CN114048856B - 基于知识推理的安全事件自动处置方法及系统 - Google Patents

Abstract

本发明提供了一种基于知识推理的安全事件自动处置方法及系统，其属于智能运维处置预测技术领域，所述方案包括：获取待处置安全事件；基于预先构建好的知识推理系统，对所述安全事件进行分级研判处理，获得处置结果；其中，所述知识推理系统基于产生式规则推理方法，利用预先存储的安全事件集合和处置规则集合，通过推理引擎对安全事件进行分级处理，确定安全事件对应的处置规则；将获得的处置结果进行转化，并录入到所述知识推理系统中。

Description

基于知识推理的安全事件自动处置方法及系统

技术领域

本发明属于智能运维处置预测技术领域，尤其涉及一种基于知识推理的安全事件自动处置方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

SIEM（安全信息和事件管理）、SOC（安全运营中心）类安全产品日渐普及（以下统称为安全事件管理系统），采用安全事件管理系统保护核心资产的机构产生并积累了海量的安全事件，受限于相关技术发展水平，安全事件管理系统仍然需要安全运维专家的参与，对系统运行产生的安全事件进行研判处置。但面对海量的安全事件、有限的面向安全领域资源，安全运维专家缺乏有效的方法与工具应对，这就导致了安全事件成为沉睡数据，未能发挥其应有的作用。

业界通常采用分类模型解决这个问题。比如，根据紧急程度和影响力安全事件可以分为特别严重、严重、一般、轻微四个级别。安全运维专家根据安全事件的级别、类型等进行过滤，筛选出其关注的安全事件，进行分析研判及调查取证，以确定安全事件危害程度及其影响范围，但是，我们 发现，该方法在实际应用中存在方法固化、无法动态扩展、处置效率低，从而导致安全事件持续积压，安全运维专家处置经验无法复用，无法从根本上解决积压的安全事件成为沉睡数据的问题。

发明内容

本发明为了解决上述问题，提供了一种基于知识推理的安全事件自动处置方法及系统，所述方案提出一种基于产生式规则的知识推理系统的多层处置模型，相比传统的单一分类模型，所述方案具有自动化程度高，处置效率高的特点，通过所述多层处置模型可以将安全运维专家经验转化为知识，实现复用，达到唤醒安全事件数据，发挥其应有价值的效果。

根据本发明实施例的第一个方面，提供了一种基于知识推理的安全事件自动处置方法，包括：

获取待处置安全事件；

基于预先构建好的知识推理系统，对所述安全事件进行分级研判处理，获得处置结果；其中，所述知识推理系统基于产生式规则推理方法，利用预先存储的安全事件集合和处置规则集合，通过推理引擎对安全事件进行分级处理，确定安全事件对应的处置规则；

将获得的处置结果进行转化，并录入到所述知识推理系统中。

进一步的，所述知识推理系统包括事实集合、处置规则集合以及推理引擎，所述事实集合存储有预先存储的历史安全事件集合，所述处置规则集合存储有与所述事实集合中历史安全事件对应的安全事件处置规则，所述推理引擎用于基于事实集合和处置规则集合，通过模式匹配方法对待处置安全事件的处置规则进行预测。

进一步的，所述模式匹配方法采用语义相似度计算方法，计算待处置安全事件与所述知识推理系统预先存储的安全事件集合中相似度最高的安全事件，将其对应的处置规则作为待处置安全事件的处置规则，其对应的处置重要程度标签和紧急程度标签作为待处置安全事件的重要程度和紧急程度。

进一步的，所述分级研判处理，具体为：

对于每个安全事件，通过所述知识推理系统进行处置规则及处置紧急程度预测；

若为简单安全事件，则基于预测的处置规则直接生成结论；

对于非简单安全事件，基于安全事件间的相似度计算进行归并处理，对于单独的安全事件以及对于归并处理的安全事件中的重要且紧急的安全事件，直接推送给安全运维专家进行处理规则的判定，生成处置结论；

对于归并处理的安全事件中的剩余安全事件，通过工单跟踪处理，生成安全事件处置工单后，由安全运维专家进行处理规则的判定，生成处置结论。

进一步的，所述将获得的处置结果进行转化，并录入到所述知识推理系统中，具体为：将获得的处置结果进行标准化处理，并存储于所述知识推理系统中的处置规则集合中；将处置结果对应的安全事件文本描述、重要程度及紧急程度存储于所述知识推理系统中的事实集合中。

根据本发明实施例的第二个方面，提供了一种基于知识推理的安全事件自动处置系统，包括：

数据获取单元，其用于待处置安全事件；

处置结果获取单元，其用于基于预先构建好的知识推理系统，对所述安全事件进行分级研判处理，获得处置结果；其中，所述知识推理系统基于产生式规则推理方法，利用预先存储的安全事件集合和处置规则集合，通过推理引擎对安全事件进行分级处理，确定安全事件对应的处置规则；

处置规则扩展单元，其用于将获得的处置结果进行转化，并录入到所述知识推理系统中。

与现有技术相比，本发明的有益效果是：

（1）本发明所述方案提供了一种基于知识推理的安全事件自动处置方法及系统，所述方案基于产生式规则的知识推理系统的多层处置模型，对安全事件的处置方式进行预测，相比传统的单一分类模型，所述方案具有自动化程度高，处置效率高；分层灵活扩展，适用场景广泛。

（2）本发明所述方案基于产生式规则的知识推理系统的多层处置模型，与安全运维专家的经验相结合，并将安全运维专家的处置经验持续转化为知识，并录入到所述知识推理系统中形成闭环，实现安全事件数据的复用；通过该方法可以对已有安全事件数据进行充分利用，发挥其应有价值。

（3）本发明基于知识推理的安全事件自动处置方法，使用多层处置模型极大提升了安全事件的处置效率，拓展了知识推理的应用领域，能够充分发挥SIEM、SOC类系统的价值，有效保障机构单位的数字资产。

本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为本发明实施例一中所述的基于知识推理的安全事件自动处置方法基本流程图；

图2为本发明实施例一中所述的基于知识推理的安全事件自动处置方法详细流程图。

具体实施方式

下面结合附图与实施例对本发明做进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

实施例一：

本实施例的目的是提供一种基于知识推理的安全事件自动处置方法。

如图1所示，一种基于知识推理的安全事件自动处置方法，包括：

获取待处置安全事件；

基于预先构建好的知识推理系统，对所述安全事件进行分级研判处理，获得处置结果；其中，所述知识推理系统基于产生式规则推理方法，利用预先存储的安全事件集合和处置规则集合，通过推理引擎对安全事件进行分级处理，确定安全事件对应的处置规则；

将获得的处置结果进行转化，并录入到所述知识推理系统中。

进一步的，所述知识推理系统包括事实集合、处置规则集合以及推理引擎，所述事实集合存储有预先存储的历史安全事件集合，所述处置规则集合存储有与所述事实集合中历史安全事件对应的安全事件处置规则，所述推理引擎用于基于事实集合和处置规则集合，通过模式匹配方法对待处置安全事件的处置规则进行预测。

进一步的，所述事实集合中存储的历史安全事件集合中存储有安全事件的文本描述、重要程度标签及紧急程度标签。

进一步的，所述重要程度标签包括但不限于简单、一般以及重要；所述紧急程度标签包括紧急和非紧急两种状态。

进一步的，所述模式匹配方法采用语义相似度计算方法，计算待处置安全事件与所述知识推理系统预先存储的安全事件集合中相似度最高的安全事件，将其对应的处置规则作为待处置安全事件的处置规则，其对应的处置重要程度标签和紧急程度标签作为待处置安全事件的重要程度和紧急程度。

进一步的，所述分级研判处理，具体为：

对于每个安全事件，通过所述知识推理系统进行处置规则及处置紧急程度预测；

若为简单安全事件，则基于预测的处置规则直接生成结论；

对于非简单安全事件，基于安全事件间的相似度计算进行归并处理，对于单独的安全事件以及对于归并处理的安全事件中的重要且紧急的安全事件，直接推送给安全运维专家进行处理规则的判定，生成处置结论；

对于归并处理的安全事件中的剩余安全事件，通过工单跟踪处理，生成安全事件处置工单后，由安全运维专家进行处理规则的判定，生成处置结论。

进一步的，所述生成处置结论，具体为：安全运维专家根据经验对预测的处理规则、重要程度及紧急程度进行核对并修正，确定最终的处置结果。

进一步的，所述将获得的处置结果进行转化，并录入到所述知识推理系统中，具体为：将获得的处置结果进行标准化处理，并存储于所述知识推理系统中的处置规则集合中；将处置结果对应的安全事件文本描述、重要程度及紧急程度存储于所述知识推理系统中的事实集合中。

进一步的，所述安全事件为运维过程中的文本描述。

具体的，为了便于理解，以下结合附图对本发明所述方案进行详细说明：

本发明提供了一种基于知识推理的安全事件自动处置方法，该方法基于产生式规则系统的知识推理，所述方案针对安全事件处置过程的各个环节动态映射为多个分层，基于产生式规则系统的推理引擎，应用安全运维专家的处置经验所转化的处置规则集合，实现安全事件的自动化处置。

进一步的，所述产生式规则系统按照一定的机制执行规则并达成某些目标。主要包括三个部分：事实集合、处置规则（知识）集合及推理引擎。

在本发明提出的方法中，事实集合对应待处置安全事件集合；处置规则集合由安全事件处置经验转化而来；推理引擎用于控制整个系统的执行；

规则（知识）：产生式，形如IF conditions THEN actions，其中conditions与actions是规则的具体表示；

安全事件：SIEM、SOC类安全产品基于其所采集的安全日志，使用分析算法等手段所产生的，描述攻击行为或所关注的用户活动的结构化数据。

进一步的，为了便于理解，以下通过具体实例对所述事实集合、处置规则集合以及推理引擎进行详细说明：

以SOC平台为例，SOC平台基于收集的日志，通过标准化处理产生的结构数据作为一个安全事件，从SOC平台获取到的安全事件是以XML格式组织的，通过dom4j 进行解析，并根据预设字段提取对应预设字段对应的值，进而获得一个安全事件的文本描述；

其中，所述预设字段可以包括但不限于编号字段，事件攻击源地址字段、目标地址字段、设备地址字段、事件详情字段、事件归属字段、事件来源字段以及区域字段等；

本发明所述方案的产生式规则系统中的事实集合中预先内置有大量安全事件的文本描述，且处置规则集合预先存储有对应的安全事件处置规则，其中，所述处置规则包括规则执行的条件以及处置动作，例如：对不同攻击类型对应的处置动作包括但不限于对数据流量中包含的请求进行拒绝或者执行封锁又或者加入黑名单等等。其中，所述处置规则集合预先存储的处置规则来源于历史安全事件对应的处置规则。具体的，所述处置规则的产生式具体表示为：IF conditions THEN actions，其中，conditions和actions为规则的具体表示形式，即：所述规则处置集合中存储的每条规则均由conditions（规则执行的条件）和actions（处置动作）组成；例如：conditions为对数据流量的请求满足某种攻击类型，其对应的actions为对数据流量中包含的请求进行拒绝。

对于所述推理引擎的推理过程，以下基于具体实例进行说明：

例如：获取到N（N为大于1的整数）个安全事件，对于每个安全事件基于模式匹配算法（本实施例采用语义相似度计算的方法）计算所述安全事件与事实集合中预先存储的安全事件的相似度，若最大相似度满足预设阈值要求，则将事实集合中最大相似度值对应安全事件的相应标签以及其对应的处置规则关联给当前安全事件，所述安全事件基于获得的标签及处置规则进行后续处理，具体处置流程如图2所示,此处不再赘述。

同时，需要说明的是，现实中历史安全事件的数据量相对充足，实际应用中产生的绝大多数安全事件在所述产生式规则系统的事实集合中进行了预先存储，因此，在实际处置过程中，绝大多数安全事件可以实现自动处理，而对于突发的新型安全事件，基于本发明中安全运维专家的参与，通过将预设阈值设置的相对较低也可以进行有效解决（即对于突发的新型安全事件，其通过产生式规则系统获得的相应标签、处置规则不准确，而通过安全运维专家的核对矫正，可以得到准确的结果）。

进一步的，所述分层方案具备灵活扩展的特性，例如，在一个依据安全事件复杂度分层处置的系统中，其分层如下：

（1）简单安全事件处理层：对于事实清晰，边界清晰的简单安全事件，例如合规类安全事件（即是否符合预设规定的事件），由推理引擎执行规则自动处置，完成对简单安全事件的定性与结论生成；

（2）一般安全事件处理层：对于事实清晰，但范围性发生的一般安全事件，例如网络访问类安全事件，由推理引擎执行规则，完成对一般安全事件的自动归并；

（3）重要安全事件处理层：该层安全事件为经过推理引擎处理并筛选出的高阶安全事件，需要安全运维专家进行专业化调研取证与分析。

其中，安全事件的产生来源包括但不限于SIEM（安全信息和事件管理）类安全日志、SOC（安全运营中心）类安全日志、分析算法产生的事件、审计类产品日志或网络流量日志。

本发明提出的安全事件自动处置方法是基于产生式规则系统的知识推理，并应用于安全事件处置的预处理、筛选归并、处置环节，通过安全运维专家持续将处置经验转化为知识从而形成闭环。其详细流程如图2所示，为了方便描述，将所述流程进行了层次划分，包括：预处理层、智能归并层及辅助层，以下分别对每个层次进行详细说明：

（1）预处理层：由推理引擎应用预处理相关规则对安全事件进行预处理，简单的安全事件在这一步直接处理完毕，例如合规类安全事件；

（2）智能归并层：由推理引擎应用筛选归并相关规则对安全事件进行筛选归并，在这一步骤中，满足相应知识的安全事件进行归并，重要且紧急的事件则呈现给安全运维专家进行人工判定；

（3）辅助层：由推理引擎应用处置相关的规则，对于需要工单跟踪处置流程的安全事件，执行生成处置工单的动作；对于重要且紧急的事件则呈现给安全运维专家；

其中，所述安全运维专家为经验丰富的安全运维人员，通过将其针对安全事件的专业化分析调研取证经验转化为知识，录入产生式规则推理系统，进一步丰富完善系统的处理能力，实现能力复用与自动化。

作为可选择的实施方式本发明基于产生式规则推理系统，同样可以基于其他推理系统，包括不限于本体推理、逻辑编程推理、基于查询重写的推理系统；本发明基于知识推理的分层模型不仅限于安全事件自动处置，还包括但不限于流程类，例如工单系统的自动处置。

进一步的，本发明所述方案相对于现有技术具有以下优点：

本发明执行效率非常高，能够实现大量安全事件的自动处置；同时，能够节省安全领域的资源投入，如图2所述，安全事件处理过程中只有一层需要安全运维专家介入；所述方法可扩展性较强，通过对安全运维专家经验的积累与知识转化，能够实现应用场景、处理效率的提升；本发明应用领域广泛，除在专业安全领域的应用外，结合其他领域的知识，可以实现应用领域的拓展。

实施例二：

本实施例的目的是提供一种基于知识推理的安全事件自动处置系统。

一种基于知识推理的安全事件自动处置系统，包括：

数据获取单元，其用于待处置安全事件；

处置结果获取单元，其用于基于预先构建好的知识推理系统，对所述安全事件进行分级研判处理，获得处置结果；其中，所述知识推理系统基于产生式规则推理方法，利用预先存储的安全事件集合和处置规则集合，通过推理引擎对安全事件进行分级处理，确定安全事件对应的处置规则；

处置规则扩展单元，其用于将获得的处置结果进行转化，并录入到所述知识推理系统中。

在更多实施例中，还提供：

一种电子设备，包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令，所述计算机指令被处理器运行时，完成实施例一中所述的方法。为了简洁，在此不再赘述。

应理解，本实施例中，处理器可以是中央处理单元CPU，处理器还可以是其他通用处理器、数字信号处理器DSP、专用集成电路ASIC，现成可编程门阵列FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据、存储器的一部分还可以包括非易失性随机存储器。例如，存储器还可以存储设备类型的信息。

一种计算机可读存储介质，用于存储计算机指令，所述计算机指令被处理器执行时，完成实施例一中所述的方法。

实施例一中的方法可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

本领域普通技术人员可以意识到，结合本实施例描述的各示例的单元即算法步骤，能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

上述实施例提供的一种基于知识推理的安全事件自动处置方法及系统可以实现，具有广阔的应用前景。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于知识推理的安全事件自动处置方法，其特征在于，包括：

获取待处置安全事件；

基于预先构建好的知识推理系统，对所述安全事件进行分级研判处理，获得处置结果；其中，所述知识推理系统基于产生式规则推理方法，利用预先存储的安全事件集合和处置规则集合，通过推理引擎对安全事件进行分级处理，确定安全事件对应的处置规则；

将获得的处置结果进行转化，并录入到所述知识推理系统中；

所述分级研判处理，具体为：

对于每个安全事件，通过所述知识推理系统进行处置规则及处置紧急程度预测；

若为简单安全事件，则基于预测的处置规则直接生成结论；

对于非简单安全事件，基于安全事件间的相似度计算进行归并处理，对于单独的安全事件以及对于归并处理的安全事件中的重要且紧急的安全事件，直接推送给安全运维专家进行处理规则的判定，生成处置结论；

对于归并处理的安全事件中的剩余安全事件，通过工单跟踪处理，生成安全事件处置工单后，由安全运维专家进行处理规则的判定，生成处置结论；

所述基于产生式规则的知识推理系统的多层处置模型，与安全运维专家的经验相结合，并将安全运维专家的处置经验持续转化为知识，并录入到所述知识推理系统中形成闭环，实现安全事件数据的复用；同时，安全事件处理过程中只有一层需要安全运维专家介入。

2.如权利要求1所述的一种基于知识推理的安全事件自动处置方法，其特征在于，所述知识推理系统包括事实集合、处置规则集合以及推理引擎，所述事实集合存储有预先存储的历史安全事件集合，所述处置规则集合存储有与所述事实集合中历史安全事件对应的安全事件处置规则，所述推理引擎用于基于事实集合和处置规则集合，通过模式匹配方法对待处置安全事件的处置规则进行预测。

3.如权利要求2所述的一种基于知识推理的安全事件自动处置方法，其特征在于，所述事实集合中存储的历史安全事件集合中存储有安全事件的文本描述、重要程度标签及紧急程度标签。

4.如权利要求3所述的一种基于知识推理的安全事件自动处置方法，其特征在于，所述重要程度标签包括但不限于简单、一般以及重要；所述紧急程度标签包括紧急和非紧急两种状态。

5.如权利要求2所述的一种基于知识推理的安全事件自动处置方法，其特征在于，所述模式匹配方法采用语义相似度计算方法，计算待处置安全事件与所述知识推理系统预先存储的安全事件集合中相似度最高的安全事件，将其对应的处置规则作为待处置安全事件的处置规则，其对应的处置重要程度标签和紧急程度标签作为待处置安全事件的重要程度和紧急程度。

6.如权利要求1所述的一种基于知识推理的安全事件自动处置方法，其特征在于，所述生成处置结论，具体为：安全运维专家根据经验对预测的处理规则、重要程度及紧急程度进行核对并修正，确定最终的处置结果。

7.如权利要求1所述的一种基于知识推理的安全事件自动处置方法，其特征在于，所述将获得的处置结果进行转化，并录入到所述知识推理系统中，具体为：将获得的处置结果进行标准化处理，并存储于所述知识推理系统中的处置规则集合中；将处置结果对应的安全事件文本描述、重要程度及紧急程度存储于所述知识推理系统中的事实集合中。

8.如权利要求1所述的一种基于知识推理的安全事件自动处置方法，其特征在于，所述安全事件为运维过程中的文本描述。

9.一种基于知识推理的安全事件自动处置系统，其特征在于，包括：

数据获取单元，其用于待处置安全事件；

处置结果获取单元，其用于基于预先构建好的知识推理系统，对所述安全事件进行分级研判处理，获得处置结果；其中，所述知识推理系统基于产生式规则推理方法，利用预先存储的安全事件集合和处置规则集合，通过推理引擎对安全事件进行分级处理，确定安全事件对应的处置规则；

处置规则扩展单元，其用于将获得的处置结果进行转化，并录入到所述知识推理系统中；

所述分级研判处理，具体为：

对于每个安全事件，通过所述知识推理系统进行处置规则及处置紧急程度预测；

若为简单安全事件，则基于预测的处置规则直接生成结论；

对于非简单安全事件，基于安全事件间的相似度计算进行归并处理，对于单独的安全事件以及对于归并处理的安全事件中的重要且紧急的安全事件，直接推送给安全运维专家进行处理规则的判定，生成处置结论；

对于归并处理的安全事件中的剩余安全事件，通过工单跟踪处理，生成安全事件处置工单后，由安全运维专家进行处理规则的判定，生成处置结论；

所述基于产生式规则的知识推理系统的多层处置模型，与安全运维专家的经验相结合，并将安全运维专家的处置经验持续转化为知识，并录入到所述知识推理系统中形成闭环，实现安全事件数据的复用；同时，安全事件处理过程中只有一层需要安全运维专家介入。

Images