构出安全攻击场景。因此,安全设备每天所发出的海量原始告警(alert)使得管理员难易通过手动方式来应对。
通常,诸如传统的入侵检测系统(IDS),为每个攻击步骤均发送原始告警,并且IDS不能检测原始告警之间的相互逻辑关系和因果关系。因此,从海量的原始告警信息之中发现有用的告警和潜在的攻击策略,对于研制信息安全服务平台,成为一个真正的挑战。
为了处理不可控制的原始告警的数量并改善其可视化以促进入侵分析,目前,已有的技术建议了一种告警预处理和告警相关性分析的技术。这些已有的告警预处理技术的主要目的是通过识别告警根原因来减少误报的告警数量;另一方面,已有的告警相关分析技术旨在分析原始告警之间的相似性和因果关系,以向网络管理员提供网络状态的高层次和翔实的描述。
为了告警关联结果的可视化输出,已有的技术也做了一些改进。申请号为CN201410311860.7的中国发明专利,公开了一种用于告警信息处理的可视化展示方法,包括如下步骤:S1,将调度员关心的告警进行分类,并确定每类告警对应的告警方案;S2,判断接收到的告警信息的类别,根据类别查找对应的告警方案,产生告警信息预处理结果;S3,根据告警信息预处理结果,分别对电网潮流图和告警相关画面进行显示可视化处理,将显示可视化处理后的告警相关画面显示于所述电网潮流图上的故障点位置,并等待告警确认;S4,接收告警确认信息,将电网潮流图和告警相关画面进行消失可视化处理,能及时、准确、直观地了解告警信息,并及时对告警信息进行处理。然而,该专利的可视化只是用来直观地展现告警,而没有涉及到诸如采用“有向图”的方法来进行直观地生成安全攻击模型。
为了克服已有告警相关性分析技术框架的缺陷,已有的技术也做了一些改进。《基于大数据技术的电信网络告警关联分析设计与实现》的论文(电信工程技术与标准化 2016年 第4期 张永华)提出了将网络告警数据进行合理有效的存储和筛选之后,通过分布式内存计算,将同一时间窗口内同时出现的告警进行采集,计算出告警的共现的频率大小,根据共现频率的高低判断潜在告警之间的关联关系,提供给相关网络专业做出进一步确认。
发明内容
有鉴于此,为了弥补已有技术的缺陷,本发明提供了一种基于可视化的攻击模型发现的方法及系统,它通过一种直观的方式来理解攻击者危害网络所使用的策略,以帮助网络管理员快速定位入侵攻击和采取预防措施。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于可视化的攻击模型发现的方法及系统,其特征在于,包括如下步骤:
(1)原始告警预处理;
(2)聚合原始告警;
(3)攻击模型的生成。
上述方案中,所述原始告警预处理,保证提供原始告警含有攻击模型发现所需要的字段信息;
上述方案中,所述聚合告警,将具有一些共同特征的原始告警(alert)聚合在一起;
上述方案中,所述攻击模型的生成,是通过攻击模型发现算法自动生成。
上述方案中,所述攻击模型,由有向图所组成。
上述方案中,所述攻击模型发现算法,采用了大数据框架。
本申请的一种基于可视化的攻击模型发现的方法及系统,其特征在于,包括步骤:原始告警预处理、聚合原始告警和攻击模型的生成。通过本发明,可以帮助网络管理员快速定位入侵攻击和采取预防措施,大大地减轻了政府和企业的IT业务所遭受的影响。
附图说明
图1为本发明所述的一种基于可视化的攻击模型发现的方法及系统的分析方法示意图。
图2为本发明所述的一种基于可视化的攻击模型发现的方法及系统的告警模型发现算法示意图。
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
用于告警相关性分析存在许多方法,但是,它们中的每一个都存在许多缺陷。本专利所提供的方法及系统,能够帮助网络管理员快速定位入侵攻击和采取预防措施,免遭通过手动方式来艰难应对海量的原始告警(alert)。
本申请所提供的一种基于可视化的攻击模型发现的方法及系统,它采集IDS、IPS等各种安全设备的日志信息。首先,由于它们是由不同厂商的设备生成的日志信息,因此需要对原始告警进行标准化预处理和按照时间先后顺序进行原始告警(alert)的排序(如图1的110);其次,将具有某些相同特征的原始告警进行聚合(如图1的120);最后,主要的攻击模型生成算法发挥其作用(如图1的130)。
信息安全设备产生了海量的原始告警,为了方便分析,将具有某些相同特征的原始告警进行聚合(如图1的120),其目的在于,通过聚合原始告警希望能够可关联到一个攻击或多个针对网络执行的攻击。
原始告警聚合可以以不同的方式执行。各种不同的聚合策略将从各种安全设备所采集的原始告警以不同的角度对入侵攻击进行分组,也可以说,通过利用该分组构成的有向图,真实地从各个不同的角度可视化地重现了入侵攻击的行为。一些常用的聚合策略如下:
一对多:根据源IP地址聚合告警,以形成一个单一源IP地址(攻击者)试图破坏许多目的IP地址的原始告警组。
多对一:根据目的IP地址聚合原始告警,以形成多个源IP地址(攻击者)试图破坏一个单一目的IP地址(目标)的原始告警组。
例如,为了研究攻击者对网络所使用的攻击策略,可以使用一对多聚合策略来对原始告警进行分组。因此,形成原始告警组,每一个原始告警都与后面研究的同一攻击者的行动有关。类似地,为了研究针对网络的特定目标所使用的策略(例如分布式攻击DDOS),可以使用多对一来聚合告警策略。在这种情况下,聚合的原始告警组表示不同的攻击者如何试图攻击单个目标。岛跳跃聚合就是另一个例子,它从攻击中形成原始告警组,其中攻击者使用先前被攻击的受害者IP执行另一个攻击,例如,僵尸网络botnet。网络管理员可以探索在原始告警聚合中表示不同视角(或视图)的灵活性,以提供与攻击有关的网络的更全面的视图。
在聚合原始告警之后,执行过滤处理。过滤的主要目的是识别与多阶段攻击无关的原始告警组。在这个意义上,两种原始告警组将被丢弃:i)由仅由同一个原始告警所组成的原始告警组和ii)由相同特征组成的原始告警组。在i)中形成的原始告警组表示迅速完成的攻击行为;另一方面,在ii)中形成的原始告警组与i)具有相似的行为。然而,所述的这两种情况i)和ii)不同于多步攻击,多步攻击执行不同顺序的步骤的操作(即攻击策略)以实现其攻击目标。本申请主要考虑多步攻击的挖掘和发现。因此,表示i)和ii)这些场景的原始告警组将被本申请视为噪声,并且被丢弃,以及它们的行为不包括在本申请所得到的攻击模型中。
原始告警信息中有许多字段,但不是每一个字段都要用于攻击模型的发现,因此,需要将原始告警字段的标准化预处理,标准化预处理之后原始告警字段都可以用来攻击模型的发现。
这里,我们定义一个场景作为在t时间段内聚合的一个原始告警组,因此,任何一个原始告警都与某一个场景有关。例如,假设原始告警按照源IP地址聚合(一对多聚合)的原始告警和t时间段(t被设置成1天),那么,在第m天由源IP地址X.X.X.X触发的原始告警将属于第i个场景,在第n天由源IP地址X.X.X.X触发的原始告警将属于第j个场景(1天时间间隔),最后,在第m天由源IP地址y.y.y.y触发的原始告警将属于第k个场景。因此,每一个入侵攻击均由一个场景和它们的攻击步骤的活动(或操作)所组成。例如,由于入侵攻击的操作(或活动)而引起的告警就是场景的日志(或就是所采集的原始告警的日志事件信息)。在攻击模型发现期间,场景被用来决定在安全攻击过程中所执行操作的因果依赖关系。本申请采用在原始告警日志信息中的所执行操作来分析攻击步骤的操作(或活动)的因果依赖关系。
最后,在一个场景内的原始告警,将按照原始告警发生的先后顺序进行排列。为此,本申请通过原始告警开始时间字段(时间戳)进行先后排序。
攻击模型的构建过程由攻击模型发现算法自动地生成。本申请的攻击模型发现算法,将原始告警的事件日志信息作为它的输入,而它的输出就是攻击模型。该攻击模型表示通过原始告警的事件日志信息而检测到的黑客攻击行为。所述攻击模型由4维数组(V, E,,)来定义,也就是说,攻击模型由顶点V、有向边E、开始顶点和结束顶点所组成。所述模型的顶点V表示攻击的步骤,通过原始告警的事件日志信息中的操作(活动)来表示;边E表示顶点之间的顺序关系。除了和之外,所有的顶点V和边E都含有相关的权重值,分别表示顶点V的活动(操作)发生的绝对频率和连接两个活动的边E的转移概率。
攻击模型发现算法的运算过程如下:首先,将和加入模型中(图2的第2行和第3行),然后,所述算法进行循环,遍历每一个告警事件的场景;并且对于每一个活动(操作),将顶点添加到所述模型中(图2的第4至16行)。一条边被添加了,为了连接顶点到场景最最初的活动的顶点(图2的第7行至第8行),表示该场景往后的活动的顶点由边连接(循环,第9行至15行,见图2)。如果顶点或边已经存在,则它的频率或转移概率增加1。最后,添加一条边连接场景中的最后一个活动到(图2的第13行)。该算法执行完毕之后,输出的就是攻击模型。该攻击模型由有向图所组成,可视化地再现了黑客入侵攻击。这种攻击模型的直观重现,可以帮助安全管理员快速定位入侵攻击和采取有效预防措施。
面对规模如此巨大的有向图数据,攻击模型发现算法采用传统计算框架已经无法承受它所带来的时间和空间的开销。为了弥补已有传统技术的缺陷,本申请的一种基于可视化的攻击模型发现的方法及系统,提供了基于大数据和有向图的攻击模型的发掘的方法及系统,实现了信息安全运维管理的自动化、智能化和可视化。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。
Claims (6)
1.一种基于可视化的攻击模型发现的方法及系统,其特征在于,包括如下步骤:
(1)原始告警预处理;
(2)聚合原始告警;
(3)攻击模型的生成。
2.如权利要求1所述一种基于可视化的攻击模型发现的方法及系统,其特征在于,所述原始告警预处理,保证提供原始告警含有攻击模型发现所需要的字段信息。
3.如权利要求1所述一种基于可视化的攻击模型发现的方法及系统,其特征在于,所述聚合原始告警,将具有一些共同特征的原始告警聚合在一起。
4.如权利要求1所述一种基于可视化的攻击模型发现的方法及系统,其特征在于,所述攻击模型的生成,是由攻击模型发现算法自动生成。
5.如权利要求4所述一种基于可视化的攻击模型发现的方法及系统,其特征在于,所述攻击模型,由有向图构成。
6.如权利要求4所述一种基于可视化的攻击模型发现的方法及系统,其特征在于,所述攻击模型发现算法,采用大数据架构。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810427344.9A CN110460558B (zh) | 2018-05-07 | 2018-05-07 | 一种基于可视化的攻击模型发现的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810427344.9A CN110460558B (zh) | 2018-05-07 | 2018-05-07 | 一种基于可视化的攻击模型发现的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110460558A true CN110460558A (zh) | 2019-11-15 |
| CN110460558B CN110460558B (zh) | 2021-08-10 |
Family
ID=68471999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810427344.9A Active CN110460558B (zh) | 2018-05-07 | 2018-05-07 | 一种基于可视化的攻击模型发现的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110460558B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162904A (zh) * | 2021-02-08 | 2021-07-23 | 国网重庆市电力公司电力科学研究院 | 一种基于概率图模型的电力监控系统网络安全告警评估方法 |
| CN114257414A (zh) * | 2021-11-25 | 2022-03-29 | 国网山东省电力公司日照供电公司 | 一种网络安全智能值班方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2487629A1 (en) * | 2003-11-12 | 2005-05-12 | Tropic Networks Inc. | Method and system for fault isolation within a network element in an optical network |
| CN104394021A (zh) * | 2014-12-09 | 2015-03-04 | 中南大学 | 基于可视化聚类的网络流量异常分析方法 |
| CN105100122A (zh) * | 2015-09-08 | 2015-11-25 | 南京联成科技发展有限公司 | 一种基于大数据分析的威胁检测和预警的方法及系统 |
| CN107632924A (zh) * | 2017-09-08 | 2018-01-26 | 携程旅游信息技术(上海)有限公司 | 告警应用可视化展示方法、系统、设备及存储介质 |
-
2018
- 2018-05-07 CN CN201810427344.9A patent/CN110460558B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2487629A1 (en) * | 2003-11-12 | 2005-05-12 | Tropic Networks Inc. | Method and system for fault isolation within a network element in an optical network |
| CN104394021A (zh) * | 2014-12-09 | 2015-03-04 | 中南大学 | 基于可视化聚类的网络流量异常分析方法 |
| CN105100122A (zh) * | 2015-09-08 | 2015-11-25 | 南京联成科技发展有限公司 | 一种基于大数据分析的威胁检测和预警的方法及系统 |
| CN107632924A (zh) * | 2017-09-08 | 2018-01-26 | 携程旅游信息技术(上海)有限公司 | 告警应用可视化展示方法、系统、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162904A (zh) * | 2021-02-08 | 2021-07-23 | 国网重庆市电力公司电力科学研究院 | 一种基于概率图模型的电力监控系统网络安全告警评估方法 |
| CN114257414A (zh) * | 2021-11-25 | 2022-03-29 | 国网山东省电力公司日照供电公司 | 一种网络安全智能值班方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110460558B (zh) | 2021-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106973038B (zh) | 基于遗传算法过采样支持向量机的网络入侵检测方法 | |
| CN109089160B (zh) | 一种高校餐厅食品加工违规行为视频分析系统及方法 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN105357063B (zh) | 一种网络空间安全态势实时检测方法 | |
| CN107528832A (zh) | 一种面向系统日志的基线构建与未知异常行为检测方法 | |
| CN111541661A (zh) | 基于因果知识的电力信息网络攻击场景重构方法及系统 | |
| CN112153044B (zh) | 流量数据的检测方法及相关设备 | |
| US9961047B2 (en) | Network security management | |
| CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
| CN107547228B (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| US10805326B1 (en) | Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion | |
| CN110460558A (zh) | 一种基于可视化的攻击模型发现的方法及系统 | |
| Zuo et al. | Power information network intrusion detection based on data mining algorithm | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| CN107479518A (zh) | 一种自动生成告警关联规则的方法及系统 | |
| KR100609707B1 (ko) | 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치 | |
| CN117319090A (zh) | 一种网络安全智能防护系统 | |
| CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
| CN113132370A (zh) | 一种普适的一体化安管中心系统 | |
| CN116707927A (zh) | 态势感知方法、系统、计算机设备及存储介质 | |
| CN116647389A (zh) | 一种工业控制系统网络访问安全性预警系统及方法 | |
| Elshoush | An innovative framework for collaborative intrusion alert correlation | |
| CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |