CN113806753A - 一种基于标签计算的内网主机威胁预测方法及系统 - Google Patents

Abstract

本发明提出的一种基于标签计算的内网主机威胁预测方法及系统，所述方法包含：从标签库中读取预设时间段内的所有标签记录；按照主机实体和标签类型来对数据进行聚合统计处理聚合之后的数据，按照预设公式分别对所有备案资产进行计算并输出一个可能性的量化结果；最后，总结计算结果，对威胁发生可能性进行评估与比较，然后生成报告为后续防护进行指导。本发明通过对积累的标签进行分析来实现内网主机的威胁预测，为内网安全领域的风险评估模型提供新的解决思路。

Description

一种基于标签计算的内网主机威胁预测方法及系统

技术领域

本发明涉及网络安全技术领域，更具体的说是涉及一种基于标签计算的内网主机威胁预测方法及系统。

背景技术

提起网络安全，人们自然就会想到病毒破坏和黑客攻击，其实不然。常规安全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的主机的安全威胁却是众多安全管理人员所普遍反映的问题。

威胁性是一种包含了对组织及资产构成破坏的可能性与造成潜在后果的综合性因素，主机的威胁性主要分析历史发生的告警、异常等方面，若行为里该类记录较多，则认为主机的威胁性较大。例如频繁打印、端口扫描或病毒木马攻击等，以上这些行为均可以通过相应规则生成动态标签打到对应主机身上；另外，内网中不同的机器其活跃程度也不尽相同。

可见，如何通过对积累的标签进行分析来实现内网主机的威胁预测，是我们亟待解决的问题。

发明内容

针对以上问题，本发明的目的在于提供一种基于标签计算的内网主机威胁预测方法及系统。

本发明为实现上述目的，通过以下技术方案实现：一种基于标签计算的内网主机威胁预测方法，包括如下步骤：

S1：从标签库中获取预设时间段内的所有主机的标签记录；

S2：按照主机实体和标签类型来对标签记录进行聚合统计；

S3：基于聚合统计结果，使用主机威胁预测模型计算得出所有内网主机的威胁性发生可能性的量化结果；

S4：根据所述量化结果，对内网中所有主机威胁发生可能性进行评估，并生成相应的威胁评估报告。

进一步，标签记录包括标签ID、主机MAC、主机IP、时间戳等字段。

进一步，所述步骤S1包括：

根据备案资产列表，从标签库中获取预设时间段内的所有主机的标签记录；

根据备案资产列表，从主机的流量五元组中获取预设时间段内的所有流量访问日志。

进一步，所述步骤S2包括：

根据所有主机的标签记录确定主机的标签序列；

根据三个预设时段为所有主机切分标签序列；

将每台主机作为节点，主机间的访问关系作为边，建立所有主机的图结构内网访问数据。

进一步，所述三个预设时段包括：

第一时段，具体为最近一周，即距当前已发生天数范围(0,7]；

第二时段，具体为最近一月至最近一周，即距当前已发生天数范围(7,30]；

第三时段，具体为一个月以外，即距当前已发生天数范围(30,∞]。

进一步，所述建立所有主机的图结构内网访问数据包括：

基于访问频次以及流量字节，统计每条边的权重；

根据主机活跃度公式，计算每台主机的活跃度。

进一步，所述主机活跃度公式具体如下：

其中，pi表示第i台主机，d为衰减因子，N为内网中主机数量，L(pj)为第j台主机的出度边数量，M(pi)为所有对pi存在入度的主机集合。

进一步，所述步骤S3包括：

基于所有主机切分标签序列，量化所有主机的标签热度；

将所有主机的标签热度和主机活跃度求几何平均值，作为内网主机的威胁性发生可能性的量化结果。

进一步，所述量化所有主机的标签热度通过以下公式实现：

其中，i为第i个标签，pj为第j台主机，Wi为第i个标签的热度权重，n为该主机被打过多少个标签，Ci_1为第i个标签在第一时段的累积频次，Ci_2为第i个标签在第二时段的累积频次，Ci_3为第i个标签在第三时段的累积频次。

进一步，所述将所有主机的标签热度和主机活跃度求几何平均值通过以下公式实现：

其中，

为第j台主机的标签热度，PR(pj)为第j台主机的活跃度。

相应的，本发明还公开了一种基于标签计算的内网主机威胁预测系统，包括：

获取模块，用于从标签库中获取预设时间段内的所有主机的标签记录；

预处理模块，用于按照主机实体和标签类型来对标签记录进行聚合统计；

模型计算模块，用于基于聚合统计结果，使用主机威胁预测模型计算得出所有内网主机的威胁性发生可能性的量化结果；

威胁报告生成模块，用于根据所述量化结果，对内网中所有主机威胁发生可能性进行评估，并生成相应的威胁评估报告。

对比现有技术，本发明有益效果在于：

1、本发明适用于在拥有大数据标签模块下为内网资产做风险评估。包含：从标签库中读取预设时间段内的所有标签记录；按照主机实体和标签类型来对数据进行聚合统计处理聚合之后的数据，按照预设公式分别对所有备案资产进行计算并输出一个可能性的量化结果；最后，总结计算结果，对威胁发生可能性进行评估与比较，然后生成报告为后续防护进行指导。

2.本发明步骤清晰、复用率高。由于标签是日志数据高度凝练的本质，方便挖掘出不同行为之间的关联与重要程度，可以实现复用，基于时间与用户的扩展度高。

3、本发明执行效率高，通过在权重的计算过程中只需要调用处理器一次，存储和获取均在内存中执行。

4、本发明能够为内网安全领域的风险评估模型提供新的解决思路。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

附图1是本发明具体实施方式的方法流程图。

附图2是本发明具体实施方式的系统结构图。

图中，1为获取模块；2为预处理模块；3为模型计算模块；4为威胁报告生成模块。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一：

如图1所示，本实施例提供了一种基于标签计算的内网主机威胁预测方法，包括如下步骤：

S1：从标签库中获取预设时间段内的所有主机的标签记录。

首先，根据备案资产列表，从标签库中获取预设时间段内的所有主机的标签记录；然后，根据备案资产列表，从主机的流量五元组中获取预设时间段内的所有流量访问日志。其中，标签记录标签包括标签ID、主机MAC、主机IP、时间戳等字段。

S2：按照主机实体和标签类型来对标签记录进行聚合统计。

本步骤具体包括：

1、根据所有主机的标签记录确定主机的标签序列。

2、根据三个预设时段为所有主机切分标签序列。

其中，三个预设时段包括：第一时段，具体为最近一周，即距当前已发生天数范围(0，7]；第二时段，具体为最近一月至最近一周，即距当前已发生天数范围(7，30]；第三时段，具体为一个月以外，即距当前已发生天数范围(30，∞]。

3、将每台主机作为节点，主机间的访问关系作为边，建立所有主机的图结构内网访问数据。

首先，基于访问频次以及流量字节，统计每条边的权重；然后根据主机活跃度公式，计算每台主机的活跃度。

活跃度指一台主机在内网中发生连接行为的频繁程度，也可以看作是网络中某个节点的中心化程度。当一台主机活跃度较大，其所连接的资源就越多，从而发生主机失陷、钓鱼木马等风险的可能性大大增加。

由于内网拓扑之后是一个天然的图结构，因此使用图模型来计算主机的活跃度较为合理。这里主要使用连接频次和流量字节大小作为衡量边权重的统计指标。

主机活跃度公式具体如下：

其中，pi表示第i台主机，d为衰减因子，N为内网中主机数量，L(p_j)为第j台主机的出度边数量，M(p_i)为所有对p_i存在入度的主机集合。

S3：基于聚合统计结果，使用主机威胁预测模型计算得出所有内网主机的威胁性发生可能性的量化结果。

首先，基于所有主机切分标签序列，量化所有主机的标签热度。然后，将所有主机的标签热度和主机活跃度求几何平均值，作为内网主机的威胁性发生可能性的量化结果。

标签热度指相应标签历史上发生的频次。根据标签发生的时间距当前远近不同，设定阶梯式权重，对每台主机上全部标签历史记录进行统计，然后量化该主机的标签热度。

因此，量化所有主机的标签热度通过以下公式实现：

其中，i为第i个标签，pj为第j台主机，Ci_1为第i个标签在第一时段的累积频次，Ci_2为第i个标签在第二时段的累积频次，Ci_3为第i个标签在第三时段的累积频次。不同的时段分别设置权重为1、1/3和1/9，以表示最近发生的事件更容易再次发生威胁。

最后，将所有主机的标签热度和主机活跃度求几何平均值通过以下公式实现：

其中，

为第j台主机的标签热度，PR(pj)为第j台主机的活跃度。

本公式是将上述两种模型进行融合，得到量化主机威胁性发生可能性的算法，是主机威胁预测模型的最终公式，基于上述两小节的结果。

S4：根据所述量化结果，对内网中所有主机威胁发生可能性进行评估，并生成相应的威胁评估报告。

本实施例提供了一种基于标签计算的内网主机威胁预测方法，包含：从标签库中读取预设时间段内的所有标签记录；按照主机实体和标签类型来对数据进行聚合统计处理聚合之后的数据，按照预设公式分别对所有备案资产进行计算并输出一个可能性的量化结果；最后，总结计算结果，对威胁发生可能性进行评估与比较，然后生成报告为后续防护进行指导。本方法通过对积累的标签进行分析来实现内网主机的威胁预测，为内网安全领域的风险评估模型提供新的解决思路。

实施例二：

基于实施例一，如图2所示，本发明还公开了一种基于标签计算的内网主机威胁预测系统，包括：获取模块1、预处理模块2、模型计算模块3和威胁报告生成模块4。

获取模块1，用于从标签库中获取预设时间段内的所有主机的标签记录。

获取模块1具体用于：

1、从标签库获取数据。针对备案资产列表，获取预设时间段内所有标签记录。包括标签ID、主机MAC、主机IP、时间戳等字段。

2、从流量五元组获取数据。针对备案资产列表，获取预设时间段内所有流量访问日志。

预处理模块2，用于按照主机实体和标签类型来对标签记录进行聚合统计。

预处理模块2具体用于：

1、将标签数据按主机聚合，得到预处理之后每台主机被打上的所有标签序列。

2、将标签数据按时序分层，基于上述所述三个不同时段为所有主机切分标签序列。

3、基于流量五元组计算主机活跃度。首先，将每台主机视作节点，访问关系视作边，建立图结构内网访问数据。然后，基于访问频次以及流量字节，统计每条边的权重，根据主机活跃度公式，计算每台机器的活跃度

模型计算模块3，用于基于聚合统计结果，使用主机威胁预测模型计算得出所有内网主机的威胁性发生可能性的量化结果。

模型计算模块3具体用于：

1、基于聚合分层的结果，对不同标签进行加权求和计算。

2、主机的标签热度与数据预处理阶段得到的主机活跃度求几何平均值。

威胁报告生成模块4，用于根据所述量化结果，对内网中所有主机威胁发生可能性进行评估，并生成相应的威胁评估报告。

本实施例提供了一种基于标签计算的内网主机威胁预测系统，能够从标签库中读取预设时间段内的所有标签记录；按照主机实体和标签类型来对数据进行聚合统计处理聚合之后的数据，并按照预设公式分别对所有备案资产进行计算并输出一个可能性的量化结果；最后，总结计算结果，对威胁发生可能性进行评估与比较，然后生成报告为后续防护进行指导。

综上所述，本发明通过对积累的标签进行分析实现了内网主机的威胁预测。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的方法而言，由于其与实施例公开的系统相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统、系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。

同理，在本发明各个实施例中的各处理单元可以集成在一个功能模块中，也可以是各个处理单元物理存在，也可以两个或两个以上处理单元集成在一个功能模块中。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的基于标签计算的内网主机威胁预测方法及系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种基于标签计算的内网主机威胁预测方法，其特征在于，包括如下步骤：

S1：从标签库中获取预设时间段内的所有主机的标签记录；

S2：按照主机实体和标签类型来对标签记录进行聚合统计；

S3：基于聚合统计结果，使用主机威胁预测模型计算得出所有内网主机的威胁性发生可能性的量化结果；

S4：根据所述量化结果，对内网中所有主机威胁发生可能性进行评估，并生成相应的威胁评估报告。

2.根据权利要求1所述的基于标签计算的内网主机威胁预测方法，其特征在于，所述步骤S1包括：

根据备案资产列表，从标签库中获取预设时间段内的所有主机的标签记录；

根据备案资产列表，从主机的流量五元组中获取预设时间段内的所有流量访问日志。

3.根据权利要求2所述的基于标签计算的内网主机威胁预测方法，其特征在于，所述步骤S2包括：

根据所有主机的标签记录确定主机的标签序列；

根据三个预设时段为所有主机切分标签序列；

将每台主机作为节点，主机间的访问关系作为边，建立所有主机的图结构内网访问数据。

4.根据权利要求3所述的基于标签计算的内网主机威胁预测方法，其特征在于，所述三个预设时段包括：

第一时段，距当前已发生天数范围(0,7]；

第二时段，距当前已发生天数范围(7,30]；

第三时段，距当前已发生天数范围(30,∞]。

5.根据权利要求4所述的基于标签计算的内网主机威胁预测方法，其特征在于，所述建立所有主机的图结构内网访问数据包括：

基于访问频次以及流量字节，统计每条边的权重；

根据主机活跃度公式，计算每台主机的活跃度。

6.根据权利要求4所述的基于标签计算的内网主机威胁预测方法，其特征在于，所述主机活跃度公式具体如下：

其中，pi表示第i台主机，d为衰减因子，N为内网中主机数量，L(p_j)为第j台主机的出度边数量,M(p_i)为所有对p_i存在入度的主机集合。

7.根据权利要求5所述的基于标签计算的内网主机威胁预测方法，其特征在于，所述步骤S3包括：

基于所有主机切分标签序列，量化所有主机的标签热度；

将所有主机的标签热度和主机活跃度求几何平均值，作为内网主机的威胁性发生可能性的量化结果。

8.根据权利要求7所述的基于标签计算的内网主机威胁预测方法，其特征在于，所述量化所有主机的标签热度通过以下公式实现：

其中，i为第i个标签，pj为第j台主机，Wi为第i个标签的热度权重,n为该主机被打过多少个标签，Ci_1为第i个标签在第一时段的累积频次，Ci_2为第i个标签在第二时段的累积频次，Ci_3为第i个标签在第三时段的累积频次。

9.根据权利要求8所述的基于标签计算的内网主机威胁预测方法，其特征在于，所述将所有主机的标签热度和主机活跃度求几何平均值通过以下公式实现：

其中，

为第j台主机的加权标签热度，PR(p_j)为第j台主机的活跃度。

10.一种基于标签计算的内网主机威胁预测系统，其特征在于，包括：

获取模块，用于从标签库中获取预设时间段内的所有主机的标签记录；

预处理模块，用于按照主机实体和标签类型来对标签记录进行聚合统计；

模型计算模块，用于基于聚合统计结果，使用主机威胁预测模型计算得出所有内网主机的威胁性发生可能性的量化结果；

威胁报告生成模块，用于根据所述量化结果，对内网中所有主机威胁发生可能性进行评估，并生成相应的威胁评估报告。

Images