CN113364802B - 安全告警威胁性研判方法及装置 - Google Patents

安全告警威胁性研判方法及装置 Download PDF

Info

Publication number
CN113364802B
CN113364802B CN202110715857.1A CN202110715857A CN113364802B CN 113364802 B CN113364802 B CN 113364802B CN 202110715857 A CN202110715857 A CN 202110715857A CN 113364802 B CN113364802 B CN 113364802B
Authority
CN
China
Prior art keywords
threat
entity
alarm
entities
safety alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110715857.1A
Other languages
English (en)
Other versions
CN113364802A (zh
Inventor
任传伦
王淮
刘晓影
乌吉斯古愣
俞赛赛
张先国
王玥
金波
任秋洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cetc Cyberspace Security Research Institute Co Ltd
CETC 15 Research Institute
CETC 30 Research Institute
Original Assignee
Cetc Cyberspace Security Research Institute Co Ltd
CETC 15 Research Institute
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cetc Cyberspace Security Research Institute Co Ltd, CETC 15 Research Institute, CETC 30 Research Institute filed Critical Cetc Cyberspace Security Research Institute Co Ltd
Priority to CN202110715857.1A priority Critical patent/CN113364802B/zh
Publication of CN113364802A publication Critical patent/CN113364802A/zh
Application granted granted Critical
Publication of CN113364802B publication Critical patent/CN113364802B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Animal Behavior & Ethology (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种安全告警威胁性研判方法及装置,属于网络安全技术领域。所述方法包括:基于历史情报库数据构建网络安全情报知识图谱,在此基础上形成安全告警数据的安全告警关联子图,对安全告警关联子图进行实体威胁系数计算,获取各威胁实体要素的实体威胁性系数,综合计算所述安全告警数据的安全告警威胁性程度。本发明将知识图谱技术应用到威胁情报领域,基于历史情报库数据构建网络安全情报知识图谱,在安全告警的威胁性研判中充分利用威胁实体要素的历史威胁行为,使得判断结果更为准确。

Description

安全告警威胁性研判方法及装置
技术领域
本发明涉及网络安全技术领域,特别是涉及一种安全告警威胁性研判方法及装置。
背景技术
安全告警威胁性研判是对监测运维系统捕获的告警进行威胁程度、真实性研判。安全告警威胁性研判基于黑白名单、敏感操作、网络行为等数据进行分析,对触发告警的威胁源主体进行识别和风险分析,通过对安全告警多个维度的分析实现对网络行为的威胁性研判。
目前安全告警威胁性研判是基于神经网络、深度学习等人工智能算法对网络行为本身进行威胁性研判,从告警中捕获网络通信行为、资源请求行为、敏感操作数据等,基于威胁分析模型实现对指定安全告警的威胁性研判。但基于人工智能算法的威胁性研判缺乏对历史情报数据、本体情报数据(情报数据间隐蔽的关联关系)的利用,对安全告警的威胁性研判未充分考虑其历史威胁行为。
发明内容
有鉴于此,本发明提供的一种安全告警威胁性研判方法及装置,主要目的在于解决现有技术中现有安全告警威胁性研判对历史情报数据利用的不充分问题,提出了基于关联推理的安全告警威胁性研判方法。该方法以构建的安全情报知识图谱为基础,对输入的安全告警要素进行关联推理,并提出深度权重自适应威胁系数算法,对安全告警要素进行威胁程性系数计算,综合形成安全告警威胁性研判结果。
根据本发明一个方面,提供了一种安全告警威胁性研判方法,该方法包括步骤:S1:基于历史情报库数据构建网络安全情报知识图谱;S2:对待研判的安全告警数据进行解析并提取各威胁实体要素,基于所述网络安全情报知识图谱进行关联推理,形成所述安全告警数据的安全告警关联子图,用于描述所述安全告警数据中威胁实体要素之间的关联关系;S3:对所述安全告警关联子图进行实体威胁系数计算,分别获取所述安全告警数据中各威胁实体要素的实体威胁性系数;S4:综合各威胁实体要素的实体威胁性系数,计算所述安全告警数据的安全告警威胁性程度。
作为本发明的进一步改进,所述实体威胁性系数的计算步骤包括:S31:从所述安全告警关联子图中获取各所述威胁实体要素对应的实体,并基于所述历史情报库数据得到该实体标注的威胁程度;S32:对于各所述威胁实体要素,分别基于所述安全告警关联子图进行推理,获取所述威胁实体要素到各重点威胁实体的路径,并计算所述路径上从所述威胁实体要素到重点威胁实体之间的间隔实体数量;S33:基于各所述威胁实体要素所对应的威胁程度与所述间隔实体数量,采用深度权重自适应威胁系数算法,获取各所述威胁实体要素的所述实体威胁性系数。
作为本发明的进一步改进,所述各重点威胁实体包括APT组织实体、恶意样本实体及告警实体。
作为本发明的进一步改进,所述深度权重自适应威胁系数算法具体为:
Sn=E+(1-E)×(∑1/sum_aptij+∑1/sum_alarmij+∑1/sum_sampleij)/L
其中:sum_aptij为从所述威胁实体要素到APT组织实体间隔的实体数量;sum_sampleij为从所述威胁实体要素到恶意样本实体间隔的实体数量:sum_alarmij为从所述威胁实体要素到告警实体间隔的实体数量;E为威胁实体要素威胁系数0≤E≤1,值越大表示所述威胁实体要素威胁程度越高;L表示从威胁实体要素到APT组织实体、恶意样本实体以及告警实体的间隔的实体数量的总和;∑表示当所述威胁实体要素关联到多个所述重点威胁实体时,对多个关联结果累加;Sn表示第N个所述威胁实体要素的实体威胁性系数,o≤Sn≤1,值越大表示该威胁实体要素的威胁程度越高。
作为本发明的进一步改进,所述安全告警威胁性程度算法具体为:
Figure BDA0003133814520000021
Sn表示第n个威胁实体要素威胁系数,0≤Sn≤1,值越大表示威胁程度越高。S表示安全告警的威胁程度,0≤S≤1,值越大表示威胁程度越高。
根据本发明另一个方面,提供了一种安全告警威胁性研判装置,该装置包括:构建知识图谱模块:被配置为基于历史情报库数据构建网络安全情报知识图谱;关联子图模块:被配置为对待研判的安全告警数据进行解析并提取各威胁实体要素,基于所述网络安全情报知识图谱进行关联推理,形成所述安全告警数据的安全告警关联子图,用于描述所述安全告警数据中威胁实体要素之间的关联关系;获取实体威胁性系数模块:被配置为对所述安全告警关联子图进行实体威胁系数计算,分别获取所述安全告警数据中各威胁实体要素的实体威胁性系数;获取安全告警威胁性程度模块:被配置为综合各威胁实体要素的实体威胁性系数,计算所述安全告警数据的安全告警威胁性程度。
作为本发明的进一步改进,所述获取实体威胁性系数模块包括:实体威胁程度子模块:从所述安全告警关联子图中获取各所述威胁实体要素对应的实体,并基于所述历史情报库数据得到该实体标注的威胁程度;路径及间隔实体子模块:对于各所述威胁实体要素,分别基于所述安全告警关联子图进行推理,获取所述威胁实体要素到各重点威胁实体的路径,并计算所述路径上从所述威胁实体要素到重点威胁实体之间的间隔实体数量;威胁性系数子模块:基于各所述威胁实体要素所对应的威胁程度与所述间隔实体数量,采用深度权重自适应威胁系数算法,获取各所述威胁实体要素的所述实体威胁性系数。
作为本发明的进一步改进,所述各重点威胁实体包括APT组织实体、恶意样本实体及告警实体。
作为本发明的进一步改进,所述深度权重自适应威胁系数算法具体为:
Sn=E+(1-E)×(∑1/sum_aptij+∑1/sum_alarmij+∑1/sum_sampleij)/L
其中:sum_aptij为从所述威胁实体要素到APT组织实体间隔的实体数量;sum_sampleij为从所述威胁实体要素到恶意样本实体间隔的实体数量;sum_alarmij为从所述威胁实体要素到告警实体间隔的实体数量;E为威胁实体要素威胁系数0≤E≤1,值越大表示所述威胁实体要素威胁程度越高;L表示从威胁实体要素到APT组织实体、恶意样本实体以及告警实体的间隔的实体数量的总和;∑表示当所述威胁实体要素关联到多个所述重点威胁实体时,对多个关联结果累加;Sn表示第N个所述威胁实体要素的实体威胁性系数,0≤Sn≤1,值越大表示该威胁实体要素的威胁程度越高。
作为本发明的进一步改进,所述安全告警威胁性程度算法具体为:
Figure BDA0003133814520000041
Sn表示第n个威胁实体要素威胁系数,0≤Sn≤1,值越大表示威胁程度越高。S表示安全告警的威胁程度,0≤S≤1,值越大表示威胁程度越高。
籍由上述技术方案,本发明提供的有益效果如下:
(1)本发明将知识图谱技术应用到威胁情报领域,基于历史情报库数据构建网络安全情报知识图谱,在安全告警的威胁性研判中充分利用威胁实体要素的历史威胁行为,使得判断结果更为准确。
(2)提出深度权重自适应威胁系数计算方法,该方法基于情报库数据得到实体标注的威胁程度,结合威胁实体要素与各重点威胁实体的路径,以多个维度综合判断,得到的威胁系数更为合理。
(3)综合考虑安全告警的多个威胁实体要素,在单个威胁实体要素的威胁系数计算基础上,对安全告警产生的多个威胁实体要素进行威胁程度叠加,从安全告警的多个维度进行综合考量,使得对安全告警的研判结果更为全面。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种安全告警威胁性研判方法的流程图;
图2示出了本发明实施例提供的一种安全告警威胁性研判方法中网络安全情报知识图谱的示意图;
图3示出了本发明实施例提供的一种安全告警威胁性研判方法的应用场景的关联子图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明所要解决的核心技术问题是现有安全告警威胁性告警研判对历史情报数据利用的不充分,从而对威胁程度及真实性的研判准确度不够的问题。本发明基于关联推理的安全告警威胁性研判技术方案以构建安全情报知识图谱为基础,对输入的安全告警要素进行关联推理,并提出深度权重自适应威胁系数算法,对安全告警要素进行威胁程性系数计算,综合形成安全告警威胁性研判结果。
实施例1
图1示出了本发明实施例提供的一种安全告警威胁性研判方法的流程图;如图1所示,本实施例所述方法的技术方案包括以下步骤:
S1:基于历史情报库数据构建网络安全情报知识图谱,对情报数据进行分类,识别其属性,确定各类数据之间的显式关系,将生成的威胁实体及实体关系录入知识图谱;
S2:对待研判的安全告警数据进行解析并提取各威胁实体要素,基于所述网络安全情报知识图谱进行关联推理,形成所述安全告警数据的安全告警关联子图,用于描述所述安全告警数据中威胁实体要素之间的关联关系;
图2示出了典型的网络安全情报知识图谱的示意图;如图2所示,利用安全情报知识图谱进行关联推理,形成诸如当前安全告警数据中IP使用的证书,与该IP进行通信的另一个IP,使用该IP的APT名称等关联子图。
在安全告警关联子图生成阶段,基于构建形成的安全情报知识图谱进行关联推理,获取安全告警的多个关联子图。主要包括威胁实体要素分解和关联推理。
S21威胁实体要素分解;对安全告警数据进行解析,获取源IP、目的IP、源域名、目的域名、样本、流量等威胁实体要素;
具体来说,在威胁实体要素分解阶段,对输入的安全告警数据进行解析,从网络行为数据中获取通信的源IP、目的IP、请求的源域名和目的域名,以及安全告警附加的样本和流量等威胁实体要素。
S22关联推理;基于安全情报知识图谱对威胁实体要素分别进行关联推理,直至形成环路或到叶子节点,形成多个关联子图。
在关联推理阶段,基于安全情报知识图谱和关联推理规则,关联推理规则即为根据安全情报知识图谱的结构,预定义的实体间关联关系,具体推理规则可根据实际情况确定,不受本实施例约束。从情报数据库中对威胁实体要素进行检索,获取关联的实体及实体关系形成实体集合和实体关系集合,对获取的实体集合继续在情报数据库中进行关联检索,并将获取的数据补充到集合中,根据实体关系集合的关联关系构建威胁子图,重复上述过程直至威胁子图无新增数据。
S3:计算实体威胁性系数;对所述安全告警关联子图进行实体威胁系数计算,分别获取所述安全告警数据中各威胁实体要素的实体威胁性系数;
实体威胁性系数计算阶段,通过获取威胁实体要素到APT组织实体、恶意样本实体、告警实体的路径数据,采用深度权重自适应威胁系数算法,对威胁实体要素进行威胁系数计算。主要包括威胁实体要素威胁程度获取、威胁实体要素关联APT组织路径获取、威胁实体要素关联恶意样本路径获取、威胁实体要素关联告警路径获取和威胁实体要素威胁性系数计算。
S31:从所述安全告警关联子图中获取各所述威胁实体要素对应的实体,并基于所述历史情报库数据得到该实体标注的威胁程度;
在威胁实体要素威胁程度获取阶段,从情报库数据中检索该威胁实体要素,获取与其对应的威胁实体所标注的威胁程度数据。
S32:对于各所述威胁实体要素,分别基于所述安全告警关联子图进行推理,获取所述威胁实体要素到各重点威胁实体的路径,并计算所述路径上从所述威胁实体要素到重点威胁实体之间的间隔实体数量;
在威胁实体要素关联APT组织路径获取阶段,基于威胁实体要素关联子图,获取叶子节点为APT组织的路径,并计算威胁实体要素到APT组织实体间隔的实体数量。
在威胁实体要素关联恶意样本路径获取阶段,基于威胁实体要素关联子图,获取叶子节点为恶意样本的路径,并计算威胁实体要素到恶意样本实体间隔的实体数量。
在威胁实体要素关联告警路径获取阶段,基于威胁实体要素关联子图,获取叶子节点为告警的路径,并计算威胁实体要素到告警实体间隔的实体数量。
S33:基于各所述威胁实体要素所对应的威胁程度与所述间隔实体数量,采用深度权重自适应威胁系数算法,获取各所述威胁实体要素的所述实体威胁性系数。
在威胁实体要素威胁性系数计算阶段,基于威胁实体要素间隔APT组织的实体数量、间隔样本的实体数量、间隔告警的实体数量和威胁实体要素威胁程度,采用深度权重自适应威胁系数算法,计算得出威胁实体要素的威胁性系数。
深度权重自适应威胁系数算法:
Sn=E+(1-E)×(∑1/sum_aptij+∑1/sum_alarmij+∑1/sum_sampleij)/L
其中:sum_aptij为从威胁实体要素到APT组织间隔的实体数量;sum_sampleij为从威胁实体要素到恶意样本间隔的实体数量;sum_alarmij为从威胁实体要素到告警实体间隔的实体数量;威胁实体要素威胁程度系数0≤E≤1,值越大表示威胁程度越高;L表示从威胁实体要素到APT组织、恶意样本以及告警实体的的间隔的实体数量的总和;在实际情况中,威胁实体要素会关联到多个APT组织、恶意样本以及告警实体,公式中的求和是对多个关联结果进行累加计算。Sn表示第N个威胁实体要素威胁系数,0≤Sn≤1,值越大表示该威胁实体要素的威胁程度越高。
S4:综合各威胁实体要素的实体威胁性系数,计算所述安全告警数据的安全告警威胁性程度。
安全告警威胁性系数计算阶段,基于实体威胁性系数计算阶段对多个威胁实体要素的计算结果,结合关联子图的最大深度,采用安全告警威胁程度算法,获取安全告警的威胁性研判结果。主要包括关联子图最大深度计算和安全告警威胁程度计算。
S41获取关联推理过程中关联子图的最大深度;
在关联子图最大深度计算阶段,对关联子图进行深度遍历,记录并更新路径的最大深度。
S42基于安全告警多个威胁实体要素的威胁性系数计算结果,利用安全告警威胁程度计算方法,实现对安全告警的威胁性研判。
在安全告警威胁程度计算阶段,基于实体威胁性系数计算阶段对多个威胁实体要素的威胁性系数计算结果,采用安全告警威胁程度算法,计算得出安全告警的威胁程度。计算公式如下:
Figure BDA0003133814520000081
Sn表示第n个威胁实体要素威胁系数,0≤Sn≤1,值越大表示威胁程度越高。
S表示安全告警的威胁程度,0≤S≤1,值越大表示威胁程度越高。
N表示进行安全告警威胁性研判时,安全告警能够分解出N个威胁实体要素,对N个威胁实体要素的结果进行累加后求平均值。
下面以一条安全告警为例,对本实施例所述的一种安全告警威胁性研判方法的应用场景进行详细描述,以达到更充分的理解效果。
待研判的安全告警数据为:
{“source_ip”:“82.221.129.16”,”target_ip”:”172.16.0.1”,”source_domain”:”qwertyu.com”,”alarm_type”:”bonet”,”time”:”2021-05-17 11:30:06”}
对安全告警进行解析,获取源IP 82.221.129.16,获取目的IP 172.16.0.1,获取源域名qwertyu.com,基于安全情报知识图谱数据和推理规则,可形成如图3所示的关联子图。其中各实体的威胁系数如下表1所示。
表1威胁实体威胁要素系数
Figure BDA0003133814520000082
Figure BDA0003133814520000091
对从安全告警中解析获得的2个IP实体、1个域名实体分别利用深度权重自适应威胁系数算法进行计算,分别得到威胁系数为S1=0.84、S2=0.53、S3=0.67,基于威胁实体的威胁系数进行安全告警威胁程度计算S=0.68,表示本条安全告警的威胁程度为0.68,存在较大的安全隐患,应给予重点关注。
实施例2
进一步的,作为对上述实施例所示方法的实现,本发明另一实施例还提供了一种安全告警威胁性研判装置。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。在该实施例的装置中,具有以下模块:
1、构建知识图谱模块:被配置为基于历史情报库数据构建网络安全情报知识图谱;该模块所实现的技术方案对应于实施例1中的步骤1。
2、关联子图模块:被配置为对待研判的安全告警数据进行解析并提取各威胁实体要素,基于所述网络安全情报知识图谱进行关联推理,形成所述安全告警数据的安全告警关联子图,用于描述所述安全告警数据中威胁实体要素之间的关联关系;该模块所实现的技术方案对应于实施例1中的步骤2。
3、获取实体威胁性系数模块:被配置为对所述安全告警关联子图进行实体威胁系数计算,分别获取所述安全告警数据中各威胁实体要素的实体威胁性系数;该模块所实现的技术方案对应于实施例1中的步骤3。
包括子模块:
实体威胁程度子模块:从所述安全告警关联子图中获取各所述威胁实体要素对应的实体,并基于所述历史情报库数据得到该实体标注的威胁程度;
路径及间隔实体子模块:对于各所述威胁实体要素,分别基于所述安全告警关联子图进行推理,获取所述威胁实体要素到各重点威胁实体的路径,并计算所述路径上从所述威胁实体要素到重点威胁实体之间的间隔实体数量;
威胁性系数子模块:基于各所述威胁实体要素所对应的威胁程度与所述间隔实体数量,采用深度权重自适应威胁系数算法,获取各所述威胁实体要素的所述实体威胁性系数。
4、获取安全告警威胁性程度模块:被配置为综合各威胁实体要素的实体威胁性系数,计算所述安全告警数据的安全告警威胁性程度;该模块所实现的技术方案对应于实施例1中的步骤4。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

Claims (2)

1.一种安全告警威胁性研判方法,其特征在于,包括:
S1:基于历史情报库数据构建网络安全情报知识图谱;
S2:对待研判的安全告警数据进行解析并提取各威胁实体要素,基于所述网络安全情报知识图谱进行关联推理,形成所述安全告警数据的安全告警关联子图,用于描述所述安全告警数据中威胁实体要素之间的关联关系;
S3:对所述安全告警关联子图进行实体威胁性系数计算,分别获取所述安全告警数据中各威胁实体要素的实体威胁性系数;所述实体威胁性系数的计算步骤包括:
S31:从所述安全告警关联子图中获取各所述威胁实体要素对应的实体,并基于所述历史情报库数据得到该实体标注的威胁程度;
S32:对于各所述威胁实体要素,分别基于所述安全告警关联子图进行推理,获取所述威胁实体要素到各重点威胁实体的路径,并计算所述路径上从所述威胁实体要素到重点威胁实体之间的间隔实体数量;
所述各重点威胁实体包括APT组织实体、恶意样本实体及告警实体;
S33:基于各所述威胁实体要素所对应的威胁程度与所述间隔实体数量,采用深度权重自适应威胁系数算法,获取各所述威胁实体要素的所述实体威胁性系数;所述深度权重自适应威胁系数算法具体为:
Sn=E+(1-E)×(∑1/sum_aptij+∑1/sum_alarmij+∑1/sum_sampleij)/L
其中:sum_aptij为从所述威胁实体要素到APT组织实体间隔的实体数量;sum_sampleij为从所述威胁实体要素到恶意样本实体间隔的实体数量;sum_alarmij为从所述威胁实体要素到告警实体间隔的实体数量;E为威胁实体要素威胁系数0≤E≤1,值越大表示所述威胁实体要素威胁程度越高;L表示从威胁实体要素到APT组织实体、恶意样本实体以及告警实体的间隔的实体数量的总和;∑表示当所述威胁实体要素关联到多个所述重点威胁实体时,对多个关联结果累加;Sn表示第n个所述威胁实体要素的实体威胁性系数,0≤Sn≤1,值越大表示该威胁实体要素的威胁程度越高;
S4:综合各威胁实体要素的实体威胁性系数,计算所述安全告警数据的安全告警威胁性程度;所述安全告警威胁性程度算法具体为:
Figure FDA0003347820330000021
N表示所述威胁实体要素的总数;
S表示安全告警的威胁程度,0≤S≤1,值越大表示威胁程度越高。
2.一种安全告警威胁性研判装置,其特征在于,包括:
构建知识图谱模块:被配置为基于历史情报库数据构建网络安全情报知识图谱:
关联子图模块:被配置为对待研判的安全告警数据进行解析并提取各威胁实体要素,基于所述网络安全情报知识图谱进行关联推理,形成所述安全告警数据的安全告警关联子图,用于描述所述安全告警数据中威胁实体要素之间的关联关系;
获取实体威胁性系数模块:被配置为对所述安全告警关联子图进行实体威胁性系数计算,分别获取所述安全告警数据中各威胁实体要素的实体威胁性系数;所述获取实体威胁性系数模块包括:
实体威胁程度子模块:从所述安全告警关联子图中获取各所述威胁实体要素对应的实体,并基于所述历史情报库数据得到该实体标注的威胁程度;
路径及间隔实体子模块:对于各所述威胁实体要素,分别基于所述安全告警关联子图进行推理,获取所述威胁实体要素到各重点威胁实体的路径,并计算所述路径上从所述威胁实体要素到重点威胁实体之间的间隔实体数量;所述各重点威胁实体包括APT组织实体、恶意样本实体及告警实体;
威胁性系数子模块:基于各所述威胁实体要素所对应的威胁程度与所述间隔实体数量,采用深度权重自适应威胁系数算法,获取各所述威胁实体要素的所述实体威胁性系数;所述深度权重自适应威胁系数算法具体为:
Sn=E+(1-E)×(∑1/sum_aptij+∑1/sum_alarmij+∑1/sum_sampleij)/L
其中:sum_aptij为从所述威胁实体要素到APT组织实体间隔的实体数量;sum_sampleij为从所述威胁实体要素到恶意样本实体间隔的实体数量;sum_alarmij为从所述威胁实体要素到告警实体间隔的实体数量;E为威胁实体要素威胁系数0≤E≤1,值越大表示所述威胁实体要素威胁程度越高;L表示从威胁实体要素到APT组织实体、恶意样本实体以及告警实体的间隔的实体数量的总和;∑表示当所述威胁实体要素关联到多个所述重点威胁实体时,对多个关联结果累加;Sn表示第n个所述威胁实体要素的实体威胁性系数,0≤Sn≤1,值越大表示该威胁实体要素的威胁程度越高;
获取安全告警威胁性程度模块:被配置为综合各威胁实体要素的实体威胁性系数,计算所述安全告警数据的安全告警威胁性程度;所述安全告警威胁性程度算法具体为:
Figure FDA0003347820330000031
N表示所述威胁实体要素的总数;
S表示安全告警的威胁程度,0≤S≤1,值越大表示威胁程度越高。
CN202110715857.1A 2021-06-25 2021-06-25 安全告警威胁性研判方法及装置 Active CN113364802B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110715857.1A CN113364802B (zh) 2021-06-25 2021-06-25 安全告警威胁性研判方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110715857.1A CN113364802B (zh) 2021-06-25 2021-06-25 安全告警威胁性研判方法及装置

Publications (2)

Publication Number Publication Date
CN113364802A CN113364802A (zh) 2021-09-07
CN113364802B true CN113364802B (zh) 2021-12-17

Family

ID=77536700

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110715857.1A Active CN113364802B (zh) 2021-06-25 2021-06-25 安全告警威胁性研判方法及装置

Country Status (1)

Country Link
CN (1) CN113364802B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114866287B (zh) * 2022-04-07 2024-04-19 云南电网有限责任公司信息中心 一种网络攻击行为的识别方法及识别系统
CN116010467B (zh) * 2023-01-10 2024-02-02 北京天融信网络安全技术有限公司 基于通联图谱的风险发现方法、装置、设备及存储介质
CN117201165A (zh) * 2023-09-29 2023-12-08 中国电子科技集团公司第十五研究所 基于网络威胁信息的威胁告警关联分析方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110875920A (zh) * 2018-12-24 2020-03-10 哈尔滨安天科技集团股份有限公司 一种网络威胁分析方法、装置、电子设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10616260B2 (en) * 2017-11-30 2020-04-07 Bank Of America Corporation System for information security threat assessment
US10938817B2 (en) * 2018-04-05 2021-03-02 Accenture Global Solutions Limited Data security and protection system using distributed ledgers to store validated data in a knowledge graph
CN109005069B (zh) * 2018-08-29 2021-07-09 中国人民解放军国防科技大学 基于天地一体化网络的网络安全知识图谱的关联分析方法
CN111581643B (zh) * 2020-05-07 2024-02-02 中国工商银行股份有限公司 渗透攻击评价方法和装置、以及电子设备和可读存储介质
CN112699681A (zh) * 2020-12-17 2021-04-23 国网冀北电力有限公司信息通信分公司 基于知识图谱的电力通信系统缺陷故障派单方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110875920A (zh) * 2018-12-24 2020-03-10 哈尔滨安天科技集团股份有限公司 一种网络威胁分析方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN113364802A (zh) 2021-09-07

Similar Documents

Publication Publication Date Title
CN113364802B (zh) 安全告警威胁性研判方法及装置
Lin et al. Retrieval of relevant historical data triage operations in security operation centers
Gosiewska et al. Simpler is better: Lifting interpretability-performance trade-off via automated feature engineering
CN111143838B (zh) 数据库用户异常行为检测方法
Ren et al. ID-RDRL: a deep reinforcement learning-based feature selection intrusion detection model
Savage et al. Detection of money laundering groups: Supervised learning on small networks
CN112187716B (zh) 一种网络攻击中恶意代码的知识图谱展示方法
Bose A comparative study of social networking approaches in identifying the covert nodes
Thange et al. Analyzing COVID-19 dataset through data mining tool “orange”
Kaiser et al. Attack hypotheses generation based on threat intelligence knowledge graph
Benferhat et al. Belief graphical models for uncertainty representation and reasoning
Hamon et al. Transformation from graphs to signals and back
Job et al. Exploring causal learning through graph neural networks: an in-depth review
Yifan Application of machine learning in network security situational awareness
Punjabi et al. Forensic Intelligence-Combining Artificial Intelligence with Digital Forensics
US11636161B1 (en) Intelligent clustering systems and methods useful for domain protection
Kumar A Big Data Analytical Framework for Intrusion Detection Based On Novel Elephant Herding Optimized Finite Dirichlet Mixture Models
Nikolentzos et al. Can author collaboration reveal impact? the case of h-index
Yang et al. Intelligent fault monitoring and diagnosis of tunnel fans using a hierarchical cascade forest
Muramudalige et al. Enhancing investigative pattern detection via inexact matching and graph databases
Chandrasekar et al. Data Exploratory Analysis for Classification in Machine Learning Algorithms
Chudasma Network intrusion detection system using classification techniques in machine learning
Mustafar et al. Cyber-attack group representation based on adversary artifacts with machine learning
Cuong et al. Using Inference and Graph Convolutional Networks for APT Attack Detection
Al Amin et al. Assessing the Quality of Differentially Private Synthetic Data for Intrusion Detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant