CN114006719B - 基于态势感知的ai验证方法、装置及系统 - Google Patents
基于态势感知的ai验证方法、装置及系统 Download PDFInfo
- Publication number
- CN114006719B CN114006719B CN202111072439.1A CN202111072439A CN114006719B CN 114006719 B CN114006719 B CN 114006719B CN 202111072439 A CN202111072439 A CN 202111072439A CN 114006719 B CN114006719 B CN 114006719B
- Authority
- CN
- China
- Prior art keywords
- information
- keywords
- situation awareness
- alarm
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9027—Trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明提供了一种基于态势感知的AI验证方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:采集告警事件发生之前态势感知系统给出的态势感知信息;以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,并对前述信息,分别提取对应的关键词;基于预设的AI搜索树组合上述关键词,得到具有态势感知关键词的态势感知关键词集合;判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整。本发明对验证后的态势感知信息进行安全防御,使态势感知系统通过态势感知信息进行的网络安全防御更为准确。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于态势感知的AI验证方法。
背景技术
使用现有技术手段应对网络安全时,往往选用网络安全态势感知系统对网络未来的安全状况和变化趋势进行预测。态势感知系统运用科学的理论、方法和已有的经验去判断和预测重大安全事件的发展趋势和危害情况,进而增强网络防御的主动性,实现对未来态势中各种安全事件进行预测的最终目标。
所述态势感知信息通过对网络环境中的各类数据进行态势感知,使得态势感知系统实现网络安全的态势感知防御。目前,态势感知技术主要通过采集网络环境中的数据信息与系统运行生成的动态安全数据等信息,并对数据进行分析后,针对网络安全中的异常项进行防御。然而,由于在实际应用中,难以保障态势感知信息是否能够针对网络安全中的异常项实现准确的防御。
为此,要提供一种基于AI搜索树的网络安全信息分析方法、装置及系统,对态势感知信息进行验证,保障态势感知信息是否能够实现准确的防御,这也是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种基于态势感知的AI验证方法、装置及系统,本发明能够采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取关键词;基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整。
为解决现有的技术问题,本发明提供了如下技术方案:
一种基于态势感知的AI验证方法,其特征在于该方法包括步骤,
采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;
对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元;
基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;
判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
进一步,所述告警信息包括前述网络节点故障时,所述网络节点进行告警的根源告警信息和衍生告警信息。
进一步,所述告警包括紧急告警和非紧急告警;判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
进一步,对前述采集的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
进一步,针对前述告警关键词、威胁情报关键词,以及与前述网络节点的日志关键词,统计上述关键词的搜索次数和搜索路径,分别设置基于AI搜索树的关键词搜索标签和关键词搜索路径标签。
进一步,所述态势感知关键词与前述态势感知信息的匹配包括逐一匹配和组合匹配。
进一步,所述态势感知系统采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
进一步,对所述网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
一种基于态势感知的AI验证装置,其特征在于包括结构:
信息采集单元,用于采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;
信息提取单元,用于对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元;
信息组合单元,用于基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;
信息判断单元,用于判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
一种基于态势感知的AI验证系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元;基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:
一方面,采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词;基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整。
另一方面,针对前述告警关键词、威胁情报关键词,以及与前述网络节点的日志关键词,统计上述关键词的搜索次数和搜索路径,分别设置基于AI搜索树的关键词搜索标签和关键词搜索路径标签。
又一方面,所述态势感知关键词与前述态势感知信息的匹配包括逐一匹配和组合匹配。
上述各个方面的优势在于,所述第一方面能够对验证后的态势感知信息进行安全防御,使态势感知系统进行的网络安全防御更为准确。所述第二方面设置关键词搜索标签和关键词搜索路径标签,可以在保证搜索准确度的同时,缩短关键词搜索时间。第三方面能够保证所述态势感知关键词在与所述态势感知信息进行匹配的过程中,能够遍历前述态势感知关键词。
附图说明
图1为本发明实施例提供的流程图。
图2为本发明实施例提供的装置的结构示意图。
图3为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,信息采集单元201,信息提取单元202;信息组合单元203,信息判断单元204;
系统300,网络节点301,态势感知系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种基于态势感知的AI验证方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息。
所述态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,以安全大数据为基础,能够从全局视角提升对安全威胁的发现识别、理解分析和响应处置能力,最终进行决策与行动。所述态势感知能够检测出的云上安全风险,包括但不限制DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制。所述态势感知能够对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,通过采集全网流量数据和安全防护设备日志信息,并利用大数据安全分析平台进行处理和分析,能够实现企业主机安全、Web防火墙和DDoS流量清洗等安全服务上报的告警数据的整合,实时呈现完整的全网攻击态势,进而为安全事件的处置决策提供依据。
所述态势感知系统可以整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
所述态势感知信息是指在前述态势感知系统中存储的数据信息,用于分析态势感知的发展趋势。所述态势感知信息的数据来源包括但不限制于环境业务数据、网络层面数据、日志层面数据、告警数据,因此,所述态势感知信息可以包括但不限制于网络节点的日志信息、告警信息、威胁情报等,在形成网络空间安全态势感知的过程中,参照现有技术对不同来源的数据信息进行有效融合。
在本实施例的优选实施方式中,所述告警是一种用于传递告警信息的事件报告,也叫告警事件,简称告警。它可以由生产厂商定义好,也可以由网管人员结合网络中的告警进行定义。在一次告警中,网管系统的监控单元视故障情况给出告警信号,系统每接收到一次的告警信号,代表一次告警事件的发生,并通过告警信息的形式进行故障描述,并在网管系统的告警信息管理中心显示告警信息。所述故障是网络中的设备产生告警的原因。
所述告警信息是对前述告警事件的描述,所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
所述威胁情报用以利用威胁情报库对访问流量、日志进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
所述威胁情报信息是指对威胁情报进行描述的数据信息。所述威胁情报可以来源于两个方面:一是内部,其数据来源涉及有要保护的资产和环境属性类数据、各种内部设备和系统上的日志数据、告警数据、捕获来的数据包信息、统计信息、元数据等;二是外部,从第三方来源收集数据,并将这些数据与前述内部威胁情报来源收集来的数据相关联,在与被保护对象有关联时视为威胁情报。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述网络节点的日志信息是指网络设备、系统及服务程序等,在运作时产生的事件记录,其中的每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于连接持续的时间,协议类型,目标主机的网络服务类型,连接正常或错误的状态,从源主机到目标主机的数据字节数,从目标主机到源主机的数据字节数,错误分段的数量,加急包的个数等。
需要说明的是,所述态势感知系统的感知对象包括但不限制于对告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,进行数据的处理、整合、融合等操作,形成态势感知信息。所述态势感知系统通过分析态势感知信息,感知网络环境中的异常项,并进行决策和处理。
S102,对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元。
在本发明的优选实施方式中,所述告警关键词、威胁情报关键词,以及网络节点的日志关键词可以分别设置对应的词库,即告警词库、威胁情报词库,以及网络节点的日志词库。所述词库中的多个词可以预先设定,也可以从前述多个信息中提取得到。
所述关键词可以依据前述信息的属性类型对应的信息进行关键词提取。所述关键词均能够体现对应前述信息的核心特征。作为举例而非限制,所述告警关键词可以从告警等级、告警对象、告警原因等属性类型对应的信息中提取关键词;所述威胁情报关键词可以从威胁类型、威胁名称、威胁等级、威胁对象、目标主机等属性类型对应的信息中提取关键词;所述网络节点的日志关键词可以从时间、事件、节点名称、节点端口、节点IP等属性类型对应的信息中提取关键词。
以前述告警关键词为例,所述告警关键词可以是error、warning、NetError、problem等。其中,error为错误,表示该网络节点出现错误,影响主要进程;warning为警告,表示该网络节点的某个进程出现警告,但不影响主要过程;NetError为网络请求错误,一般表示网络连接过程出现问题;problem为问题,表示该网络节点出现难以解决的问题;shutdown为中断,表示该网络节点出现不知名故障导致进程中断。
其中,在一种可选的实现方式中,为保障上述关键词基于AI搜索树进行组合和实现分析的过程更为方便,从而提高前述关键词的识别效率和成功率,前述关键词可以不区分大小写。
S103,基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词。
所述AI搜索树是指基于现有技术中人工智能(Artificial Intelligence,简称AI)技术实现的树搜索算法,它可以由前述告警关键词、威胁情报关键词,以及网络节点的日志关键词按照现有人工智能技术结合网络安全分析方法生成预设的AI搜索树。在本实施例的优选实施方式中,可以生成针对前述态势感知系统的AI搜索树,并通过组合前述告警关键词、威胁情报关键词,以及网络节点的日志关键词,得到态势感知关键词集合。
所述组合是指对前述提取的关键词进行组合,所述组合的方式包括简易组合和复杂组合。
所述简易组合是指当输入为关键词A、B、C和D时,经过合并、前述合并后的拆分等组合方式后,必然能够得到新的关键词E、F和G(即态势感知关键词)的操作,此时的态势感知关键词集合为{E,F,G}。
所述复杂组合是指当输入为关键词H、I、J和K时,经过映射、重组、推理和决策等多步操作后,获得新的关键词L、M和N(即态势感知关键词)的操作,此时的态势感知关键词集合为{L,M,N}。
所述态势感知关键词集合是指经前述预设的AI搜索树组合前述告警关键词、威胁情报关键词,以及网络节点的日志关键词后,得到的态势感知关键词的集合,所述集合中的态势感知关键词设置有对应的态势感知关键词词库,用以实现对态势感知关键词提取和处理。所述态势感知关键词词库中的多个词可以预先设定,也可以对前述态势感知信息进行分析后得到。
所述态势感知关键词能够体现对应前述态势感知信息的核心特征,同时,所述态势感知关键词均是前述态势感知关键词集合中不可拆分的最小单元。
同样的,在一种可选的实现方式中,所述态势感知关键词可以不区分大小写。
S104,判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
需要说明的是,判断所述态势感知关键词匹配态势感知信息时,可以根据所述态势感知关键词与前述态势感知信息中属性类型对应的具体信息进行匹配。所述态势感知信息的属性类型包括但不限制于攻击来源、攻击对象、攻击IP、请求类型、被攻击URL、攻击UserAgent。
还需要说明的是,在判定匹配时,对前述态势感知信息基于预设的网络安全态势感知系统数据库的防御方案进行防御。
优选的,所述告警信息包括前述网络节点故障时,所述网络节点进行告警的根源告警信息和衍生告警信息。
作为本实施例的优选实施方式之一,当一个网络节点和/或一条通信链路发生故障时,其故障可能会导致多个关联的网络节点和/或多条通信链路出现故障。在前述告警的过程中,前者引发的告警记作根源告警,后者产生的告警记作衍生告警。
还需要说明的是,所述告警可以通过告警相关性分析方法实现对网管系统告警信息的分析。由于所述网络环境是由大量的网络节点和通信链路相互连接构成,因此,告警相关性分析方法对同一告警时间段内的告警进行相关性分析,进而能够从同一个时间段产生的告警数据中找到其根源告警。
在分析告警数据时,依据告警相关性分析方法过滤掉无效的冗余信息,分析网络告警之间的相关性,从而提取出根源告警。在去除冗余告警信息的基础上,确定根源故障和告警原因,可以提高对告警信息进行处理的效率。
优选的,所述告警包括紧急告警和非紧急告警;判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在态势感知系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形,针对非紧急告警的情形,可以参照现有技术中针对非紧急告警的处理方案进行处置。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
优选的,对前述采集的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
所述数据清洗是对前述信息进行数据预处理的操作之一,在进行数据清洗时,能够滤除无效数据和/或是无用数据,将前述告警信息整理成便于进行分析的数据。
优选的,针对前述告警关键词、威胁情报关键词,以及与前述网络节点的日志关键词,统计上述关键词的搜索次数和搜索路径,分别设置基于AI搜索树的关键词搜索标签和关键词搜索路径标签。
在本发明的优选实施方式中,统计上述关键词的搜索次数、搜索路径后,设置关键词搜索标签和关键词搜索路径标签,可以在保证搜索准确度的同时,缩短关键词搜索时间。
需要说明的是,所述具有关键词搜索标签与关键词搜索路径标签是相互独立的概念,所述具有关键词搜索标签是针对前述关键词基于AI搜索树进行搜索的搜索次数进行设置,而所述搜索路径标签是针对前述关键词基于AI搜索树进行搜索的搜索路径进行设置。其优势在于:在基于预设的AI搜索树搜索关键词的过程中,能够以关键词的搜索标签和关键词搜索路径标签作为主要的搜索依据为依据,在保证搜索准确度的同时,缩短关键词搜索时间。
优选的,所述态势感知关键词与前述态势感知信息的匹配包括逐一匹配和组合匹配。
在所述态势感知关键词与前述态势感知信息进行匹配时,可以对所述态势感知关键词与前述态势感知信息进行逐一匹配,直至遍历所有的态势感知关键词;也可以对所述态势感知关键词与前述态势感知信息进行组合匹配,所述组合匹配包括进行两两匹配在内的多个关键词进行匹配,使组合匹配可以遍历前述组合匹配后的关键词。
优选的,所述态势感知系统能够采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于态势感知系统对用户的访问路径进行跟踪。
优选的,对所述网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
在进行数据监控时,所述态势感知系统同时可以对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
在触发告警时,所述告警会显示针对触发告警的网络节点的端口信息,同时,对其他未触发告警的网络节点的端口的执行操作进行监控,能够确保网络安全的实时布控,使前述端口和/或IP网段在未触发告警时保持与其他网络节点的正常通信和稳定运行。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种基于态势感知的AI验证装置200,其特征在于包括结构:
信息采集单元201,用于采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;
信息提取单元202,用于对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元;
信息组合单元203,用于基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;
信息判断单元204,用于判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
一种基于态势感知的AI验证系统300,其特征在于包括:
网络节点301,用于收发数据;
态势感知系统302,定期检测出现过告警的网络节点301,将前述网络节点的日志信息进行安全分析;
系统服务器303,所述系统服务器303连接网络节点301和态势感知系统302;
所述系统服务器303被配置为:
采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;
对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元;
基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;
判断前述态势感知关键词是否与前述态势感知信息匹配;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (9)
1.一种基于态势感知的AI验证方法,其特征在于该方法包括步骤,
采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;
对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元;其中,所述告警关键词是从告警等级、告警对象和告警原因属性类型对应的信息中提取的关键词;所述威胁情报关键词是从威胁类型、威胁名称、威胁等级、威胁对象和目标主机属性类型对应的信息中提取的关键词;所述网络节点的日志关键词是从时间、事件、节点名称、节点端口和节点IP属性类型对应的信息中提取的关键词;针对前述告警关键词、威胁情报关键词,以及与前述网络节点的日志关键词,统计上述关键词的搜索次数和搜索路径,分别设置基于AI搜索树的关键词搜索标签和关键词搜索路径标签;
基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;所述态势感知关键词集合是指经前述预设的AI搜索树组合前述告警关键词、威胁情报关键词,以及网络节点的日志关键词后,得到的态势感知关键词的集合;所述态势感知关键词均是前述态势感知关键词集合中不可拆分的最小单元;
判断前述态势感知关键词是否与前述态势感知信息匹配;在判断所述态势感知关键词匹配态势感知信息时,根据所述态势感知关键词与前述态势感知信息中属性类型对应的具体信息进行匹配;其中,所述态势感知信息的属性类型包括攻击来源、攻击对象、攻击IP、请求类型、被攻击URL和攻击UserAgent;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
2.根据权利要求1所述的方法,其特征在于:所述告警信息包括前述网络节点故障时,所述网络节点进行告警的根源告警信息和衍生告警信息。
3.根据权利要求1所述的方法,其特征在于:所述告警包括紧急告警和非紧急告警;
判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;
和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
4.根据权利要求1所述的方法,其特征在于:对前述采集的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
5.根据权利要求1所述的方法,其特征在于:所述态势感知关键词与前述态势感知信息的匹配包括逐一匹配和组合匹配。
6.根据权利要求1所述的方法,其特征在于:所述态势感知系统采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
7.根据权利要求1所述的方法,其特征在于:对所述网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
8.一种基于态势感知的AI验证装置,其特征在于包括结构:
信息采集单元,用于采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;
信息提取单元,用于对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元;其中,所述告警关键词是从告警等级、告警对象和告警原因属性类型对应的信息中提取的关键词;所述威胁情报关键词是从威胁类型、威胁名称、威胁等级、威胁对象和目标主机属性类型对应的信息中提取的关键词;所述网络节点的日志关键词是从时间、事件、节点名称、节点端口和节点IP属性类型对应的信息中提取的关键词;针对前述告警关键词、威胁情报关键词,以及与前述网络节点的日志关键词,统计上述关键词的搜索次数和搜索路径,分别设置基于AI搜索树的关键词搜索标签和关键词搜索路径标签;
信息组合单元,用于基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;所述态势感知关键词集合是指经前述预设的AI搜索树组合前述告警关键词、威胁情报关键词,以及网络节点的日志关键词后,得到的态势感知关键词的集合;所述态势感知关键词均是前述态势感知关键词集合中不可拆分的最小单元;
信息判断单元,用于判断前述态势感知关键词是否与前述态势感知信息匹配;在判断所述态势感知关键词匹配态势感知信息时,根据所述态势感知关键词与前述态势感知信息中属性类型对应的具体信息进行匹配;其中,所述态势感知信息的属性类型包括攻击来源、攻击对象、攻击IP、请求类型、被攻击URL和攻击UserAgent;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
9.一种基于态势感知的AI验证系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:
采集告警事件发生之前态势感知系统给出的态势感知信息,以及采集告警事件发生时网络系统的告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息;
对前述告警信息、威胁情报信息,以及与前述告警信息相关的网络节点的日志信息,分别提取告警关键词、威胁情报关键词,以及网络节点的日志关键词,上述关键词均是不可拆分的最小单元;其中,所述告警关键词是从告警等级、告警对象和告警原因属性类型对应的信息中提取的关键词;所述威胁情报关键词是从威胁类型、威胁名称、威胁等级、威胁对象和目标主机属性类型对应的信息中提取的关键词;所述网络节点的日志关键词是从时间、事件、节点名称、节点端口和节点IP属性类型对应的信息中提取的关键词;针对前述告警关键词、威胁情报关键词,以及与前述网络节点的日志关键词,统计上述关键词的搜索次数和搜索路径,分别设置基于AI搜索树的关键词搜索标签和关键词搜索路径标签;
基于预设的AI搜索树组合上述关键词,得到态势感知关键词集合;所述态势感知关键词集合中包括所有基于预设的AI搜索树获得的态势感知关键词;所述态势感知关键词集合是指经前述预设的AI搜索树组合前述告警关键词、威胁情报关键词,以及网络节点的日志关键词后,得到的态势感知关键词的集合;所述态势感知关键词均是前述态势感知关键词集合中不可拆分的最小单元;
判断前述态势感知关键词是否与前述态势感知信息匹配;在判断所述态势感知关键词匹配态势感知信息时,根据所述态势感知关键词与前述态势感知信息中属性类型对应的具体信息进行匹配;其中,所述态势感知信息的属性类型包括攻击来源、攻击对象、攻击IP、请求类型、被攻击URL和攻击UserAgent;判定不匹配时,根据前述态势感知关键词对前述态势感知信息进行调整,并对应前述告警事件存储到态势感知系统中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111072439.1A CN114006719B (zh) | 2021-09-14 | 2021-09-14 | 基于态势感知的ai验证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111072439.1A CN114006719B (zh) | 2021-09-14 | 2021-09-14 | 基于态势感知的ai验证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114006719A CN114006719A (zh) | 2022-02-01 |
| CN114006719B true CN114006719B (zh) | 2023-10-13 |
Family
ID=79921318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111072439.1A Active CN114006719B (zh) | 2021-09-14 | 2021-09-14 | 基于态势感知的ai验证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114006719B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296979B (zh) * | 2022-08-01 | 2024-03-08 | 中国农业银行股份有限公司 | 一种故障处理方法、装置、设备及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
| CN104050187A (zh) * | 2013-03-14 | 2014-09-17 | 阿里巴巴集团控股有限公司 | 搜索结果展示方法及系统 |
| CN104333483A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
| CN106503265A (zh) * | 2016-11-30 | 2017-03-15 | 北京赛迈特锐医疗科技有限公司 | 基于权值的结构化搜索系统及其搜索方法 |
| CN106973039A (zh) * | 2017-02-28 | 2017-07-21 | 国家电网公司 | 一种基于信息融合技术的网络安全态势感知模型训练方法和装置 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN108418841A (zh) * | 2018-05-18 | 2018-08-17 | 广西电网有限责任公司 | 基于ai的下一代关键信息基础设施网络安全态势感知系统 |
| CN109636012A (zh) * | 2018-11-26 | 2019-04-16 | 西南电子技术研究所(中国电子科技集团公司第十研究所) | 智能判证预测事件发生的处理系统 |
| CN110262913A (zh) * | 2019-05-13 | 2019-09-20 | 平安科技(深圳)有限公司 | 预警有效性分析方法、装置、计算机设备及存储介质 |
| CN110389594A (zh) * | 2018-04-19 | 2019-10-29 | 极光飞行科学公司 | 自适应自主系统架构 |
| CN112637193A (zh) * | 2020-12-21 | 2021-04-09 | 江苏省未来网络创新研究院 | 基于sdn的工业互联网安全态势感知系统 |
| CN112995161A (zh) * | 2021-02-09 | 2021-06-18 | 王先峰 | 一种基于人工智能的网络安全态势预测系统 |
| CN113098827A (zh) * | 2019-12-23 | 2021-07-09 | 中国移动通信集团辽宁有限公司 | 基于态势感知的网络安全预警方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083019A (zh) * | 2006-12-31 | 2007-12-05 | 中国人民解放军63791部队 | 基于空间态势感知的快速评估系统 |
| US10366229B2 (en) * | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
| CN107659583B (zh) * | 2017-10-27 | 2020-08-04 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
| CN112035688B (zh) * | 2019-06-04 | 2022-12-13 | 中移(苏州)软件技术有限公司 | 资源搜索方法及装置、搜索设备及存储介质 |
-
2021
- 2021-09-14 CN CN202111072439.1A patent/CN114006719B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104050187A (zh) * | 2013-03-14 | 2014-09-17 | 阿里巴巴集团控股有限公司 | 搜索结果展示方法及系统 |
| CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
| CN104333483A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
| CN106503265A (zh) * | 2016-11-30 | 2017-03-15 | 北京赛迈特锐医疗科技有限公司 | 基于权值的结构化搜索系统及其搜索方法 |
| CN106973039A (zh) * | 2017-02-28 | 2017-07-21 | 国家电网公司 | 一种基于信息融合技术的网络安全态势感知模型训练方法和装置 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN110389594A (zh) * | 2018-04-19 | 2019-10-29 | 极光飞行科学公司 | 自适应自主系统架构 |
| CN108418841A (zh) * | 2018-05-18 | 2018-08-17 | 广西电网有限责任公司 | 基于ai的下一代关键信息基础设施网络安全态势感知系统 |
| CN109636012A (zh) * | 2018-11-26 | 2019-04-16 | 西南电子技术研究所(中国电子科技集团公司第十研究所) | 智能判证预测事件发生的处理系统 |
| CN110262913A (zh) * | 2019-05-13 | 2019-09-20 | 平安科技(深圳)有限公司 | 预警有效性分析方法、装置、计算机设备及存储介质 |
| CN113098827A (zh) * | 2019-12-23 | 2021-07-09 | 中国移动通信集团辽宁有限公司 | 基于态势感知的网络安全预警方法及装置 |
| CN112637193A (zh) * | 2020-12-21 | 2021-04-09 | 江苏省未来网络创新研究院 | 基于sdn的工业互联网安全态势感知系统 |
| CN112995161A (zh) * | 2021-02-09 | 2021-06-18 | 王先峰 | 一种基于人工智能的网络安全态势预测系统 |
Non-Patent Citations (1)
| Title |
|---|
| 沈一民.基于人工智能代理的电力负荷态势感知及调控方法研究.《电子设计工程》.2021,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114006719A (zh) | 2022-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2040435B1 (en) | Intrusion detection method and system | |
| Perdisci et al. | Alarm clustering for intrusion detection systems in computer networks | |
| US8813220B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| US9369484B1 (en) | Dynamic security hardening of security critical functions | |
| IL262866A (en) | Automated investigation of computer systems through behavioral intelligence | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| US20190121969A1 (en) | Graph Model for Alert Interpretation in Enterprise Security System | |
| CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
| CN114567463A (zh) | 一种工业网络信息安全监测与防护系统 | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| CN114124516A (zh) | 态势感知预测方法、装置及系统 | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| CN114006722A (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN113904920B (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| CN114301796A (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| CN114006802B (zh) | 失陷设备的态势感知预测方法、装置及系统 | |
| CN114006720B (zh) | 网络安全态势感知方法、装置及系统 | |
| Kushwah et al. | An approach to meta-alert generation for anomalous tcp traffic | |
| Tomar | An Approach to Meta-Alert Generation for Anomalous TCP Traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |