CN112202738A - 一种基于机器学习的工控态势感知系统及方法 - Google Patents
一种基于机器学习的工控态势感知系统及方法 Download PDFInfo
- Publication number
- CN112202738A CN112202738A CN202010992417.6A CN202010992417A CN112202738A CN 112202738 A CN112202738 A CN 112202738A CN 202010992417 A CN202010992417 A CN 202010992417A CN 112202738 A CN112202738 A CN 112202738A
- Authority
- CN
- China
- Prior art keywords
- alarm
- attack
- sequence
- database
- stage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000010801 machine learning Methods 0.000 title claims abstract description 24
- 238000005065 mining Methods 0.000 claims abstract description 28
- 230000002776 aggregation Effects 0.000 claims abstract description 11
- 238000004220 aggregation Methods 0.000 claims abstract description 11
- 238000012545 processing Methods 0.000 claims abstract description 10
- 230000008447 perception Effects 0.000 claims abstract description 6
- 102000004528 Mannose-Binding Protein-Associated Serine Proteases Human genes 0.000 claims description 14
- 108010042484 Mannose-Binding Protein-Associated Serine Proteases Proteins 0.000 claims description 14
- 238000013480 data collection Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 6
- 238000007670 refining Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 238000013138 pruning Methods 0.000 claims description 3
- 238000000638 solvent extraction Methods 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 2
- 238000003672 processing method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 241000282414 Homo sapiens Species 0.000 description 2
- 238000009412 basement excavation Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 235000005087 Malus prunifolia Nutrition 0.000 description 1
- 244000134242 Malus prunifolia Species 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000002994 raw material Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种基于机器学习的工控态势感知方法及系统,感知方法包括:对不同的网络安全设备的告警数据集进行收集;对收集到的告警数据集进行规范化处理,并通过采用正则表达式,以字符串匹配的方式从告警日志中提取的属性信息,构建原始告警数据库;然后采用经典的关联规则挖掘算法Apriori,来实现告警聚合,并根据窗口大小完成将全局攻击序列划分为多个候选序列集,最后,通过改进PrefixSpan算法挖掘出最大攻击模式。本发明相较于PrefixSpan算法,准确率和有效性大大提升,且减少了开销。
Description
技术领域
本发明涉及工控安全领域,具体为解决多源告警中蕴含的复杂攻击难发现 的问题,提出了一种基于机器学习的工控态势感知系统及方法。
背景技术
随着互联网的普及以及飞速发展,计算机网络在造福人类生产生活同时, 也造成了网络安全问题不断升级恶化,网络信息系统安全面临严峻挑战,利用 单一的安全设备来对网络进行安全防护已经远远无法满足安全需求。为了应对 在企业内网和互联网中潜在的安全威胁和隐蔽攻击,越来越多的安全设备例如 防火墙、入侵检测系统(IntrusionDetection Systems,IDS)、入侵诱捕系统(简 称蜜罐,Honeypot)和漏洞扫描系统等得以部署,共同构建防御体系来进行网 络安全防护。然而,它们也产生了大量质量低、误警率高、重复率高的异构告 警信息,这导致通过分析多源告警信息来发现真正有威胁的攻击事件变得十分 困难,几乎超越了人力处理的能力极限。此外,网络攻击者发起网络攻击的针 对性越来越强,采用的攻击手段也越来越复杂且隐蔽,一个攻击事件中可能包 含多个攻击步骤,且不同的攻击步骤可能由不同的攻击者使用不同的主机实施。
针对以上问题,在现有的解决方案中,越来越多的研究者逐渐将其应用于 告警关联性研究之中。彭梦停等[9]采用Apriori算法实现关联分析进而完成提取 攻击场景,李之棠等[10]、OO Bamasak等[11]则将序列模式挖掘应用于对告警 信息的关联分析中,但两者所选用的方法均是基于R Agrawal[12]所提出的 AprioriAll算法。作为Apriori类算法,AprioriAll存在着候选项集庞大,且需要 多次扫描数据库的固有缺陷,这在数据量级很大时对于算法效率的影响将是致 命的。因此,设计出一种算法不仅能够去除冗余无效告警数据、且能够发现隐 藏在原始告警中的攻击步骤,对于实现网络安全态势的深度感知,是非常有必 要的。
发明内容
本发明所要解决的技术问题是提供一种基于机器学习的工控态势感知系统 及方法,能够解决多源告警中蕴含的复杂攻击难发现的问题。
为了解决上述问题,本发明的实施例提供一种基于机器学习的工控态势感 知方法,所述方法包括如下步骤:
S1:数据收集:在企业内网和互联网部署了预设数量的防火墙、入侵检测 系统(Intrusion Detection Systems,IDS)、入侵诱捕系统(简称蜜罐,Honeypot) 和漏洞扫描系统,对不同的网络安全设备的告警数据集进行收集;
S2:构建原始告警数据库:首先需要对不同种类的安全设备所产生告警信 息的格式进行规范化处理,然后,通过采用正则表达式,以字符串匹配的方式 从告警日志中提取的属性信息,构建原始告警数据库;
S3:聚类同一阶段告警:首先对原始冗余告警数据进行提炼压缩,减少处 理数据的规模,然后以告警类型为单位进行研究,构建告警类型与攻击阶段的 映射关系,并采用关联规则挖掘算法Apriori实现告警聚合;
S4:形成候选攻击序列库:首先,引入滑动窗口的概念对全局告警序列进 行划分,得到候选序列集,窗口大小即一个攻击事件中包含的最大攻击阶段数; 然后,根据滑动窗口大小对攻击序列进行划分,得到的候选攻击序列集;
S5:挖掘攻击序列模式:选用基于划分的模式增长类算法PrefixSpan进行 攻击序列模式挖掘,在构建投影数据库时增加剪枝的步骤,将存在非频繁项的 后缀从投影数据集中删除;并扫描投影序列数大于最小支持度的投影数据集。
例如,本发明的实施例提供的一种基于机器学习的工控态势感知方法,所 述S3聚类同一阶段告警具体为:
S31:将原始告警数据中重复告警、并发告警、反复告警三种冗余进行压缩 提炼;
S32:在构建告警与攻击阶段映射关系的过程中,如果告警序列中两个类型 的告警a1、a2经常在较短的时间间隔内先后出现,且正向出现<...,a1,...,a2,...>以及 反向出现<...,a2,...,a1,...>的频率均大于给定阈值,则认为两个告警属于同一阶段的 攻击;
S33:采用关联规则挖掘算法Apriori,来实现告警聚合,将同样包含告警 信息a1与a2的两类项集{...,a1,...,a2,...}与{...,a2,...,a1,...}分别计数,如果两个告警a1与a2在给定的时间间隔内以a1、a2或a2、a1的顺序出现的频率均大于给定的阈值minsup, 且两个告警a1与a2之间正向发生的概率supportD(a1,a2)//upportD(a1),与反向发生的概率supportD(a2,a1)//upportD(a2)均大于给定的阈值minconf,则认为两告警满足强关联规则,并将其归为同一攻击阶段,并将攻击阶段与告警类型的 对应关系存入数据库中。
例如,本发明的实施例提供的一种基于机器学习的工控态势感知方法,所 述S4形成候选攻击序列库为:
S41:对同一攻击阶段的告警聚类,得到一个全局攻击序列;
S42:规定一个阈值,假设所有的多阶段攻击事件均在指定的最大阶段阈值 内完成,并根据窗口大小完成将全局攻击序列划分为多个候选序列集。
例如,本发明的实施例提供的一种基于机器学习的工控态势感知方法,所 述步骤S5挖掘攻击序列模式具体为:
S51:首先输入攻击序列数据库S和最小支持度minsup;
S52:执行PMASP挖掘最大攻击模式算法;
例如,本发明的实施例提供的一种基于机器学习的工控态势感知方法,所 述步骤S52执行PMASP挖掘最大攻击模式算法具体为:
为了解决上述问题,本发明还提出了基于机器学习的工控态势感知系统, 包括:
数据收集模块,用于对不同的网络安全设备的告警数据集进行收集;
原始告警数据库模块,用于统一处理不同种类的安全设备所产生告警信息;
告警聚类模块,用于实现告警聚合;
候选攻击序列库模块,用于候选攻击序列的生成;
攻击序列模式挖掘模块,用于生成最大攻击模式MASP。
本发明的有益效果之处在于:所述方法相较于传统PrefixSpan算法效率和 准确率更高;所述方法在不依赖专家知识的前提下,能够准确并高效地分析告 警相关性,还原攻击事件中的攻击步骤。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例的附图作简 单地介绍,显而易见地,下面描述中的附图仅仅涉及本发明的一些实施例,而 非对本发明的限制。
图1为本发明实施例提供的工控态势感知流程图;
图2为本发明实施例提供的告警数据库中部分告警属性信息图;
图3为本发明实施例提供的全局攻击序列图;
图4为本发明实施例提供的工控态势感知系统结构示意图;
图5为本发明实施例提供的算法与PrefixSpan算法的挖掘效率对比图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明 实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,所 描述的实施例是本发明的一部分实施例,而不是全部的实施例,基于所描述的 本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所 有其他实施例,都属于本发明保护的范围。
本发明的实施例提供的基于机器学习的工控态势感知方法,对不同网络设 备提供的告警数据集进行压缩并构建原始告警数据库,然后采用经典的关联规 则挖掘算法Apriori,来实现告警聚合,根据窗口大小完成将全局攻击序列划分 为多个候选序列集,并通过改进的PrefixSpan算法挖掘出最大攻击模式。
本文中符号定义如表1所示:
表1:符号的定义表
如图1所述,本发明的实施例提供的基于机器学习的工控态势感知方法, 所述方法包括以下步骤:
S1:数据收集:在企业内网和互联网部署了预设数量的防火墙、入侵检测 系统(IntrusionDetectionSystems,IDS)、入侵诱捕系统(简称蜜罐,Honeypot) 和漏洞扫描系统,对不同的网络安全设备的告警数据集进行收集;
S2:构建原始告警数据库:首先需要对不同种类的安全设备所产生告警信 息的格式进行规范化处理,然后,通过采用正则表达式,以字符串匹配的方式 从告警日志中提取的属性信息,构建原始告警数据库;
S3:聚类同一阶段告警:首先对原始冗余告警数据进行提炼压缩,减少处 理数据的规模,然后以告警类型为单位进行研究,构建告警类型与攻击阶段的 映射关系,并采用关联规则挖掘算法Apriori实现告警聚合;
S4:形成候选攻击序列库:首先,引入滑动窗口的概念对全局告警序列进 行划分,得到候选序列集,窗口大小即一个攻击事件中包含的最大攻击阶段数; 然后,根据滑动窗口大小对攻击序列进行划分,得到的候选攻击序列集;
S5:挖掘攻击序列模式:选用基于划分的模式增长类算法PrefixSpan进行 攻击序列模式挖掘,在构建投影数据库时增加剪枝的步骤,将存在非频繁项的 后缀从投影数据集中删除;并扫描投影序列数大于最小支持度的投影数据集。
例如,在本发明实施例提供的基于机器学习的工控态势感知技术中,对构 建原始数据库的处理方法具体为:S2.对构建原始数据库的处理方法步骤为:
S21.首先对它们进行格式上的规范化处理;
S22.然后采用正则表达式,通过字符串匹配来从告警日志中提取有价值的 属性信息;
例如,如图2所示,每一条告警应具有以下字段:identifier、id、timestamp、alert_tpye、protocol_type、src、src_port、dst、dst_port。一条告警通过一个多元组来存储上述信息,并将多元组存入数据库来表示该告警。基于各安全设备时间同 步的假设,对数据库中的告警信息按照时间升序进行排列。其中:identifier指安 全设备标识;id指告警标识;timestamp指告警生成时间;alert_tpye指告警类型; protocol_type指协议类型;src指攻击源IP地址;src_port指攻击源端口;dst指被攻 击目标IP地址;dst_port指被攻击目标端口。
例如,在本发明实施例提供的基于机器学习的工控态势感知方法技术中, 对聚类同一阶段告警的处理方法具体为:S3.对聚类同一阶段告警的处理方法的 具体步骤为:
S31:首先,将原始告警数据中存在着的大量重复告警、并发告警、反复告 警三种冗余进行压缩提炼,减少处理数据的规模。
例如,以下表数据集LLDOS2.0.2告警数量的变化过程为例,当完成合并重 复告警、合并并发告警与合并反复告警三个阶段后,告警的压缩率达到97.34%。 而对同一攻击阶段的告警进行聚合后,又实现了告警数量的精简,总压缩率达 到98.34%。
LLDOOS2.0.2告警数量变化过程
S32:其次,对从安全设备中收集得到的告警信息的类型进行直接体现,并 构建告警类型与攻击阶段的映射关系。如果告警序列中两个类型的告警a1、a2经 常在较短的时间间隔内先后出现,且正向出现<...,a1,...,a2,...>以及反向出现 <...,a2,...,a1,...>的频率均大于给定阈值,则有很大可能性,认为两个告警属于同一 阶段的攻击。
例如,以下表第一组结果为例,告警类型15934、15935对应攻击阶段HINFO 查询,告警类型585、41186、12626对应运行Sadmind远程进程的主机查询, 在HINFO查询后,进行Sadmind查询的可能性为79.31%。
告警关联结果
S33:最后,采用经典的关联规则挖掘算法Apriori,来实现告警聚合。将同 样包含告警信息a1与a2的两类项集{...,a1,...,a2,...}与{...,a2,...,a1,...}分别计数。如果两个 告警a1与a2在给定的时间间隔内以a1、a2或a2、a1的顺序出现的频率均大于给定 的阈值minsup,且两个告警a1与a2之间正向发生的概率 supportD(a1,a2)/supportD(a1),与反向发生的概率supportD(a2,a1)/supportD(a2)均大于 给定的阈值minconf,则认为两告警满足强关联规则,并将其归为同一攻击阶段。 攻击阶段与告警类型的对应关系存入数据库中。
例如,以告警的属性条件(src,dst)=(‘172.16.115.20’,‘172.16.112.50’) 对告警信息进行筛选,在给定最小阈值minsup=0.05与minconf=0.5的前提下,得到 的同一阶段告警的聚类结果为(19535)→(19534)→ (41186,12626,585,2256,12628,1911)→(19534,43542)
例如,在本发明实施例提供的基于机器学习的工控态势感知方法技术中, 对形成候选攻击序列库的处理方法具体为:步骤4.对形成候选攻击序列库的处 理方法的具体步骤为:
S41:对同一攻击阶段的告警聚类,得到一个全局攻击序列;
例如,得到的全局攻击序列如图3所示,
S42:规定一个阈值,假设所有的多阶段攻击事件均在指定的最大阶段阈值 内完成,并根据窗口大小完成将全局攻击序列划分为多个候选序列集。
例如,当窗口大小为5时,生成的候选攻击序列库如下表所示,
候选攻击序列库
例如,在本发明实施例提供的基于机器学习的工控态势感知方法技术中, 对挖掘攻击序列模式的处理方法具体为:S5.对挖掘攻击序列模式的处理方法的 具体步骤为:
S51:首先输入攻击序列数据库S和最小支持度minsup;
S52:执行PMASP挖掘最大攻击模式算法;
例如,对于不同的支持度,挖掘得到的最大攻击模式数量和模式的平均长 度如下表所示。最大攻击模式的长度均随着支持度的增大而减小。
窗口大小为10时不同支持度下的最大攻击模式
其中,当支持度为0.05时挖掘得到的序列模式中包括 <{15935},{15934},{15935,15934},{585,41186,12626,2256,12628,1911},{15934},{ 43542},{718}>,可较直观地体现出进攻主线:<DNSHINFO、SadmindRequest& SadmindOverflowAttempt、DNSHINFO、TelnetPing>。
参照附图4,其示出本发明的一种基于机器学习的工控态势感知系统实施例, 包括告警数据收集模块、原始告警数据库模块、告警聚类模块、候选攻击序列 库模块、攻击序列模式挖掘模块。
其中,告警数据收集模块,用于对不同的网络安全设备的告警数据集进行 收集;
原始告警数据库模块,用于统一处理不同种类的安全设备所产生告警信息;
告警聚类模块,用于实现告警聚合;
候选攻击序列库模块,用于候选攻击序列的生成;
攻击序列模式挖掘模块,用于生成最大攻击模式MASP。
下面采用本发明前述方法对未知工控态势进行感知,并与PrefixSpan算法 进行对比。
例如,如图5所示,给出了基于改进的PrefixSpan算法挖掘最大攻击模式 的执行时间。由于采用长度固定的候选序列,因此算法有效性大大提升。在支 持度较小时,最大攻击序列集中包含更多的攻击模式,由此而产生的投影数据 库也较多,算法执行时间较长。与传统PrefixSpan算法相比,改进后的算法执 行效率有明显的提升,特别是在构建投影数据库的开销较大时。支持度0.01对 应的挖掘效率提升了48.05%。
本发明的实施例的基础上,可以对之作一些修改或改进,这对本领域技术 人员而言是显而易见的,因此,在不偏离本发明精神的基础上所做的这些修改 或改进,均属于本发明要求保护的范围。
Claims (6)
1.一种基于机器学习的工控态势感知系统,包括:
数据收集模块,用于对不同的网络安全设备的告警数据集进行收集;
原始告警数据库模块,用于统一处理不同种类的安全设备所产生告警信息;
告警聚类模块,用于实现告警聚合;
候选攻击序列库模块,用于候选攻击序列的生成;
攻击序列模式挖掘模块,用于生成最大攻击模式MASP。
2.一种基于机器学习的工控态势感知方法,包括:
S1:数据收集:在企业内网和互联网部署了预设数量的防火墙、入侵检测系统(Intrusion Detection Systems,IDS)、入侵诱捕系统(简称蜜罐,Honeypot)和漏洞扫描系统,对不同的网络安全设备的告警数据集进行收集;
S2:构建原始告警数据库:首先需要对不同种类的安全设备所产生告警信息的格式进行规范化处理,然后,通过采用正则表达式,以字符串匹配的方式从告警日志中提取的属性信息,构建原始告警数据库;
S3:聚类同一阶段告警:首先对原始冗余告警数据进行提炼压缩,减少处理数据的规模,然后以告警类型为单位进行研究,构建告警类型与攻击阶段的映射关系,并采用关联规则挖掘算法Apriori实现告警聚合;
S4:形成候选攻击序列库:首先,引入滑动窗口的概念对全局告警序列进行划分,得到候选序列集,窗口大小即一个攻击事件中包含的最大攻击阶段数;然后,根据滑动窗口大小对攻击序列进行划分,得到的候选攻击序列集;
S5:挖掘攻击序列模式:选用基于划分的模式增长类算法PrefixSpan进行攻击序列模式挖掘,在构建投影数据库时增加剪枝的步骤,将存在非频繁项的后缀从投影数据集中删除;并扫描投影序列数大于最小支持度的投影数据集。
3.根据权利要求2所述的基于机器学习的工控态势感知方法,其中,步骤S3中,所述聚类同一阶段告警具体为:
S31:将原始告警数据中重复告警、并发告警、反复告警三种冗余进行压缩提炼;
S32:在构建告警与攻击阶段映射关系的过程中,如果告警序列中两个类型的告警a1、a2经常在较短的时间间隔内先后出现,且正向出现<...,a1,...,a2,...>以及反向出现<...,a2,...,a1,...>的频率均大于给定阈值,则认为两个告警属于同一阶段的攻击;
4.根据权利要求2所述的基于机器学习的工控态势感知方法,其中,步骤S4中所述形成候选攻击序列库具体包括:
S41:对同一攻击阶段的告警聚类,得到一个全局攻击序列;
S42:规定一个阈值,假设所有的多阶段攻击事件均在指定的最大阶段阈值内完成,并根据窗口大小完成将全局攻击序列划分为多个候选序列集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010992417.6A CN112202738A (zh) | 2020-09-21 | 2020-09-21 | 一种基于机器学习的工控态势感知系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010992417.6A CN112202738A (zh) | 2020-09-21 | 2020-09-21 | 一种基于机器学习的工控态势感知系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112202738A true CN112202738A (zh) | 2021-01-08 |
Family
ID=74015679
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010992417.6A Pending CN112202738A (zh) | 2020-09-21 | 2020-09-21 | 一种基于机器学习的工控态势感知系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112202738A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113791952A (zh) * | 2021-09-16 | 2021-12-14 | 上海擎创信息技术有限公司 | 一种告警场景挖掘方法 |
CN113810423A (zh) * | 2021-09-22 | 2021-12-17 | 中能融合智慧科技有限公司 | 一种工控蜜罐 |
CN114006720A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 网络安全态势感知方法、装置及系统 |
CN114024829A (zh) * | 2021-10-26 | 2022-02-08 | 广东电网有限责任公司 | 电力通信网络的故障检修方法、装置、设备和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2655436B1 (en) * | 2010-12-22 | 2016-03-30 | Basell Polyolefine GmbH | Process for monitoring the polymerization of ethylene or ethylene and comonomers in a tubular-reactor at high-pressures |
CN106375339A (zh) * | 2016-10-08 | 2017-02-01 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
-
2020
- 2020-09-21 CN CN202010992417.6A patent/CN112202738A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2655436B1 (en) * | 2010-12-22 | 2016-03-30 | Basell Polyolefine GmbH | Process for monitoring the polymerization of ethylene or ethylene and comonomers in a tubular-reactor at high-pressures |
CN106375339A (zh) * | 2016-10-08 | 2017-02-01 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
Non-Patent Citations (1)
Title |
---|
王淳颖等: "基于多源告警的攻击事件分析", 《计算机应用》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114006720A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 网络安全态势感知方法、装置及系统 |
CN114006720B (zh) * | 2021-09-14 | 2023-08-18 | 上海纽盾科技股份有限公司 | 网络安全态势感知方法、装置及系统 |
CN113791952A (zh) * | 2021-09-16 | 2021-12-14 | 上海擎创信息技术有限公司 | 一种告警场景挖掘方法 |
CN113810423A (zh) * | 2021-09-22 | 2021-12-17 | 中能融合智慧科技有限公司 | 一种工控蜜罐 |
CN114024829A (zh) * | 2021-10-26 | 2022-02-08 | 广东电网有限责任公司 | 电力通信网络的故障检修方法、装置、设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112202738A (zh) | 一种基于机器学习的工控态势感知系统及方法 | |
CN108076040A (zh) | 一种基于杀伤链和模糊聚类的apt攻击场景挖掘方法 | |
CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
CN106411921A (zh) | 基于因果贝叶斯网络的多步攻击预测方法 | |
CN115134160B (zh) | 一种基于攻击迁移的攻击检测方法及系统 | |
CN113422763B (zh) | 基于攻击场景构建的报警关联分析方法 | |
CN112115183B (zh) | 一种基于图的蜜罐系统威胁情报分析方法 | |
CN113420802A (zh) | 基于改进谱聚类的报警数据融合方法 | |
McGahagan et al. | A comprehensive evaluation of webpage content features for detecting malicious websites | |
Lakshmi et al. | Application of k-nearest neighbour classification method for intrusion detection in network data | |
CN103455754A (zh) | 一种基于正则表达式的恶意搜索关键词识别方法 | |
Benjelloun et al. | Outlier detection techniques for big data streams: focus on cyber security | |
Aung et al. | Association rule pattern mining approaches network anomaly detection | |
CN109460469B (zh) | 一种基于网络轨迹的安全协议格式的挖掘方法及装置 | |
CN112104518B (zh) | 一种比特数据特征挖掘方法、系统、设备及可读介质 | |
Zhou et al. | The design and implementation of intrusion detection system based on data mining technology | |
CN115913791A (zh) | 基于增量式查询索引树的mdata动态子图匹配方法和系统 | |
CN116938587A (zh) | 基于溯源图行为语义提取的威胁检测方法及系统 | |
CN117155595A (zh) | 一种基于视觉注意力网络的恶意加密流量检测方法及模型 | |
Huang et al. | Event pattern discovery on IDS traces of cloud services | |
Eberle et al. | Incremental anomaly detection in graphs | |
Khaoula et al. | Improving Intrusion Detection Using PCA And K-Means Clustering Algorithm | |
CN112968865B (zh) | 一种基于关联规则挖掘的网络协议语法特征快速提取方法 | |
CN114124834A (zh) | 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法 | |
Jiang et al. | Research on protective mining method for privacy data in network based on apriori algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210108 |