CN114006726A - 基于关联图的异常分析方法及装置 - Google Patents

基于关联图的异常分析方法及装置 Download PDF

Info

Publication number
CN114006726A
CN114006726A CN202111137284.5A CN202111137284A CN114006726A CN 114006726 A CN114006726 A CN 114006726A CN 202111137284 A CN202111137284 A CN 202111137284A CN 114006726 A CN114006726 A CN 114006726A
Authority
CN
China
Prior art keywords
association
node
aggregation
exception
historical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111137284.5A
Other languages
English (en)
Other versions
CN114006726B (zh
Inventor
周博雅
万海
焦伟
严人宁
王兆阳
赵曦滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Bond Jinke Information Technology Co ltd
Tsinghua University
Original Assignee
China Bond Jinke Information Technology Co ltd
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Bond Jinke Information Technology Co ltd, Tsinghua University filed Critical China Bond Jinke Information Technology Co ltd
Priority to CN202111137284.5A priority Critical patent/CN114006726B/zh
Publication of CN114006726A publication Critical patent/CN114006726A/zh
Application granted granted Critical
Publication of CN114006726B publication Critical patent/CN114006726B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/041Abduction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供的一种基于关联图的异常分析方法及装置,通过获取不同厂家不同设备的聚合异常;根据历史聚合异常生成关联表;根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的当前关联图;在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;将预设数量个威胁路径合并生成威胁图发送至服务器。可以辅助安全人员辨别攻击场景。由于本发明根据聚合异常之间的关联生成关联表,并结合网络拓扑图构建当前关联图,从而解决复杂关联导致分析不准确的问题,同时按照威胁程度选择威胁路径组成威胁图进行分析,提高分析复杂关联异常的准确度。

Description

基于关联图的异常分析方法及装置
技术领域
本发明涉及数据识别技术领域,具体而言,涉及一种基于关联图的异常分析方法及装置。
背景技术
随着网络技术的发展,在网络攻击发生时,系统会产生大量的异常。在系统流量方面,会产生流量分析相关的异常,在系统应用方面,会产生应用日志异常,在系统本身的运行方面,会产生系统审计日志异常。对异常数据的识别是维护网络安全的必要手段,而大多数异常数据存在关联,需要对异常数据关联后进行评估分析确定异常。
在现有技术中,通过将多个厂家的不同设备产生的异常进行聚合,获得聚合异常,将不同维度的安全信息存储在单独的关系数据库中,根据安全信息对聚合异常行异常分析。由于各个维度之间的协调能力差,无法进行实时,准确的分析。另一种关联方法通过将异常按照规则关系,该方法需要依靠专家知识来构建,其效率以及准确度较低。在异常评估体系的应用方面,由于企业异常数据量大、异常关联复杂,现有的异常评估体系基于单一的分析体系,其分析聚合异常的准确性不高。
发明内容
本发明提供的一种基于关联图的异常分析方法及装置,用以克服现有技术中存在的至少一个技术问题。
第一方面,本发明提供的一种基于关联图的异常分析方法包括:
获取不同厂家不同设备的聚合异常;
其中,所述聚合异常包括历史聚合异常以及当前聚合异常;
根据历史聚合异常生成关联表;
其中,所述关联表中存储每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常需要满足的属性约束;
根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的当前关联图;
其中,所述当前关联图包括多个节点,每个节点携带节点属性,每个节点与其父节点以及子节点存在关联边,每个关联边携带关联边属性,所述节点属性包括:同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离,所述关联边属性包括:关联边的父节点、子节点、节点的关联分数;
在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;
将预设数量个威胁路径合并生成威胁图发送至服务器。
可选的,所述根据历史聚合异常生成关联表包括:
计算每一个历史聚合异常的前置聚合异常发生后,该历史聚合异常的约束属性取值在其每一个前置聚合异常的约束属性的值域范围内,该历史聚合异常的发生概率;
针对每一个历史聚合异常,选择发生概率最大对应的前置聚合异常,作为与历史聚合异常相关联的历史聚合异常;
将每个历史聚合异常、每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常满足的约束属性、历史聚合异常之间的关联关系构成关联表。
可选的,所述根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的关联图包括:
根据所述关联表构建历史聚合异常的第一关联图;
在所述第一关联图中确定是否存在,与所述当前聚合异常类型对应的节点;
如果存在与所述当前聚合异常类型对应的节点,更新该节点的节点属性;
如果不存在与所述当前聚合异常类型对应的节点,则根据在网络上每个历史聚合异常对应的设备网络拓扑图在所述关联图中创建新节点;
确定与新节点关联的父节点,将新节点与父节点关联获得第二关联图;
将所述第二关联图,确定为所述当前关联图。
可选的,所述根据所述关联表构建历史聚合异常的第一关联图包括:
选择每个关联表中的每个历史聚合异常对应的节点;
根据历史聚合异常之间的关联关系,将节点之间相连,形成第一关联图。
可选的,在根据历史聚合异常之间的关联关系,将节点之间相连,形成第一关联图之后,所述异常分析方法还包括:
将同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离作为节点属性;
将节点之间的连接边作为关联边,将关联边的父节点、子节点、节点的关联分数作为关联边属性。
可选的,所述如果存在与所述当前聚合异常类型对应的节点,更新该节点的节点属性包括:
如果存在与所述当前聚合异常类型对应的节点,则将当前聚合异常的ID存储至该节点的节点属性中;
在节点属性中,为当前聚合异常建立与第一关联关系相同的第二关联关系;
其中,第一关联关系为与当前聚合异常类型相同的历史聚合异常,与其关联的目标历史聚合异常之间的关联关系,第二关联关系为当前聚合异常与目标历史聚合异常之间的关联关系;
更新所述节点属性。
可选的,所述如果不存在与所述当前聚合异常类型对应的节点,则根据在网络上每个历史聚合异常对应的设备网络拓扑图在所述关联图中创建新节点包括:
如果不存在与所述当前聚合异常类型对应的节点,在所述关联图中创建新节点;
根据当前异常聚合在所述关联表中的相似属性集,计算当前聚合异常与所述关联图中每个节点对应的历史聚合异常的关联表概率;
根据网络上每个历史聚合异常对应的网络设备,建立网络拓扑图;
计算网络拓扑图中每个网络设备与当前聚合异常的拓扑距离;
根据所述拓扑距离以及关联表概率,计算所述关联图中每个节点与所述当前聚合异常的关联分数;
如果所述关联分数达到关联阈值或所述关联分数为最高分数,则将所述新节点与达到关联阈值或最高分数对应的节点关联。
可选的,所述在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径包括:
在所述当前关联图中,计算每一个节点的稳定程度;
根据每一个节点的稳定程度,在所述当前关联图中确定从起始节点到末尾节点形成的每条威胁路径;
根据每个节点的稳定程度,计算每条威胁路径的威胁程度;
将每条威胁路径按照威胁程度从大到小进行排序,选择前预设数量个威胁路径。
可选的,所述将预设数量个威胁路径合并生成威胁图发送至服务器包括:
将预设数量个威胁路径中相同的节点合并;
将预设数量个威胁路径中存在的重复连接关系进行合并,生成威胁图发送至服务器。
第二方面,本发明提供的一种基于关联图的异常分析装置包括:
获取模块,用于获取不同厂家不同设备的聚合异常;
其中,所述聚合异常包括历史聚合异常以及当前聚合异常;
生成模块,用于根据历史聚合异常生成关联表;
其中,所述关联表中存储每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常需要满足的属性约束;
构建模块,用于根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的当前关联图;
其中,所述当前关联图包括多个节点,每个节点携带节点属性,每个节点与其父节点以及子节点存在关联边,每个关联边携带关联边属性,所述节点属性包括:同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离,所述关联边属性包括:关联边的父节点、子节点、节点的关联分数;
选择模块,用于在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;
合并模块,用于将预设数量个威胁路径合并生成威胁图发送至服务器。
本发明提供的一种基于关联图的异常分析方法及装置,通过获取不同厂家不同设备的聚合异常;根据历史聚合异常生成关联表;根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的当前关联图;在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;将预设数量个威胁路径合并生成威胁图发送至服务器。可以辅助安全人员辨别攻击场景。由于本发明根据聚合异常之间的关联生成关联表,并结合网络拓扑图构建当前关联图,从而解决复杂关联导致分析不准确的问题,同时按照威胁程度选择威胁路径组成威胁图进行分析,提高分析复杂关联异常的准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的基于关联图的异常分析方法的处理流程示意图;
图2为本发明的异常分析方法的阶段过程框架图;
图3本发明聚合异常在当前关联图中的关联流程图;
图4本发明的当前异常聚合在关联图的过程示意图;
图5本发明生成威胁图的流程示意图;
图6本发明的基于关联图的异常分析装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例及附图中的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例公开了基于关联图的异常分析方法及装置。以下分别进行详细说明。
本发明提出了一种基于关联图的异常分析方法,参考图1,图1为本发明的基于关联图的异常分析方法的处理流程示意图。如图1所示,一种基于关联图的异常分析方法包括如下步骤:
S1,获取不同厂家不同设备的聚合异常;
其中,聚合异常包括历史聚合异常以及当前聚合异常;
参考图2,在对所有异常进行聚合操作后,需要进行异常分析。本发明的异常分析流程如图2所示。在一段时间内,所有被更新的聚合异常都需要进行异常分析,并成为关联图的一个节点。在添加进关联图之后,聚合异常本身的威胁程度会沿着相关路径传播,更新所在路径的威胁程度,其中威胁最大的一些路径则会成为威胁图。异常分析报告会描述聚合异常本身的威胁程度,以及与之关联的威胁图。异常分析阶段主要涉及三方面的数据。首先是历史聚合异常,所有的聚合异常都会被存入历史聚合异常数据库,用于异常关联表的构造。异常关联表被用来进行异常关联分析,记录了每种类型异常与其他类型异常的数据关联关系,以及为达到关联条件需要满足的属性约束。网络拓扑图记录了网络入侵在网络设备结构上的拓扑关系,在复杂的网络系统中,虽然无法预知攻击者入侵的具体顺序,但网络和业务的连通情况、漏洞的关联情况往往是可知的,这些可预期的结构信息可辅助算法进行关联分析。异常分析阶段包含三个过程,分别是关联准备阶段、在线关联阶段、在线分析阶段。关联准备阶段根据历史聚合异常生成异常关联表,并录入网络拓扑图信息;在线关联阶段根据异常关联表和网络拓扑信息在线关联异常;在线分析阶段根据关联图评判威胁程度,并生成威胁路径。
S2,根据历史聚合异常生成关联表;
其中,关联表中存储每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常需要满足的属性约束;
S4,在当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;
S5,将预设数量个威胁路径合并生成威胁图发送至服务器。
(1)关联准备阶段
在关联准备阶段,算法需要根据历史聚合数据生成关联表。在持续到达的异常中,反映出的攻击模式可以分为已知模式和未知模式。对于已知模式,可以通过历史异常出现的规律来推测即将发生的异常,因此从历史异常中,关联表至少需要总结出以下两类信息:
1.异常类型之间的关联关系:在异常A发生的情况下,异常B发生的概率是多少,该发生概率可以利用已知的先验知识,可以计算异常B发生的后验概率;
2.与关联关系相关的属性:只从异常类型本身来判断关联关系是粗糙的,只有特定的属性满足属性约束,这样的关联关系才可以被计算。
此外,在关联准备阶段,安全人员还可以录入可能的网络拓扑信息。尽管这是一个可选的内容,但能在一定程度上提升异常关联的准确性。
(2)在线关联阶段在线关联阶段根据已知的关联表和网络拓扑生成关联图。在当前异常到达时,算法会根据关联表比对已有节点类型与当前异常类型的关联概率,并计算关联节点与当前异常节点的属性匹配情况,得出关联表的计算结果。此外,算法会参考网络结构图,给出网络结构图中节点距离的评分,最终根据关联表结果和结构图结果共同决定关联节点。
(3)在线分析阶段
异常被加入关联图后,异常分析算法需要计算异常带来的影响和威胁。
异常分析主要会从两个方面来评估威胁,包括:
1.异常本身的威胁程度:包括异常发生的概率、异常所处的攻击阶段与异常对应的风险等级。如果异常发生概率越低,那么算法认为该异常的威胁程度越高;
2.异常相关路径的威胁程度:异常被加入到路径后,其影响会随着路径传播。
S3,根据关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含当前聚合异常的当前关联图;
其中,当前关联图包括多个节点,每个节点携带节点属性,每个节点与其父节点以及子节点存在关联边,每个关联边携带关联边属性,节点属性包括:同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离,关联边属性包括:关联边的父节点、子节点、节点的关联分数;
在一段时间内,路径的节点被更新的频率是不一样的,每个节点的威胁程度也有很大差异,路径上所有节点的威胁程度与路径的更新频率共同决定了路径的威胁程度。算法会选择当前异常节点最具威胁的k个路径,并合并为威胁图。
本发明提供的一种基于关联图的异常分析方法,通过获取不同厂家不同设备的聚合异常;根据历史聚合异常生成关联表;根据关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含当前聚合异常的当前关联图;在当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;将预设数量个威胁路径合并生成威胁图发送至服务器。可以辅助安全人员辨别攻击场景。由于本发明根据聚合异常之间的关联生成关联表,并结合网络拓扑图构建当前关联图,从而解决复杂关联导致分析不准确的问题,同时按照威胁程度选择威胁路径组成威胁图进行分析,提高分析复杂关联异常的准确度。
作为本发明一种可选的实施方式,根据历史聚合异常生成关联表包括:
步骤a:计算每一个历史聚合异常的前置聚合异常发生后,该历史聚合异常的约束属性取值在其每一个前置聚合异常的约束属性的值域范围内,该历史聚合异常的发生概率;
在关联准备阶段,算法需要根据历史聚合数据生成关联表。根据贝叶斯推断的思想,当前事件发生的后验概率与先验概率和似然函数相关,相关的表达式为:
Figure BDA0003282788950000111
其中P(A)为先验概率,
Figure BDA0003282788950000112
可以解释为B对A的概率的影响。在已知先验概率的前提下,贝叶斯推断可以利用贝叶斯定理和新的条件证据来更新后验概率。在异常关联过程中,算法需要根据已有的异常节点推断后续节点发生的概率,并将已有节点与后续发生的节点关联起来。
因此,对于异常类型t1和t2,只要提前计算P(t2|t1),就能在异常t1发生时估算t2发生的概率,如果P(t2|t1)是所有可能性中最大的,且t2类型的异常确实发生了,那么算法就会将t2类型的异常关联在t1类型的异常之后。生了,那么算法就会将t2类型的异常关联在t1类型的异常之后。
为了提高异常关联的准确度,算法不仅应该考虑异常类型的影响,还应该考虑异常其他属性的影响。记在历史数据中类型t1的聚合异常集合为Ut1,类型t2的聚合异常集合为
Figure BDA00032827889500001110
那么为了计算t1和t2的关联程度,算法需要计算在t1发生后,且
Figure BDA0003282788950000116
的属性a的取值
Figure BDA0003282788950000117
Figure BDA0003282788950000118
的属性a的值域
Figure BDA0003282788950000119
的范围内的情况下,类型t2的聚合异常发生的概率。具体可以表示为:
Figure BDA0003282788950000115
因此,通过历史数据和式(3),就可以计算出该后验概率,用于后续的异常关联过程。
Figure BDA0003282788950000113
在此过程中涉及三类概率,分别是:
·P(t2)是异常类型t2的先验概率,表示历史数据中t2类型的异常本身的发生概率,可以从历史数据中直接得到;
·
Figure BDA0003282788950000114
表示具有特定属性的类型t1的发生概率,除了类型t1的发生条件之外,还需要满足类型t1的异常的属性a是特定值,这个特定值的要求是在类型t2的异常属性a的值域内;
Figure BDA0003282788950000121
表示在特定属性的类型t1发生的时间窗口内t2也发生的概率。这个时间窗口越小,分析的时间就越短,对系统的性能要求也越小。时间窗口越大,分析的时间就越长,对系统的性能和配置要求也越高。
步骤b:针对每一个历史聚合异常,选择发生概率最大对应的前置聚合异常,作为与历史聚合异常相关联的历史聚合异常;
步骤c:将每个历史聚合异常、每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常满足的约束属性、历史聚合异常之间的关联关系构成关联表。
本发明首先计算t2类型的属性值域,再计算满足特定属性要求的t1类型异常数量,最后计算在此基础上t2类型在t1类型发生后的窗口时间内发生的概率,从而得到t1类型与t2类型的关联概率(发生概率)。在计算过程中,属性a可以通过人工定义。例如在负载均衡存在的情况下,同一源IP在扫描服务器A之后可能会展开对服务器B的漏洞利用攻击。在这种场景下,只有攻击源IP相同,才可以对两种不同类型的异常进行关联。
属性自动选择的思路是检测t1类型异常的发生情况对于t2类型异常发生情况的影响,具体来讲:
·如果
Figure BDA0003282788950000122
这种情况下,类型为t1的特定属性异常的发生不影响类型t2的发生,因此属性a对于异常关联是不相关的;
·如果
Figure BDA0003282788950000123
这种情况下,属性a对于t2类型异常的发生是正相关的;
·如果
Figure BDA0003282788950000124
这种情况下,属性a对于t2类型异常的发生是正相关的,且相关性较强。在本发明中不对强相关属性和正相关属性进行明确区分,因此直接选择相关属性。
表1异常关联表的数据模型定义
Figure BDA0003282788950000131
结合关联分析算法和属性选择算法,可以计算出异常类型两两之间的关联表,关联表的数据结构如表1所示。其中alert1与alert2代表两种类型的异常,alert2在alert1发生后的窗口时间内发生,而score代表这件事的发生概率,fields表示计算关联时两种异常需要满足的属性约束。在一些情况下,攻击者使用了历史数据无法概括、未知的攻击方式,这时还需从网络拓扑结构上考虑异常关联。因此,算法需要在准备阶段把网络拓扑结构录入到图数据库,包括:
·拓扑节点:节点代表网络上的一台设备节点,异常的源地址或目的地址会与该节点的描述符进行匹配;
·节点关系:节点关系描述了网络节点的关联关系,每个节点关系都包含父节点与子节点,节点关系是有向的。
作为本发明一种可选的实施方式,根据关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含当前聚合异常的关联图包括:
步骤a:根据关联表构建历史聚合异常的第一关联图;
作为本发明一种可选的实施方式,根据关联表构建历史聚合异常的第一关联图包括:
步骤a1:选择每个关联表中的每个历史聚合异常对应的节点;
步骤a2:根据历史聚合异常之间的关联关系,将节点之间相连,形成第一关联图。
在线关联阶段根据已知的异常关联表和网络拓扑生成关联图。在当前异常到达时,算法会根据关联表比对已有节点类型与当前异常类型的关联概率,并计算关联节点与当前异常节点的属性匹配情况,得出关联表的计算结果。此外,算法会参考网络结构图,给出网络结构图中节点距离的评分,最终根据关联表结果和结构图结果共同决定关联节点。如图3所示,算法在开始关联异常之前,首先会检查关联图中是否已有相同异常。算法获取最近一段时间内更新的聚合异常进行在线关联,关联阈值根据专家经验设置,并在后续实验中根据特定场景确定适当的阈值。对于已存在的异常节点,本发明直接更新异常节点属性,并跳过关联过程。
步骤b:在第一关联图中确定是否存在,与当前聚合异常类型对应的节点;
步骤c:如果存在与当前聚合异常类型对应的节点,更新该节点的节点属性;
步骤d:如果不存在与当前聚合异常类型对应的节点,则根据在网络上每个历史聚合异常对应的设备网络拓扑图在关联图中创建新节点;
随后,若关联图中没有已创建的相同节点,算法则会创建新的节点。关联图中的异常节点会添加以下属性,如表2所示。其中extraId为原有聚合异常的ID,通过该字段可以验证关联图中的节点与当前节点是否代表同一个聚合异常,若为同一个异常,则无需关联,只需要更新属性值即可。
表2异常关联节点添加属性
Figure BDA0003282788950000141
Figure BDA0003282788950000151
步骤e:确定与新节点关联的父节点,将新节点与父节点关联获得第二关联图;
步骤f:将第二关联图,确定为当前关联图。
作为本发明一种可选的实施方式,在根据历史聚合异常之间的关联关系,将节点之间相连,形成第一关联图之后,异常分析方法还包括:
步骤a:将同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离作为节点属性;
步骤b:将节点之间的连接边作为关联边,将关联边的父节点、子节点、节点的关联分数作为关联边属性。
作为本发明一种可选的实施方式,如果存在与当前聚合异常类型对应的节点,更新该节点的节点属性包括:
步骤a:如果存在与当前聚合异常类型对应的节点,则将当前聚合异常的ID存储至该节点的节点属性中;
步骤b:在节点属性中,为当前聚合异常建立与第一关联关系相同的第二关联关系;
其中,第一关联关系为与当前聚合异常类型相同的历史聚合异常,与其关联的目标历史聚合异常之间的关联关系,第二关联关系为当前聚合异常与目标历史聚合异常之间的关联关系;
步骤c:更新节点属性。
作为本发明一种可选的实施方式,如果不存在与当前聚合异常类型对应的节点,则根据在网络上每个历史聚合异常对应的设备网络拓扑图在关联图中创建新节点包括:
步骤a:如果不存在与当前聚合异常类型对应的节点,在关联图中创建新节点;
在创建节点后,算法需要决定将当前节点关联到哪些节点之后。异常关联不局限于将当前节点关联到有限的一个关联图节点之后,而是在所有的可能关联节点后都添加关联关系,等待后续的异常分析。添加关联关系的判断依据则是关联分数,它由两个部分组成,分别是关联表概率和拓扑图距离。
步骤a:根据当前异常聚合在关联表中的相似属性集,计算当前聚合异常与关联图中每个节点对应的历史聚合异常的关联表概率;
在关联准备阶段,系统计算了两种类型的关联表条目。记关联图节点为A,类型为ta,当前异常为B,类型为tb,异常的属性集为T,记类型ta与类型tb的关联表条目为Corab,则关联表概率为:
Figure BDA0003282788950000161
其中Tab代表关联图节点A与异常B的相似属性集合,可以表示为:
Tab={t|It(A)=It(B),t∈Corab[fields]} (5)
步骤b:根据网络上每个历史聚合异常对应的网络设备,建立网络拓扑图;
步骤c:计算网络拓扑图中每个网络设备与当前聚合异常的拓扑距离;
拓扑距离表示关联图节点A与异常B在关联图中的紧密连接程度。从直观上来看,关联图节点A与异常B的紧密程度就是拓扑图中所有从关联节点A对应的网络设备到异常B对应的网络设备的路径长度的最小值,记A的目的设备为DA,B的目的设备为DB,那么拓扑距离评分为:
Figure BDA0003282788950000171
然而,对于网络拓扑的紧密程度,只看一个节点来评判是不准确的,而是应该判断节点路径整体的紧密程度,若关联图节点A的父节点集合为C={C1,C2,…,Cn},那么关联图节点A的前置拓扑紧密程度为:
Figure BDA0003282788950000172
结合关联图节点A到异常B的拓扑距离与节点A自身的紧密程度,最终的拓扑图距离可以定义为:
Figure BDA0003282788950000173
步骤d:根据拓扑距离以及关联表概率,计算关联图中每个节点与当前聚合异常的关联分数;
从上述分析可以看出,式(4.)主要描述历史数据的关联概率,主要用于对常见和已知的异常进行关联分析,而式(8)主要描述网络拓扑的联系紧密程度,主要用于对不常见的和未知的异常进行尝试关联,由于异常之间不可能同时已知和未知,所以可以均衡不同的评价方式在最终关联分数中的权重,最终关联分数可以表示为:
S=β×Scor+(1-β)×Sdis (9)
其中,β为调节参数。
步骤e:如果关联分数达到关联阈值或关联分数为最高分数,则将新节点与达到关联阈值或最高分数对应的节点关联。
若关联分数达到阈值或关联分数为所有可能关联节点中最高的分数,那么系统会在关联图节点A与异常B创建的关联图节点之间创建一条关联边,关联边的属性包括:
表3异常关联图中的关联边属性
Figure BDA0003282788950000181
在创建关联边后,关联边不会被立即添加到图数据库中,而是被添加进以关联分数为排序因子的优先级队列中,在所有可能的关联边都被创建后,系统会从优先级队列中提取最高分数的部分关联边,通过异步任务以批处理任务的方式同步到图数据库中。与此同时,异常B创建的关联图节点也会被添加进关联图中,并加入到异常节点队列的尾部,当队列扩展到一定程度时,算法将队列的前一半异常节点全部弹出,以控制算法的内存占用和关联边的计算时间。在线关联阶段的完整流程,其中涉及到三个参数,分别是关联边的最小分数tresold,单个异常最多可以关联的节点数k,以及系统维护的最大节点列表长度max。通过调节tresold,可以减少无意义的异常关联,设置异常关联分数的下限,而通过调整k和max可以限制每个异常添加时需要创建的关联边的个数,以及每个异常需要尝试关联的节点列表长度,根据硬件配置情况减轻内存和计算负担。
作为本发明一种可选的实施方式,在当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径包括:
步骤a:在当前关联图中,计算每一个节点的稳定程度;
步骤b:根据每一个节点的稳定程度,在当前关联图中确定从起始节点到末尾节点形成的每条威胁路径;
步骤c:根据每个节点的稳定程度,计算每条威胁路径的威胁程度;
步骤d:将每条威胁路径按照威胁程度从大到小进行排序,选择前预设数量个威胁路径。
异常被加入关联图后,异常分析算法需要计算异常带来的影响和威胁。异常分析主要会从两个方面来评估威胁,包括:
·异常本身的威胁程度:包括异常发生的概率、异常所处的攻击阶段与异常对应的风险等级。如果异常发生概率越低,那么算法认为该异常的威胁程度越高;
·异常相关路径的威胁程度:异常被加入到路径后,其影响会随着路径传播。在一段时间内,路径的节点被更新的频率是不一样的,每个节点的威胁程度也有很大差异,路径上所有节点的威胁程度与路径的更新频率共同决定了路径的威胁程度。算法会选择当前异常节点最具威胁的k个路径,并合并为威胁图。
图4展示了异常分析阶段的流程。异常被加入关联图后,异常分析算法需要遍历该异常涉及到的所有路径,这种遍历通常可以是利用深度优先算法遍历与其相关的所有关联节点。对于每一条路径,算法都会计算路径的异常程度。在本发明中,算法认为一个异常的影响会在一条路径中传播,这种传播不仅仅是异常本身的威胁程度改变了路径整体的异常评分,还在于异常的加入带来路径节点边的数量的改变。在一段时间窗口内,异常的持续加入会改变一条路径上各个节点的出度和入度,影响路径节点的稳定性,这种稳定性同样也会影响异常路径整体的威胁程度。然而,路径无法具体展现一次攻击的全貌,攻击的某一阶段可能是多点散发的,单一的路径只能局限于线性的攻击流程。因此,算法提取出最具有威胁的k条路径,并尝试通过k条路径合并为威胁分析图。与此同时,若单条路径的威胁程度超出告警阈值,系统也需要发出告警,提示威胁信息。
在异常加入关联图之后,系统需要对异常的威胁程度进行分析。在关联图的准备过程中,算法计算了不同类型的先验概率P(B)。异常发生的频率一方面可以用来进行异常关联,另一方面也可以用来分析异常带来的威胁。在实际工业环境中,系统每时每刻都在遭受大量的攻击,产生大量的异常信息,然而实际造成危害事件的攻击却非常少。因此,在系统发生较为罕见的异常时,更应该提高警惕,这样的异常可能具有更高的威胁程度。另一方面,网络安全设备也会根据异常类型和匹配的异常规则对异常信息威胁评分,这种评分被细化到五个等级:可疑、轻微、中等、严重、致命,对应到异常等级则为数字1到5。结合威胁程度与先验概率,系统定义异常自身的稳定评分为:
Figure BDA0003282788950000201
由此可以知道异常的威胁程度为:
Figure BDA0003282788950000202
其中MB为异常B的稳定程度评分,level(B)为异常B的异常等级alarmLevel,max(level(U))为异常全集U的异常等级的最大值,P(B)为异常B的先验概率。M'B描述了异常本身的威胁属性,但没有描述异常在关联图中带来的影响。
对于关联图中的一个节点,除了自身的影响之外,还会在两方面影响异常路径的稳定程度,分别是入节点和出节点,若异常的入节点和出节点不断变化,则说明异常在关联图中是不稳定的。为了描述这一稳定程度,设在时间范围T可以被分为n个时间窗口,分别是{T1,T2,…,Tn},记Tin为在n个时间窗口内,入节点发生变化的时间窗口集合,Tout为n个时间窗口内,出节点发生变化的时间窗口集合,那么异常的入节点稳定程度可以描述为:
Figure BDA0003282788950000211
异常的出节点稳定程度可以描述为:
Figure BDA0003282788950000212
异常在加入到关联图后,以该异常为路径终点,可以找出一条或多条关联路径,路径上每一个异常节点的威胁程度与稳定性共同决定了路径的稳定性,即每个异常节点的威胁随着整个路径传播,并在关联图的更新过程中不断变化。在特定的时间段,特定的威胁被加入到路径时,路径的整体威胁程度可能超出阈值,并触发告警。长度为l的路径P的整体稳定程度可以表示为:
Figure BDA0003282788950000214
同理,长度为l的路径P的威胁程度为:
Figure BDA0003282788950000213
在同一时刻的多条路径计算中,会涉及到大量重复路径节点,因此系统使用缓存来记录单个节点的稳定分值乘积INa×Ma×OU Ta。此外,由于威胁分数使用乘积的方式来计算,对于长度较长的路径,长度可能会影响威胁分数计算的准确性,所以系统添加修正参数来降低长度造成的影响。
作为本发明一种可选的实施方式,将预设数量个威胁路径合并生成威胁图发送至服务器包括:
步骤a:将预设数量个威胁路径中相同的节点合并;
步骤b:将预设数量个威胁路径中存在的重复连接关系进行合并,生成威胁图发送至服务器。
由于攻击的复杂性和层次性,路径无法完全展现攻击的全貌,因此需要通过威胁图来展现目前的威胁态势。算法需要将异常分析阶段生成的威胁路径合并为威胁图。威胁路径是在节点被加入到关联图时触发计算的,其终点节点为固定的节点。因此,即使每条威胁路径都是不相关的,其终点节点也必然是同一个节点,仍然可以合并为一张威胁图。根据以上分析,算法可以选取威胁程度最高的k条路径进行合并。参考图5,在此过程中,所有的路径都被看为点和边的集合,并最终合并到整体威胁图在异常被加入关联图时,算法获取以该异常为终点的所有的路径,并计算路径的威胁分数。算法选择最具威胁的k条路径合并为完整的威胁图,供安全人员参考和分析。
如图6所示,本发明提供的一种基于关联图的异常分析装置包括:
获取模块61,用于获取不同厂家不同设备的聚合异常;
其中,聚合异常包括历史聚合异常以及当前聚合异常;
生成模块62,用于根据历史聚合异常生成关联表;
其中,关联表中存储每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常需要满足的属性约束;
构建模块63,用于根据关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含当前聚合异常的当前关联图;
其中,当前关联图包括多个节点,每个节点携带节点属性,每个节点与其父节点以及子节点存在关联边,每个关联边携带关联边属性,节点属性包括:同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离,关联边属性包括:关联边的父节点、子节点、节点的关联分数;
选择模块64,用于在当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;
合并模块65,用于将预设数量个威胁路径合并生成威胁图发送至服务器。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。

Claims (10)

1.一种基于关联图的异常分析方法,其特征在于,包括:
获取不同厂家不同设备的聚合异常;
其中,所述聚合异常包括历史聚合异常以及当前聚合异常;
根据历史聚合异常生成关联表;
其中,所述关联表中存储每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常需要满足的属性约束;
根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的当前关联图;
其中,所述当前关联图包括多个节点,每个节点携带节点属性,每个节点与其父节点以及子节点存在关联边,每个关联边携带关联边属性,所述节点属性包括:同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离,所述关联边属性包括:关联边的父节点、子节点、节点的关联分数;
在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;
将预设数量个威胁路径合并生成威胁图发送至服务器。
2.根据权利要求1所述的异常分析方法,其特征在于,所述根据历史聚合异常生成关联表包括:
计算每一个历史聚合异常的前置聚合异常发生后,该历史聚合异常的约束属性取值在其每一个前置聚合异常的约束属性的值域范围内,该历史聚合异常的发生概率;
针对每一个历史聚合异常,选择发生概率最大对应的前置聚合异常,作为与历史聚合异常相关联的历史聚合异常;
将每个历史聚合异常、每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常满足的约束属性、历史聚合异常之间的关联关系构成关联表。
3.根据权利要求2所述的异常分析方法,其特征在于,所述根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的关联图包括:
根据所述关联表构建历史聚合异常的第一关联图;
在所述第一关联图中确定是否存在,与所述当前聚合异常类型对应的节点;
如果存在与所述当前聚合异常类型对应的节点,更新该节点的节点属性;
如果不存在与所述当前聚合异常类型对应的节点,则根据在网络上每个历史聚合异常对应的设备网络拓扑图在所述关联图中创建新节点;
确定与新节点关联的父节点,将新节点与父节点关联获得第二关联图;
将所述第二关联图,确定为所述当前关联图。
4.根据权利要求3所述的异常分析方法,其特征在于,所述根据所述关联表构建历史聚合异常的第一关联图包括:
选择每个关联表中的每个历史聚合异常对应的节点;
根据历史聚合异常之间的关联关系,将节点之间相连,形成第一关联图。
5.根据权利要求4所述的异常分析方法,其特征在于,在根据历史聚合异常之间的关联关系,将节点之间相连,形成第一关联图之后,所述异常分析方法还包括:
将同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离作为节点属性;
将节点之间的连接边作为关联边,将关联边的父节点、子节点、节点的关联分数作为关联边属性。
6.根据权利要求3所述的异常分析方法,其特征在于,所述如果存在与所述当前聚合异常类型对应的节点,更新该节点的节点属性包括:
如果存在与所述当前聚合异常类型对应的节点,则将当前聚合异常的ID存储至该节点的节点属性中;
在节点属性中,为当前聚合异常建立与第一关联关系相同的第二关联关系;
其中,第一关联关系为与当前聚合异常类型相同的历史聚合异常,与其关联的目标历史聚合异常之间的关联关系,第二关联关系为当前聚合异常与目标历史聚合异常之间的关联关系;
更新所述节点属性。
7.根据权利要求3所述的异常分析方法,其特征在于,所述如果不存在与所述当前聚合异常类型对应的节点,则根据在网络上每个历史聚合异常对应的设备网络拓扑图在所述关联图中创建新节点包括:
如果不存在与所述当前聚合异常类型对应的节点,在所述关联图中创建新节点;
根据当前异常聚合在所述关联表中的相似属性集,计算当前聚合异常与所述关联图中每个节点对应的历史聚合异常的关联表概率;
根据网络上每个历史聚合异常对应的网络设备,建立网络拓扑图;
计算网络拓扑图中每个网络设备与当前聚合异常的拓扑距离;
根据所述拓扑距离以及关联表概率,计算所述关联图中每个节点与所述当前聚合异常的关联分数;
如果所述关联分数达到关联阈值或所述关联分数为最高分数,则将所述新节点与达到关联阈值或最高分数对应的节点关联。
8.根据权利要求1所述的异常分析方法,其特征在于,所述在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径包括:
在所述当前关联图中,计算每一个节点的稳定程度;
根据每一个节点的稳定程度,在所述当前关联图中确定从起始节点到末尾节点形成的每条威胁路径;
根据每个节点的稳定程度,计算每条威胁路径的威胁程度;
将每条威胁路径按照威胁程度从大到小进行排序,选择前预设数量个威胁路径。
9.根据权利要求1所述的异常分析方法,其特征在于,所述将预设数量个威胁路径合并生成威胁图发送至服务器包括:
将预设数量个威胁路径中相同的节点合并;
将预设数量个威胁路径中存在的重复连接关系进行合并,生成威胁图发送至服务器。
10.一种基于关联图的异常分析装置,其特征在于,包括:
获取模块,用于获取不同厂家不同设备的聚合异常;
其中,所述聚合异常包括历史聚合异常以及当前聚合异常;
生成模块,用于根据历史聚合异常生成关联表;
其中,所述关联表中存储每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常需要满足的属性约束;
构建模块,用于根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的当前关联图;
其中,所述当前关联图包括多个节点,每个节点携带节点属性,每个节点与其父节点以及子节点存在关联边,每个关联边携带关联边属性,所述节点属性包括:同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离,所述关联边属性包括:关联边的父节点、子节点、节点的关联分数;
选择模块,用于在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;
合并模块,用于将预设数量个威胁路径合并生成威胁图发送至服务器。
CN202111137284.5A 2021-09-27 2021-09-27 基于关联图的异常分析方法及装置 Active CN114006726B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111137284.5A CN114006726B (zh) 2021-09-27 2021-09-27 基于关联图的异常分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111137284.5A CN114006726B (zh) 2021-09-27 2021-09-27 基于关联图的异常分析方法及装置

Publications (2)

Publication Number Publication Date
CN114006726A true CN114006726A (zh) 2022-02-01
CN114006726B CN114006726B (zh) 2023-05-02

Family

ID=79921732

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111137284.5A Active CN114006726B (zh) 2021-09-27 2021-09-27 基于关联图的异常分析方法及装置

Country Status (1)

Country Link
CN (1) CN114006726B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225384A (zh) * 2022-07-19 2022-10-21 天翼安全科技有限公司 一种网络威胁度评估方法、装置、电子设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506242A (zh) * 2016-12-14 2017-03-15 北京东方棱镜科技有限公司 一种网络异常行为和流量监测的精确定位方法与系统
US20180077175A1 (en) * 2016-09-13 2018-03-15 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
US9930059B1 (en) * 2016-03-31 2018-03-27 Lookingglass Cyber Solutions, Inc. Methods and apparatus for analyzing asynchronous cyber-threat event data using discrete time intervals
US20200195673A1 (en) * 2018-12-18 2020-06-18 At&T Intellectual Property I, L.P. Risk identification for unlabeled threats in network traffic
CN111756582A (zh) * 2020-07-07 2020-10-09 上海新炬网络技术有限公司 基于nfv日志告警的业务链监控方法
CN111935192A (zh) * 2020-10-12 2020-11-13 腾讯科技(深圳)有限公司 网络攻击事件溯源处理方法、装置、设备和存储介质
CN113362157A (zh) * 2021-05-27 2021-09-07 中国银联股份有限公司 异常节点识别方法、模型的训练方法、装置及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9930059B1 (en) * 2016-03-31 2018-03-27 Lookingglass Cyber Solutions, Inc. Methods and apparatus for analyzing asynchronous cyber-threat event data using discrete time intervals
US20180077175A1 (en) * 2016-09-13 2018-03-15 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
CN106506242A (zh) * 2016-12-14 2017-03-15 北京东方棱镜科技有限公司 一种网络异常行为和流量监测的精确定位方法与系统
US20200195673A1 (en) * 2018-12-18 2020-06-18 At&T Intellectual Property I, L.P. Risk identification for unlabeled threats in network traffic
CN111756582A (zh) * 2020-07-07 2020-10-09 上海新炬网络技术有限公司 基于nfv日志告警的业务链监控方法
CN111935192A (zh) * 2020-10-12 2020-11-13 腾讯科技(深圳)有限公司 网络攻击事件溯源处理方法、装置、设备和存储介质
CN113362157A (zh) * 2021-05-27 2021-09-07 中国银联股份有限公司 异常节点识别方法、模型的训练方法、装置及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225384A (zh) * 2022-07-19 2022-10-21 天翼安全科技有限公司 一种网络威胁度评估方法、装置、电子设备及存储介质
CN115225384B (zh) * 2022-07-19 2024-01-23 天翼安全科技有限公司 一种网络威胁度评估方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN114006726B (zh) 2023-05-02

Similar Documents

Publication Publication Date Title
US10333815B2 (en) Real-time detection of abnormal network connections in streaming data
US11496498B2 (en) Statistical analysis of network behavior using event vectors to identify behavioral anomalies using a composite score
US10476749B2 (en) Graph-based fusing of heterogeneous alerts
Zhang et al. Random-forests-based network intrusion detection systems
US6883101B1 (en) System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules
Wang et al. RLM: A general model for trust representation and aggregation
US7096502B1 (en) System and method for assessing the security posture of a network
Ramaki et al. Real time alert correlation and prediction using Bayesian networks
US8272061B1 (en) Method for evaluating a network
US10367838B2 (en) Real-time detection of abnormal network connections in streaming data
US20170288979A1 (en) Blue print graphs for fusing of heterogeneous alerts
Holsopple et al. TANDI: Threat assessment of network data and information
Elshoush et al. Reducing false positives through fuzzy alert correlation in collaborative intelligent intrusion detection systems—A review
CN114006726A (zh) 基于关联图的异常分析方法及装置
CN110995769A (zh) 深度数据包检测方法、装置及可读存储介质
CN113904881A (zh) 一种入侵检测规则误报处理方法和装置
CN114579407A (zh) 一种因果关系检验和微服务指标预测报警方法
Ren et al. Captar: Causal-polytree-based anomaly reasoning for scada networks
Das et al. The devil is in the details: Confident & explainable anomaly detector for software-defined networks
CN115706671A (zh) 网络安全防御方法、装置以及存储介质
WO2017176676A1 (en) Graph-based fusing of heterogeneous alerts
CN115174263B (zh) 攻击路径动态决策方法与装置
Oba et al. Graph convolutional network-based suspicious communication pair estimation for industrial control systems
Carvalho et al. Using ant colony optimization metaheuristic and dynamic time warping for anomaly detection
Khosravi-Farmad et al. Risk-based intrusion response management in IDS using Bayesian decision networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant