CN112235312A - 一种安全事件的可信度确定方法、装置及电子设备 - Google Patents
一种安全事件的可信度确定方法、装置及电子设备 Download PDFInfo
- Publication number
- CN112235312A CN112235312A CN202011140426.9A CN202011140426A CN112235312A CN 112235312 A CN112235312 A CN 112235312A CN 202011140426 A CN202011140426 A CN 202011140426A CN 112235312 A CN112235312 A CN 112235312A
- Authority
- CN
- China
- Prior art keywords
- flow characteristic
- value
- time slice
- current time
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本申请提供一种安全事件的可信度确定方法、装置及电子设备,可以通过针对指定时间段中当前时间片内每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,依据当前流量特征值与临界特征值确定流量特征属性对应的标记值。从所有指定安全事件中选择与当前时间片内流量行为相关的目标安全事件;并依据当前时间片内各流量特征属性对应的标记值、以及当前时间片内每一目标安全事件的安全事件状态信息确定在指定事件段中当前时间片内目标安全事件的可信度,进而可以动态地确定处目标安全事件的可信度,从而能够适应态势感知的动态场景,降低安全告警的误报率。
Description
技术领域
本申请涉及安全管理技术领域,尤其涉及一种安全事件的可信度确定方法、装置及电子设备。
背景技术
安全管理平台所使用的态势感知,SOC,SIME等安全技术,均是以安全大数据为基础,对能够引起网络态势发生变化的要素进行获取、理解、评估、呈现以及对未来发展趋势进行预测。可见,上报到安全管理平台的安全告警是安全管理平台分析的基础。
安全告警的正确与否,对安全管理平台分析结果的准确性起着决定作用,若安全告警存在误报的现象,比如入侵防御系统IPS安全事件误报,这将会对后续的安全分析产生巨大的影响。虽然IPS尽可能的减少误报,但是鉴于 IPS采用的是静态规则,这也就意味着,其是无法适应态势感知的动态场景,进而产生较高的误报率。
发明内容
有鉴于此,本申请提供了一种安全事件的可信度确定方法、装置及电子设备,以在能够适应态势感知的动态场景,降低安全告警的误报率。
基于此,本申请是通过如下技术方案实现的:
一方面,本申请实施例提供一种安全事件的可信度确定方法,该方法包括:
获得指定时间段中当前时间片内至少一个流量特征属性对应的当前流量特征值;
针对获得的每一流量特征属性对应的当前流量特征值,依据已获得的前 N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值,所述标记值用于指示异常或正常;
从所有指定安全事件中选择与所述当前时间片内流量行为相关的目标安全事件;
依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定在所述指定时间段中当前时间片内所述目标安全事件的可信度。
本申请的一个实施例中,所述依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,包括:
对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行均值计算,得到该流量特征属性对应的基准值;
按照预设的3σ算法,对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行计算,得到该流量特征属性对应的3σ值;
依据所述基准值和所述3σ值确定所述临界特征值。
本申请的一个实施例中,所述依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值,包括:
比较所述当前流量特征值与所述临界特征值,如果所述当前流量特征值等于所述临界特征值,则将第一值确定为所述当前流量特征值的标记值,所述第一值用于指示正常;如果所述当前流量特征值大于或小于所述临界特征值,则将第二值确定为所述当前流量特征值的标记值,所述第二值用于指示异常。
本申请的一个实施例中,所述从所有指定安全事件中选择与所述当前时间片内流量行为相关的目标安全事件,包括:
依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数,所述事件相关系数用于表示所述当前时间片内的流量行为和该指定安全事件之间的相关性,所述安全事件状态信息用于指示是否发生该指定安全事件;
从所有指定安全事件中选择事件相关系数大于设定值的指定安全事件作为所述目标安全事件。
本申请的一个实施例中,所述依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数,包括:
如果当前时间片内各流量特征属性对应的标记值中存在确定为第二值的标记值,则将所述第二值确定为所述当前时间片对应的综合值;
如果当前时间片内各流量特征属性对应的标记值均为第一值,则将所述第一值确定为所述当前时间片对应的综合值;
依据当前时间片对应的综合值、以及当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数。
本申请的一个实施例中,所述依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内所述目标安全事件的可信度,包括:
依据当前时间片内各流量特征属性对应的标记综合值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内所述目标安全事件在流量行为条件下发生的条件概率;
根据条件概率和所述目标安全事件对应的事件相关系数确定在指定时间段中当前时间片内所述目标安全事件的可信度。
本申请的一个实施例中,在所述获得指定时间段中当前时间片内至少一个流量特征属性对应的当前流量特征值之后,该方法进一步包括:
若还未获得前N个时间片内各流量特征属性对应的流量特征值,则记录当前时间片与已获得的流量特征属性对应的流量特征值。
另一方面,本申请实施例还提供了一种安全事件的可信度确定装置,该装置包括:
特征值获得单元,用于获得指定时间段中当前时间片内至少一个流量特征属性对应的当前流量特征值;
标记值确定单元,用于针对获得的每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值,所述标记值用于指示异常或正常;
目标安全事件选择单元,用于从所有指定安全事件中选择与所述当前时间片内流量行为相关的目标安全事件;
可信度确定单元,用于依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内所述目标安全事件的可信度。
本申请的一个实施例中,所述标记值确定单元,具体用于执行:
比较所述当前流量特征值与所述临界特征值,如果所述当前流量特征值等于所述临界特征值,则将所述当前流量特征值标记为第一值,所述第一值用于指示正常;如果所述当前流量特征值大于或小于所述临界特征值,则将所述当前流量标记为第二值,所述第二值用于指示异常。
由以上技术方案可以看出,本申请实施例中,通过针对指定时间段中当前时间片内每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,能够实时动态地获得当前时间片内各流量特征属性对应的临界特征值,依据当前流量特征值与临界特征值确定流量特征属性对应的标记值,从所有指定安全事件中选择与当前时间片内流量行为相关的目标安全事件;并依据当前时间片内各流量特征属性对应的标记值、以及当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内目标安全事件的可信度,进而可以动态地确定处目标安全事件的可信度,从而能够适应态势感知的动态场景,降低安全告警的误报率。
附图说明
图1为本申请实施例提供的一种安全事件的可信度确定方法的流程图;
图2为本申请实施例提供的一种示例性的步骤120的流程示意图;
图3为本申请实施例提供的一种示例性的步骤130的流程示意图;
图4为本申请实施例提供的一种目标安全事件与事件相关系数的关系示意图;
图5为本申请实施例提供的一种安全事件的可信度确定装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,图1为本申请实施例提供的一种安全事件的可信度确定方法,该方法可以应用于安全管理平台。
如图1所示,该流程可以包括如下步骤:
步骤110,获得指定时间段中当前时间片内至少一个流量特征属性对应的当前流量特征值。
在本申请中,时间片是作为统计流量的最小单位,如1小时。
上述指定时间段可以理解为按照流量会话日志生成的时间顺序,由包括当前时间片内的预设数量个时间片构成的时间段。上述指定时间段可以为[24, 168]中任一值,本实施例对此并不限定。
作为一个实施例,可以从流量会话日志中提取当前时间片内各流量的至少一个流量特征属性,并对提取的各流量的同一流量特征属性对应的流量特征值进行统计,得到当前时间片内各流量的同一流量特征属性对应的流量特征值的总和,作为该当前时间片内同一流量特征属性对应的当前流量特征值。
作为一个实施例,可以从大数据spark平台获取流量会话日志,以获得既全面又丰富的流量会话数据。
本实施例中的流量特征属性可以是用于表示流量行为的特征属性。这些流量特征属性可以包括:源IP地址、目的IP地址、上行字节数、下行字节数和目的国家或区域。上述目的区域可以是办公区域或生态区域,目的国家可以是服务器在各国家的国家。基于上述对流量特征属性的描述,则一个时间片内的流量特征属性对应的流量特征值可以至少包括如下任一组合:源IP 地址总数、目的IP地址总数、上行字节数总数、下行字节数总数和目的国家或区域总数。
示例性的,假设会话日志为外联流量的会话日志,则按照日志产生时间,针对每一时间片,统计各内网主机在该时间片内外联流量会话数,则可以得到外联流量上行字节总和,外联流量下行字节总和,外联源IP地址数,外联目的IP地址数,以及,目的国家数等5个行为特征。
步骤120,针对获得的每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值,所述标记值用于指示异常或正常。
上述N大于或等于1,可以取24小时。而在实际应用中,针对滑动时间窗口的特性,一般窗口内展示最近7天的数据,基于此,可以维护最近的168 个时间片。这样,N也可以取168小时。
上述临界特征值是用于衡量当前流量特征值是否异常的基准值,作为一个实施例,如图2所示,步骤120中的“依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值”可以包括如下步骤121~步骤123:
步骤121,对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行均值计算,得到该流量特征属性对应的基准值。
上述当前时间片的前N个时间片是按照流量会话日志生成的时间顺序排序的。这也就是说,N个时间片是按照时间先后顺序排序的,并不是任意选取的N个时间片。
示例性的,设N为168,则当前时间片为第169个时间片,则168个流量特征值和时间片的关系如表1所示。表1中的特征值1~特征5均表示时间片对应的流量特征属性(本表简称特征),表1中的各特征值为各流量特征属性在各自对应时间片内的流量特征值。
表1
| 时间片 | 特征1 | 特征2 | 特征3 | 特征4 | 特征5 |
| 1 | 特征值11 | 特征值21 | 特征值31 | 特征值41 | 特征值51 |
| 2 | 特征值12 | 特征值22 | 特征值32 | 特征值42 | 特征值52 |
| 3 | 特征值13 | 特征值23 | 特征值33 | 特征值43 | 特征值53 |
| 4 | 特征值14 | 特征值24 | 特征值34 | 特征值44 | 特征值54 |
| … | … | … | … | … | … |
| 168 | 特征值1168 | 特征值2168 | 特征值3168 | 特征值4168 | 特征值5168 |
基于表1,基准值的获取方式可以为:表1中的特征1对应的基准值为 (特征值11+……+特征值1168)/168,……,特征5对应的基准值为(特征值51+……+特征值5168)/168。
步骤122,按照预设的3σ算法,对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行计算,得到该流量特征属性对应的3σ值。
本步骤中,3σ值可以用于表示流量特征属性对应的流量特征值的离散程度。
步骤123,依据基准值和3σ值确定临界特征值。
在小于或等于基准值+3σ值,且大于或等于基准值-3σ值范围内的值均属于临界特征值。
至此,完成图2所示流程。
通过图2所示流程可以看出,在本申请中,通过依据对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行计算的基准值和3σ值确定临界特征值,可以简单快速地确定出临界特征值。
作为另一个实施例,步骤120中的“依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值”可以包括如下步骤:
比较当前流量特征值与临界特征值,如果当前流量特征值等于临界特征值,则将第一值确定为当前流量特征值的标记值,第一值用于指示正常;如果当前流量特征值大于或小于临界特征值,则将第二值确定为当前流量特征值的标记值,第二值用于指示异常。
上述第一值和第二值并不特指某两个固定的值,而是可以指代任意两个不同的值,本发明实施例后续不再复述。如第一值可以取1,则第二值可以取与1不同的值,该第二值可以取0。
基于上述对临界特征值的描述,本步骤可以理解为确定当前流量特征值是否位于在小于或等于基准值+3σ值,且大于或等于基准值-3σ值范围内的值,如果是,则认为当前流量特征值就是临界特征值,标记为第一值,如果否,则认为当前流量特征值不是临界特征值,标记为第二值。
可见,在本申请实施例提供的技术方案中,通过比较当前流量特征值与临界特征值,以快速、准确地确定出当前流量特征值的标记值。
步骤130,从所有指定安全事件中选择与上述当前时间片内流量行为相关的目标安全事件。
在本申请中,针对内网到外网通信而言,上述安全事件可以是CC通信事件、木马通信事件,针对内网到内网通信而言,上述安全事件可以是内网蠕虫传播和内网端口扫描事件。
作为一个实施例,可以从已有的安全事件表中抽取源IP地址是内网,目的IP地址是外网,源主机的外联类的指定安全事件,上述指定安全事件可以是上述安全事件表中的各安全事件,也可以是上述安全事件表中的指定的部分安全事件,本实施例对此并不限定。
在一些实施例中,一些指定安全事件与流量行为相关,一些指定安全事件与流量行为不相关,作为一个实施例中,如图3所示,步骤130的具体实现方式可以包括如下步骤131~步骤132:
步骤131,依据当前时间片内各流量特征属性对应的标记值、以及当前时间片内每一指定安全事件的安全事件状态信息确定指定安全事件的事件相关系数,上述事件相关系数用于表示当前时间片内的流量行为和该指定安全事件之间的相关性,安全事件状态信息用于指示是否发生该指定安全事件。
对每个内网主机的每个指定安全事件,可以构建如列表3所示的安全事件状态信息,在当前时间片内,表示一个指定安全事件发生的安全事件状态信息可以为1,表示一个指定安全事件不发生的安全事件状态信息可以为与1 不同的值,如0。那么,主机的指定安全事件的安全事件状态信息可以为表3 中的[状态信息1169、状态信息2169、…、状态信息n169],表3中n表示指定安全事件序号。
表3
| 时间片 | 指定安全事件1 | 指定安全事件2 | …… | 指定安全事件n |
| 169 | 状态信息1169 | 状态信息2169 | …… | 发生信息n169 |
实现步骤131的实现方式很多,作为一个实施例,步骤131的具体实现方式可以包括如下步骤:
如果当前时间片内各流量特征属性对应的标记值中存在确定为第二值的标记值,则将第二值确定为当前时间片对应的综合值。
如果当前时间片内各流量特征属性对应的标记值均为第一值,则将第一值确定为当前时间片对应的综合值。
依据当前时间片对应的综合值、以及当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数。
在一些实施例中,当前时间片内任一流量特征属性对应的标记值为第二值,则当前时间片对应的综合值为第二值,当前时间片内所有流量特征属性对应的标记值为第一值,则当前时间片对应的综合值为第一值。
可以基于当前时间片对应的综合值,各主机的指定安全事件在当前时间片的安全事件状态信息:[状态信息1169、状态信息2169、…、状态信息n169],计算各指定安全事件的皮尔逊相关系数PCC,将PCC作为事件相关系数。
在另一些实施例中,可以基于当前时间片对应的综合值,各主机的指定安全事件在当前时间片的安全事件状态信息:[状态信息1169、状态信息 2169、…、状态信息n169],计算各指定安全事件的斯皮尔曼相关性系数,将斯皮尔曼相关性系数作为事件相关系数。
步骤132,从所有指定安全事件中选择事件相关系数大于设定值的指定安全事件作为所述目标安全事件。
上述设定值可以为0,如果事件相关系数大于0,则表示流量行为与大于 0对应的指定安全事件正相关,也就意味着,筛选出的流量行为与目标安全事件之间具有协同作用,如果事件相关系数等于0,则表示流量行为与等于0 对应的指定安全事件不相关,如果事件相关系数小于0,则表示流量行为与小于0对应的指定安全事件负相关。
从n个指定安全事件中筛选出相关系数大于0的指定安全事件作为目标安全事件。目标安全事件的发生会在一定程度上影响主机的流量行为模式。
至此,完成图3所示流程。
通过图3所示流程可以看出,在本申请中,依据当前时间片内各流量特征属性对应的标记值、以及当前时间片内每一指定安全事件的安全事件状态信息确定指定安全事件的事件相关系数,从所有指定安全事件中选择事件相关系数大于设定值的指定安全事件作为目标安全事件,这样,可以从所有指定安全事件中筛选出与流量行为具有协同作用的目标安全事件,以便后续基于目标安全事件进行分析。
步骤140,依据上述当前时间片内各流量特征属性对应的标记值、以及上述当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内目标安全事件的可信度。
目标安全事件的可信度可以理解为在指定时间段中当前时间片内流量行为的条件下目标安全事件发生的准确度,如在流量行为为异常的条件下,目标安全事件为木马通信事件的可信度为0.8,则可以认为木马通信事件已经发生,如在流量行为为异常的条件下,目标安全事件为木马通信事件的可信度为0.2,则可以认为木马通信事件未发生。
实现步骤140的实现方式很多,这里,给出一个实施例,实现步骤140 的实现方式可以包括如下步骤141~步骤142:
步骤141,依据当前时间片对应的综合值、以及当前时间片内每一目标安全事件的安全事件状态信息确定目标安全事件在指定时间段中当前时间片内流量行为条件下发生的条件概率。
目标安全事件在指定时间段中当前时间片内流量行为条件下发生的条件概率可以包括表示在指定时间段中当前时间片内流量行为异常的前提下,发生目标安全事件的概率;表示在指定时间段中当前时间片内流量行为正常的前提下,发生目标安全事件的概率。
作为一个实施例,上述条件概率可以按照如下步骤获得,具体为:按照第一表达式确定出表示在指定时间段中当前时间片i内流量行为异常的概率P(L)i,上述第一表达式为:综合值为第二值的当前时间片数/M。上述M 为指定时间段内包括的时间片总数。针对当前时间片而言,上述综合值为第二值的当前时间片数可以为1或0。
相对应地,按照第二表达式确定出表示在指定时间段中当前时间片i内流量行为正常的概率P(L*)i,上述第二表达式为:1-P(L)i。
按照第三表达式确定出表示在指定时间段中当前时间片i内发生目标安全事件、发生流量行为异常的概率P(LE)i,上述第三表达式为:(当前时间片对应的综合值为第二值&当前时间片内表示目标安全事件发生的安全事件状态信息)/M。
按照第四表达式确定出表示在指定时间段中当前时间片i内表示发生目标安全事件、不发生流量行为异常的概率P(LE*)i,上述第四表达式为:(当前时间片对应的综合值为第一值&当前时间片内表示目标安全事件发生的安全事件状态信息)/M。
基于上述第一表达式~第四表达式,可以按照第五表达式确定出表示在指定时间段中当前时间片i内流量行为异常的前提下,发生目标安全事件的概率P(LE|L)i,上述第五表达式为:P(LE)i/P(L)i。
基于上述第一表达式~第四表达式,可以按照第六表达式确定出表示在指定时间段中当前时间片i内流量行为正常的前提下,发生目标安全事件的概率P(LE*|L*)i,上述第六表达式为:P(LE*)i/1-P(L)i。
步骤142,根据条件概率和所述目标安全事件对应的事件相关系数确定在指定时间段中当前时间片内目标安全事件的可信度。
作为一个实施例,可以通过目标安全事件对应的事件相关系数与目标安全事件的条件概率的乘积,计算在指定时间段中当前时间片内目标安全事件的可信度。当在指定时间段中当前时间片内流量行为异常时,目标安全事件的条件概率取P(LE|L)i,当流量行为正常时,目标安全事件条件概率取 P(LE*|L*)i。
在目标安全事件对应的事件相关参确定的前提下,条件概率大于或等于阈值,该阈值可以取0.5,则表示目标安全事件为高可信事件,小于阈值,如0.5,则表示目标安全事件为低可信事件。目标安全事件的可信度的大小,反映了动态场景中静态规则的可靠程度,如图4所示。从图4中,可以看到,目标安全事件的可信度越高,则表示目标安全事件越靠谱,目标安全事件的可靠度越低,则表示目标安全事件误报概率越大。
至此,完成图1所示流程。
通过图1所示流程可以看出,在本申请中,通过针对指定时间段中当前时间片内每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,能够实时动态地获得当前时间片内各流量特征属性对应的临界特征值,依据当前流量特征值与临界特征值确定流量特征属性对应的标记值,从所有指定安全事件中选择与当前时间片内流量行为相关的目标安全事件;并依据当前时间片内各流量特征属性对应的标记值、以及当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内目标安全事件的可信度,进而可以动态地确定处目标安全事件的可信度,从而能够适应态势感知的动态场景,降低安全告警的误报率。
基于图1所示的流程,作为一个实施例,在步骤110之后,该方法还可以进一步包括:若还未获得前N个时间片内各流量特征属性对应的流量特征值,则记录当前时间片与已获得的流量特征属性对应的流量特征值。若已获得前N个时间片内各流量特征属性对应的流量特征值,返回执行步骤110的步骤。
针对当前时间片而言,在计算当前时间片的临界特征值时,若还未获得当前时间片的前N个时间片内与该流量特征属性对应的流量特征值,则记录当前时间片与已获得的至少一个流量特征属性对应的流量特征值。直到获得当前时间片的前N个时间片内与该流量特征属性对应的流量特征值,则再计算当前时间片对应的临界特征值。
作为一个实施例,针对一个时间片,可以逐行将该时间片内各流量特征属性对应的流量特征值,记录在预设的特征库中,以便后续统计当前时间前的前N个时间片的个数。
可见,在本申请实施例提供的技术方案中,针对还未获得前N个时间片内各流量特征属性对应的流量特征值,则记录当前时间片与已获得的流量特征属性对应的流量特征值,以便后续统计时间片的个数,以及依据记录的流量特征值,获得临界特征值。
在完成图1所示的流程之后,作为一个实施例,还可以进一步包括:将指定时间段内的M个时间片,按照步骤110~步骤140获得在M个时间片内目标安全事件的可信度。
设M个时间片内综合值为第二值的时间片数量为E,则基于上述第一表达式,得到表示M个时间片内流量行为异常的概率P(L)M,为:
基于第二表达式,可得到表示M个时间片内流量行为正常的概率P(L*)M,
基于第三表达式,可以得到确定出表示M个时间片内发生目标安全事件、发生流量行为异常的概率P(LE)M,
基于第四表达式,可以得到表示M个时间片内各前时间片内表示发生目标安全事件、不发生流量行为异常的概率P(LE*)M,
基于上述第一表达式~第四表达,可以按照如下第五表达式得到表示当前时间片内流量行为异常的前提下,发生目标安全事件的概率P(LE|L)M,第五表达式:P(LE|L)M=P(LE)M/P(L)M。
基于上述第一表达式~第四表达式,可以按照如下第六表达式得到表示流量行为正常的前提下,发生目标安全事件的概率P(LE*|L*)M,第六表达式: P(LE*|L*)M=P(LE*)M/1-P(L)M。
基于与上述方法同样的申请构思,如图5所示,本申请实施例还提出一种安全事件的可信度确定装置500,上述装置包括:
特征值获得单元510,用于获得指定时间段中当前时间片内至少一个流量特征属性对应的当前流量特征值。
标记值确定单元520,用于针对获得的每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值,所述标记值用于指示异常或正常。
目标安全事件选择单元530,用于从所有指定安全事件中选择与所述当前时间片内流量行为相关的目标安全事件。
可信度确定单元540,用于依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内目标安全事件的可信度。
作为一个实施例,标记值确定单元520,可以具体用于执行:
对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行均值计算,得到该流量特征属性对应的基准值。
按照预设的3σ算法,对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行计算,得到该流量特征属性对应的3σ值.
依据所述基准值和所述3σ值确定所述临界特征值。
作为一个实施例,标记值确定单元520,还可以具体用于执行:
比较所述当前流量特征值与所述临界特征值,如果所述当前流量特征值等于所述临界特征值,则将第一值确定为当前流量特征值的标记值,所述第一值用于指示正常;如果所述当前流量特征值大于或小于所述临界特征值,则将第二值所述当前流量特征值的标记值,所述第二值用于指示异常。
作为一个实施例,目标安全事件选择单元530,具体用于执行:
依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数,所述事件相关系数用于表示所述当前时间片内的流量行为和该指定安全事件之间的相关性,所述安全事件状态信息用于指示是否发生该指定安全事件。
从所有指定安全事件中选择事件相关系数大于设定值的指定安全事件作为所述目标安全事件。
作为一个实施例,目标安全事件选择单元530,还具体用于执行:
依据当前时间片对应的综合值、以及当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数,其中,当任一流量特征属性的标记值为第二值时,则所述综合值为第二值,当任一流量特征属性的标记值为第一值时,则所述综合值为第一值。
作为一个实施例,可信度确定单元540,具体用于执行:
依据当前时间片对应的综合值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定所述目标安全事件在流量行为条件下发生的条件概率。
根据条件概率和所述目标安全事件对应的事件相关系数确定在指定时间段中当前时间片内目标安全事件的可信度。
作为一个实施例,该装置还可以包括:
若还未获得前N个时间片内与该流量特征属性对应的流量特征值,则记录当前时间片与已获得的至少一个流量特征属性对应的流量特征值。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
由此可见,本申请实施例提供的技术方案中,该装置可以通过在指定时间段中指定时间段中针对当前时间片内每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,能够实时动态地获得当前时间片内各流量特征属性对应的临界特征值,依据当前流量特征值与临界特征值确定流量特征属性对应的标记值,从所有指定安全事件中选择与当前时间片内流量行为相关的目标安全事件;并依据当前时间片内各流量特征属性对应的标记值、以及当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内目标安全事件的可信度,进而可以动态地确定处目标安全事件的可信度,从而能够适应态势感知的动态场景,降低安全告警的误报率。
本申请实施例提供的电子设备,从硬件层面而言,硬件架构示意图可以参见图6所示。包括:机器可读存储介质和处理器,其中:所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现上述示例公开的安全事件的可信度确定操作。
本申请实施例提供的机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述示例公开的安全事件的可信度确定操作。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种安全事件的可信度确定方法,其特征在于,该方法包括:
获得指定时间段中当前时间片内至少一个流量特征属性对应的当前流量特征值;
针对获得的每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值,所述标记值用于指示异常或正常;
从所有指定安全事件中选择与所述当前时间片内流量行为相关的目标安全事件;
依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定在所述指定时间段中当前时间片内目标安全事件的可信度。
2.根据权利要求1所述的方法,其特征在于,所述依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,包括:
对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行均值计算,得到该流量特征属性对应的基准值;
按照预设的3σ算法,对已获得的前N个时间片内与该流量特征属性对应的流量特征值进行计算,得到该流量特征属性对应的3σ值;
依据所述基准值和所述3σ值确定所述临界特征值。
3.根据权利要求1所述的方法,其特征在于,所述依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值,包括:
比较所述当前流量特征值与所述临界特征值,如果所述当前流量特征值等于所述临界特征值,则将第一值确定为所述当前流量特征值的标记值,所述第一值用于指示正常;如果所述当前流量特征值大于或小于所述临界特征值,则将第二值确定为所述当前流量特征值的标记值,所述第二值用于指示异常。
4.根据权利要求3所述的方法,其特征在于,所述从所有指定安全事件中选择与所述当前时间片内流量行为相关的目标安全事件,包括:
依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数,所述事件相关系数用于表示所述当前时间片内的流量行为和该指定安全事件之间的相关性,所述安全事件状态信息用于指示是否发生该指定安全事件;
从所有指定安全事件中选择事件相关系数大于设定值的指定安全事件作为所述目标安全事件。
5.根据权利要求4所述的方法,其特征在于,所述依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数,包括:
如果当前时间片内各流量特征属性对应的标记值中存在确定为第二值的标记值,则将所述第二值确定为所述当前时间片对应的综合值;
如果当前时间片内各流量特征属性对应的标记值均为第一值,则将所述第一值确定为所述当前时间片对应的综合值;
依据当前时间片对应的综合值、以及当前时间片内每一指定安全事件的安全事件状态信息确定所述指定安全事件的事件相关系数。
6.根据权利要求5所述的方法,其特征在于,所述依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定在指定时间段中当前时间片内目标安全事件的可信度,包括:
依据当前时间片对应的综合值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定所述目标安全事件在指定时间段中当前时间片内流量行为条件下发生的条件概率;
根据条件概率和所述目标安全事件对应的事件相关系数确定在指定时间段中当前时间片内所述目标安全事件的可信度。
7.根据权利要求1~6中任一项所述的方法,其特征在于,在所述获得指定时间段中当前时间片内至少一个流量特征属性对应的当前流量特征值之后,该方法进一步包括:
若还未获得前N个时间片内各流量特征属性对应的流量特征值,则记录当前时间片与已获得的流量特征属性对应的流量特征值。
8.一种安全事件的可信度确定装置,其特征在于,该装置包括:
特征值获得单元,用于获得指定时间段中当前时间片内至少一个流量特征属性对应的当前流量特征值;
标记值确定单元,用于针对获得的每一流量特征属性对应的当前流量特征值,依据已获得的前N个时间片内与该流量特征属性对应的流量特征值确定该流量特征属性对应的临界特征值,依据当前流量特征值与所述临界特征值确定流量特征属性对应的标记值,所述标记值用于指示异常或正常;
目标安全事件选择单元,用于从所有指定安全事件中选择与所述当前时间片内流量行为相关的目标安全事件;
可信度确定单元,用于依据所述当前时间片内各流量特征属性对应的标记值、以及所述当前时间片内每一目标安全事件的安全事件状态信息确定在所述指定事件段中当前时间片内所述目标安全事件的可信度。
9.根据权利要求8所述的装置,其特征在于,所述标记值确定单元,具体用于执行:
比较所述当前流量特征值与所述临界特征值,如果所述当前流量特征值等于所述临界特征值,则将第一值确定为所述当前流量特征值的标记值,所述第一值用于指示正常;如果所述当前流量特征值大于或小于所述临界特征值,则将第二值确定为所述当前流量特征值的标记值,所述第二值用于指示异常。
10.一种电子设备,其特征在于,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1至7任一方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011140426.9A CN112235312B (zh) | 2020-10-22 | 2020-10-22 | 一种安全事件的可信度确定方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011140426.9A CN112235312B (zh) | 2020-10-22 | 2020-10-22 | 一种安全事件的可信度确定方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112235312A true CN112235312A (zh) | 2021-01-15 |
| CN112235312B CN112235312B (zh) | 2022-04-26 |
Family
ID=74109105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011140426.9A Active CN112235312B (zh) | 2020-10-22 | 2020-10-22 | 一种安全事件的可信度确定方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112235312B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113343228A (zh) * | 2021-06-30 | 2021-09-03 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160099963A1 (en) * | 2008-10-21 | 2016-04-07 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US20170104778A1 (en) * | 2015-10-12 | 2017-04-13 | Verint Systems Ltd. | System and method for assessing cybersecurity awareness |
| CN106657160A (zh) * | 2017-02-28 | 2017-05-10 | 南开大学 | 面向大流量基于可信度的网络恶意行为检测方法 |
| US20170187583A1 (en) * | 2015-12-29 | 2017-06-29 | Digital River, Inc. | SLA Compliance Determination with Real User Monitoring |
| CN107689956A (zh) * | 2017-08-31 | 2018-02-13 | 北京奇安信科技有限公司 | 一种异常事件的威胁评估方法及装置 |
| CN109462621A (zh) * | 2019-01-10 | 2019-03-12 | 国网浙江省电力有限公司杭州供电公司 | 网络安全保护方法、装置及电子设备 |
| CN110535716A (zh) * | 2019-07-23 | 2019-12-03 | 上海文化广播影视集团有限公司 | 一种融媒体的业务稳定性监测方法及系统 |
| CN111786950A (zh) * | 2020-05-28 | 2020-10-16 | 中国平安财产保险股份有限公司 | 基于态势感知的网络安全监控方法、装置、设备及介质 |
-
2020
- 2020-10-22 CN CN202011140426.9A patent/CN112235312B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160099963A1 (en) * | 2008-10-21 | 2016-04-07 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US20170104778A1 (en) * | 2015-10-12 | 2017-04-13 | Verint Systems Ltd. | System and method for assessing cybersecurity awareness |
| US20170187583A1 (en) * | 2015-12-29 | 2017-06-29 | Digital River, Inc. | SLA Compliance Determination with Real User Monitoring |
| CN106657160A (zh) * | 2017-02-28 | 2017-05-10 | 南开大学 | 面向大流量基于可信度的网络恶意行为检测方法 |
| CN107689956A (zh) * | 2017-08-31 | 2018-02-13 | 北京奇安信科技有限公司 | 一种异常事件的威胁评估方法及装置 |
| CN109462621A (zh) * | 2019-01-10 | 2019-03-12 | 国网浙江省电力有限公司杭州供电公司 | 网络安全保护方法、装置及电子设备 |
| CN110535716A (zh) * | 2019-07-23 | 2019-12-03 | 上海文化广播影视集团有限公司 | 一种融媒体的业务稳定性监测方法及系统 |
| CN111786950A (zh) * | 2020-05-28 | 2020-10-16 | 中国平安财产保险股份有限公司 | 基于态势感知的网络安全监控方法、装置、设备及介质 |
Non-Patent Citations (1)
| Title |
|---|
| 邹国华: "基于数据挖掘的企业网流量异常检测研究", 《信息与电脑(理论版)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113343228A (zh) * | 2021-06-30 | 2021-09-03 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
| CN113343228B (zh) * | 2021-06-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112235312B (zh) | 2022-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8738721B1 (en) | System and method for detecting spam using clustering and rating of E-mails | |
| US9866578B2 (en) | System and method for network intrusion detection anomaly risk scoring | |
| US20180095816A1 (en) | Scalable predictive early warning system for data backup event log | |
| US11756404B2 (en) | Adaptive severity functions for alerts | |
| WO2016022720A2 (en) | Method and apparatus of identifying a transaction risk | |
| US10104112B2 (en) | Rating threat submitter | |
| US10558810B2 (en) | Device monitoring policy | |
| WO2016014014A1 (en) | Remedial action for release of threat data | |
| CN113486339A (zh) | 一种数据处理方法、装置、设备及机器可读存储介质 | |
| CN112235312B (zh) | 一种安全事件的可信度确定方法、装置及电子设备 | |
| US10637878B2 (en) | Multi-dimensional data samples representing anomalous entities | |
| CN116389034A (zh) | 一种漏洞优先级确定方法及装置 | |
| CN108683662B (zh) | 单台在网设备风险评估方法及系统 | |
| US9235639B2 (en) | Filter regular expression | |
| CN112491820B (zh) | 异常检测方法、装置及设备 | |
| CN115442262A (zh) | 一种资源评估方法、装置、电子设备及存储介质 | |
| CN111597093A (zh) | 一种异常处理方法、装置及其设备 | |
| JPWO2020161808A1 (ja) | 優先度判定装置、優先度判定方法、及び制御プログラム | |
| CN113992355A (zh) | 一种攻击预测方法、装置、设备及机器可读存储介质 | |
| CN114021127A (zh) | 入侵防御数据处理方法、装置及计算机设备、存储介质 | |
| CN108197471B (zh) | 一种恶意软件检测方法及装置 | |
| US11899793B2 (en) | Information processing apparatus, control method, and program | |
| CN112437093B (zh) | 安全状态的确定方法、装置及设备 | |
| CN114363148B (zh) | 一种检测攻击告警的方法、装置、检测设备及存储介质 | |
| CN109711194B (zh) | 一种数据处理方法及数据处理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |