CN114301712B - 一种基于图方法的工业互联网告警日志关联分析方法及系统 - Google Patents
一种基于图方法的工业互联网告警日志关联分析方法及系统 Download PDFInfo
- Publication number
- CN114301712B CN114301712B CN202111678291.6A CN202111678291A CN114301712B CN 114301712 B CN114301712 B CN 114301712B CN 202111678291 A CN202111678291 A CN 202111678291A CN 114301712 B CN114301712 B CN 114301712B
- Authority
- CN
- China
- Prior art keywords
- alarm
- cluster
- node
- graph
- edge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供的一种基于图方法的工业互联网告警日志关联分析方法及系统,包括以下步骤:步骤1,获取网络攻击告警日志;步骤2,对获取的网络攻击告警日志进行解析,得到每一条网络攻击告警对应的特征量;步骤3,根据得到的特征量创建网络安全事件图,并将网络安全事件图划分为多个告警簇;步骤4,提取每个告警簇对应的统计特征和拓扑结构特征;步骤5,根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别;本发明避免了告警日志数据多源、异构特点的影响,能够有效提高常见安全事件告警的处理效率和高危事件的识别能力,并且能够提供对工业互联网整体安全态势的感知能力。
Description
技术领域
本发明属于工业互联网入侵检测领域,特别涉及一种基于图方法的工业互联网告警日志关联分析方法及系统。
背景技术
工业互联网将先进的传感量测技术、信息通信技术和自动控制技术与流程工业相结合,使用工业互联网感知流程工业的状态信息和参数数据,以及下发控制指令,实现工业流程的远程实时控制。先进的工业互联网技术的应用,提升了工业生产的能控性、能观性和实时性,并有着资源整合、远程控制以及与门户网站和外网互联网互联的趋势。工业互联网的应用提高了流程工业的生产效率,但也使传统互联网中的网络安全问题对工业生产造成威胁,典型的网络攻击类型如拒绝服务攻击、数据窃听、中间人攻击等,在工业互联网中同样有效且危害巨大。
为应对网络安全问题带来的威胁,工业互联网通常会部署入侵检测系统和网络应用防火墙等网络安全系统和设备,设置较为严格的安全规则检测网络流量,并雇佣网络安全分析人员实施监控、分析和处置网络安全系统和设备产生的网络安全事件告警。工业互联网通常和传统互联网具备不同的网络结构,工业互联网通常可以划分为多个分区,例如终端区、服务器区等,不同分区内主机的业务功能、产生的网络流量、受网络安全事件的威胁程度和网络安全事件可能造成后果的严重程度各有不同。因此,工业互联网通常会在网络的不同位置或分区部署多个网络安全系统和设备,这些系统和设备可能来自不同的厂家、应用不同的安全规则以及使用不同的数据和日志格式与采集、存储方式。这种多源、异构的数据特性,给安全分析人员的监控、分析和处置工作带来额外的困难和挑战,分布于网络不同分区、应用不同规则的部署方式,也增加了利用单独的网络安全系统或设备理解网络整体安全态势的难度。
另外,由于工业互联网应用较为严格的安全规则,而网络构建优先考虑生产效率而非安全需求,工业互联网中部署的网络安全系统和设备会产生海量的低风险告警和误报。海量低风险告警和误报与少量具有较大安全风险的告警相互混杂,也使告警数据的分析处理更加困难。
发明内容
本发明的目的在于提供一种基于图方法的工业互联网告警日志关联分析方法及系统,解决了现有技术中存在的上述不足。
为了达到上述目的,本发明采用的技术方案是:
本发明提供的一种基于图方法的工业互联网告警日志关联分析方法,包括以下步骤:
步骤1,获取网络攻击告警日志;
步骤2,对获取的网络攻击告警日志进行解析,得到每一条网络攻击告警对应的特征量;
步骤3,根据得到的特征量创建网络安全事件图,并将网络安全事件图划分为多个告警簇;
步骤4,提取每个告警簇对应的统计特征和拓扑结构特征;
步骤5,根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别。
优选地,步骤2中,每一条网络攻击告警对应的特征量包括警时间、源IP地址、目的IP地址和告警类型。
优选地,步骤3中,根据得到的特征量创建网络安全事件图,具体方法是:
S301,根据步骤2中的特征量获取IP地址集合;构建空白有向图;
S302,将IP地址集合中的元素作为向空白有向图中的节点;
S303,判断第i条网络攻击告警Ai的源IP地址对应的节点和目的IP地址对应的节点之间是否存在有向边,若不存在进入S304,否则进入S305;
S304,在节点srci和节点desi之间添加一条有向边ej=(srci,desi),并为该边添加最新告警时间、类型和告警重复次数;
S305,若节点srci和节点desi之间已存在至少一条边,且每条边的告警类型均与该第i条网络攻击告警Ai对应的告警类型不同,则在节点srci和节点desi之间添加一条新的有向边ej=(srci,desi),并为该边添加最新告警时间、类型和告警重复次数;
若节点srci和节点desi之间已存在至少一条有向边,且其中任意一条有向边的告警类型与该第i条网络攻击告警Ai对应的告警类型相同,则更新该有向边的最新告警时间和告警重复次数;
S306,重复执行S303至S305,直至完成设定时间段内每条网络攻击告警,进而得到网络安全事件图。
优选地,步骤3中,利用社群发现算法将网络安全事件图划分为两个告警簇。
优选地,步骤4中,利用统计方法和子图发现方法提取每个告警簇对应的统计特征和拓扑结构特征。
优选地,步骤5中,根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别,具体方法是:
将得到每条告警簇对应的统计特征和拓扑结构特征与预设的高危模式黑名单中高危告警簇对应的统计特征和拓扑结构特征进行匹配,进而判断该条告警簇是否为高危事件;
若该条告警簇为非高危事件时,将该条告警簇的统计特征和拓扑结构特征与预设的告警簇模式库中的历史告警簇进行匹配,进而根据匹配结果对该条告警簇进行研判;
若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败,则进行人工研判。
优选地,判断该条告警簇是否为高危事件,具体方法是:
若该告警簇的统计特征和拓扑结构特征与高危模式对应的特征之间的差别小于设定阈值,则认定该告警簇为高危事件。
优选地,若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败后,则将该告警簇对应的统计特征、拓扑结构特征和研判结果添加至告警簇模式库,完成告警簇模式库的更新。
一种基于图方法的工业互联网告警日志关联分析系统,包括:
数据采集单元,用于获取网络攻击告警日志;
数据提取单元,用于对获取的网络攻击告警日志进行解析,得到每一条网络攻击告警对应的特征量;
数据划分单元,用于根据得到的特征量创建网络安全事件图,并将网络安全事件图划分为多个告警簇;
特征提取单元,用于提取每个告警簇对应的统计特征和拓扑结构特征;
分析识别单元,用于根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别。
与现有技术相比,本发明的有益效果是:
本发明提供的一种基于图方法的工业互联网告警日志关联分析方法,利用图方法作为手段,基于网络安全事件图对来自不同厂家、应用不同规则和数据结构、部署于工业互联网不同分区的网络安全系统和设备的告警日志进行统一的解析、特征提取和告警簇划分,避免了告警日志数据多源、异构特点的影响,能够有效提高常见安全事件告警的处理效率和高危事件的识别能力,并且能够提供对工业互联网整体安全态势的感知能力。
进一步的,利用社群发现方法对网络安全事件图进行划分,从而对海量的告警数据进行有效的、可解释的归并聚类,可以有效、精准的排除海量低风险告警和误报的干扰,快速、精准地对高危安全事件进行识别,从而在降低告警日志分析处理工作量的同时提升工业互联网的网络安全防护能力。
进一步的,本系统在原有网络安全系统和设备的基础上进行的改进与提升,在原有网路安全系统和设备检测结果的基础上进行分析,可以在原有系统上通过软件升级的方式进行部署,不需要额外的硬件开销。
进一步的,本发明的方法的算法复杂度较低,在较大规模的工业互联网中也可做到实时或类实时的分析速度,通过较小的运算开销可以实现网络安全防护能力的显著提升。
附图说明
图1为整体流程图;
图2为创建网络安全事件图的流程图;
图3为由测试告警日志数据生成的网络安全事件图示例;
图4为告警簇clustert,1拓扑结构特征提取示意图。
具体实施方式
以下结合附图和测试数据详细说明本发明的实施方式。
图1为基于图方法的工业互联网告警日志关联分析方法整体流程图,展示了对工业互联网多源异构网络安全告警日志进行关联分析过程的基本框架,其中输入测试数据为节选自某电力公司网络安全告警日志数据库的少量告警日志数据,源IP地址及目的IP地址已进行脱敏处理;测试告警日志数据由部署于该公司网络外网出口处的迪普IPS、部署于服务器区的盛邦WAF和部署于终端区的天眼系统产生,满足多源、异构的要求。
本发明一种基于图方法的工业互联网告警日志关联分析方法,包括以下步骤:
步骤S1:获取由部署在工业互联网中的网络安全设备和系统产生的网络攻击告警日志;对来自不同网络安全设备和系统的告警日志进行解析,并对告警日志中包含的每一条网络攻击告警提取特征量。
具体而言,采集由部署于工业互联网中的不同安全系统或设备产生的告警日志后,应将告警日志按照各自数据格式进行解析,对于每一条网络攻击告警提取特征量,体征量包括告警时间time、源IP地址src、目的IP地址des和告警类型type,则第i条网络攻击告警Ai可以表示为Ai=(timei,srci,desi,typei);测试数据解析后得到的特征量如表1所示:
表1测试告警数据特征量
步骤S2:基于一定时间窗口内的网络攻击告警的特征量创建网络安全事件图,并将网络安全事件图划分为告警簇。
具体而言,表1所示测试告警数据及其特征量对应于步骤S2中采样时刻t=2020-09-0108:20:00,采样周期T=20min时的采样结果;源IP地址和目的IP地址总量l=15,IP地址集合为IP={IP1,IP2,…,IP15}。
结合图2,步骤S2所述创建网络安全事件图的具体方法为:
步骤S101:向空白有向图grapht中添加节点,IP地址集合IP中每个IP地址作为一个节点,即网络安全事件图共包含15个节点,分别为IP1,IP2…,IP15。
步骤S102:判断第i条网络攻击告警Ai的源IP地址对应的节点和目的IP地址对应的节点之间是否存在有向边,其中:
若第i条网络攻击告警的源IP地址对应的节点srci和第i条网络攻击告警的目的IP地址对应的节点desi之间不存在边,则在节点srci和节点desi之间添加一条有向边ej=(srci,desi),并为该边添加属性最新告警时间edge_timej=timei、类型edge_typej=typei和告警重复次数repj=1;
若节点srci和desi之间已存在至少一条有向边,且所有有向边的类型都不同于该第i条网络攻击告警Ai的告警类型typei,则在节点srci和desi之间添加一条新的有向边ej=(srci,desi),并为该边添加属性最新告警时间timej=timei、类型typej=typei和告警重复次数repj=1;
若节点srci和desi之间已存在至少一条有向边,且其中一条有向边ej的类型typej与第i条网络攻击告警Ai的告警类型typei相同,则更新该边的属性最新告警时间为timej=max(timei,timej),更新告警重复次数为repj=repj+1。
步骤S103:对于时间段δ中的每一条告警执行步骤S102,完成网络安全事件图的创建;记网络安全事件图中边的总数为m,记边集合为E={e1,e2,…,em},第j条边可以表示为包含其属性的元组ej=(srcj,desj,timej,typej,repj)。
具体而言,步骤S2基于测试数据生成的网络安全事件图的边及其属性如表2所示:
表2网络安全时间图的边及其属性
网络安全事件图中边的总数m=14,边集合E={e1,e2,…,e14};网络安全事件图可视化效果如图3所示。
步骤S2网络安全事件图的创建具有两个关键参数,即采样时间t和采样周期T,其中采样周期T决定了选取告警日志的数量,进而决定网络安全事件图的规模和复杂程度;本发明一种基于图方法的工业互联网告警日志关联分析方法具有较小的时间复杂度,在实时或近实时分析的前提下,可以选用更长的采样周期,以达到更好的关联分析效果;实际使用中采样周期可根据工业互联网网络规模选定,测试数据选取了较短的采样周期,仅做说明使用。
步骤S2中应用社群发现算法将网络安全事件图划分成告警簇,图2所示测试网络安全事件图将被划分为2个告警簇,告警簇集合为Clustert=clustert,1,clustert,2};其中clustert,1包含边e1,e2,e3,e4,e5,e9和e13,clustert,2包含边e6,e7,e8,e10,e11,e12和e14。
步骤S3:利用统计方法和子图发现方法提取告警簇的统计特征和拓扑结构特征。
具体而言,步骤S3中第k个告警簇clustert,k的统计特征表示为stat,k=(degt,k,typet,k);其中degt,k={v1,d1;v2,d2;…;vp,dp}为该告警簇中心节点度分布,vi为第i个中心节点,di为vi入度与出度的和占clustert,k中所有节点入度与出度和的比值,且p个中心节点度分布满足且typet,k={type1,num1;type2,num2;…;typeq,numq}为clustert,k的告警类型分布,numj为告警簇clustert,k中包含的类型为typej的告警的数量。
测试网络安全事件图中,degt,1={IP2,0.5},typet,1={跨域访问,8},degt,2={IP8,0.5},typet,1={端口扫描,6;SQL注入,1}。
具体而言,步骤S3中第k个告警簇clustert,k的拓扑结构特征表示为topot,k={topo1,topo2,…,topo13};任意节点数不少于3的连通图都由若干个3节点子图构成,该连通图的任意3个连通节点及其之间的边构成一个3节点子图,拓扑结构特征topot,k利用3节点子图占比描述告警簇clustert,k的拓扑结构;3节点有向子图共有13种可能类型,当告警簇clustert,k只包含2个节点时,topot,k的每一维都为0,该告警簇不包含3节点子图;当告警簇clustert,k包含至少3个节点时,topoi为clustert,k中第i种3节点子图的占比。
测试网络安全事件图中,clustert,1中邻接矩阵为的3节点子图占比为1,故topot,1={1,0,…,0};clustert,2中邻接矩阵为的3节点子图占比为1,故topot,2={0,1,0,…,0};告警簇clustert,1的拓扑结构特征提取示意图如图4所示。
步骤S4:基于告警簇模式库和高危模式黑名单进行对常见告警簇模式的半自动化分析处理和对高危告警模式的快速识别。
具体而言,步骤S4中对于每一个告警簇clustert,k,首先将其与高危模式黑名单中的高危告警簇模式进行匹配,若其统计特征和拓扑结构特征与高危模式对应的特征之间的差别小于设定阈值,则认定该告警簇为高危事件;
若告警簇不为高危事件,则将其与告警簇模式库中的历史告警簇进行匹配,若特征差别小于设定阈值,则认定该告警簇与历史告警簇同模式,并返回历史告警簇研判结果;
若告警簇无法与模式库中任意历史告警簇匹配,则转到步骤S5对该告警簇进行人工研判。
对于拓扑结构特征,每个告警簇的拓扑结构特征都为13维向量,可以使用余弦相似性或欧氏距离等方法计算其相似度;
对于统计特征,其特征向量维数和每一维度表征的特征都不相同,应将其扩展至相同维数并归一后再进行计算;以计算typet,1和typet,2的相似性为例,可将二者分别扩展为[8 0 0]和[0 6 1],3个维度分别代表类型为跨域访问、端口扫描和SQL注入的告警数量,再进行归一化为[1 0 0]和最后使用余弦相似性或欧氏距离等方法计算其相似度。
对于两个告警簇,计算其拓扑结构相似度、告警类型相似度和中心节点相似度后,将3种相似度加权求和并归一化后即可得到两个告警簇的相似度simi,该相似度simi同时考虑两告警簇的告警类型统计特征、中心节点及其度分度和拓扑结构特征,可以较好表征两告警簇之间的相似性关系;dis=(1-simi)即为两告警簇之间差别。
步骤S4中告警簇模式库和高危模式黑名单的匹配阈值,基于专家知识由人工给定;该阈值的设定影响匹配结果和告警簇半自动化分析处理与高危告警模式识别的精度。
步骤S5:对于无法与告警簇模式库进行匹配的告警簇,基于其统计特征和拓扑结构特征,结合专家知识,对该告警簇进行研判,更新告警簇模式库和高危模式黑名单。
具体而言,步骤S5所述对每一个告警簇进行研判,是指在已有告警簇模式库和高危模式黑名单的辅助下,基于专家知识人工对每一个告警簇clustert,k进行分析,给出包含时间、安全事件、处置建议和威胁等级的研判结果resultt,k={timet,k,eventt,k,handlet,k,levelt,k};其中时间timet,k=t,事件eventt,k为根据经验判断该告警簇对应的网络安全事件,处置handlet,k为根据专家知识给出的该网络安全事件的推荐处置方法,威胁等级levelt,k为根据专家知识给出的该安全事件的威胁等级,取值1~5;将告警簇clustert,k的统计特征stat,k、拓扑结构特征topot,k和研判结果resultt,k添加到告警簇模式库中,完成模式库的更新;若威胁等级levelt,k=5,将告警簇clustert,k的统计特征stat,k、拓扑结构特征topot,k和研判结果resultt,k添加到高危模式黑名单中,完成黑名单的更新。
以clustert,1为例,经专家研判,该告警簇的产生是由于终端区主机访问外部互联网服务器,响应报文被安全规则较为严格的内网终端区安全系统天眼系统拦截,属于由终端区主机正常业务产生的误报,安全风险较低;因此,resultt,1={2020-09-01 08:20:00,业务误报,忽略,1};将clustert,1的统计特征、拓扑结构特征和研判结果添加至告警簇模式库,完成模式库的更新。以clustert,2为例,经专家研判,该告警簇的产生是由于有外部IP对内部主机进行端口扫描并尝试SQL注入攻击,攻击被迪普IPS拦截,属于外部恶意攻击,安全风险较高;因此,resultt,2={2020-09-01 08:20:00,恶意攻击,封禁攻击源IP地址,5};将clustert,2的统计特征、拓扑结构特征和研判结果添加至告警簇模式库和高危模式黑名单,完成模式库和黑名单的更新。
Claims (9)
1.一种基于图方法的工业互联网告警日志关联分析方法,其特征在于,包括以下步骤:
步骤1,获取多源的网络攻击告警日志;
步骤2,对获取的网络攻击告警日志按照各自数据格式进行解析,得到每一条网络攻击告警对应的特征量;
步骤3,根据得到的特征量创建网络安全事件图,并将网络安全事件图划分为多个告警簇;
步骤4,提取每个告警簇对应的统计特征和拓扑结构特征;
步骤5,根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别;
步骤3中,根据得到的特征量创建网络安全事件图,具体方法是:
S301,根据步骤2中的特征量获取IP地址集合;构建空白有向图;
S302,将IP地址集合中的元素作为向空白有向图中的节点;
S303,判断第i条网络攻击告警Ai的源IP地址对应的节点和目的IP地址对应的节点之间是否存在有向边,若不存在进入S304,否则进入S305;
S304,在节点srci和节点desi之间添加一条有向边ej=(srci,esi),并为该边添加最新告警时间、类型和告警重复次数;
S305,若节点srci和节点desi之间已存在至少一条边,且每条边的告警类型均与该第i条网络攻击告警Ai对应的告警类型不同,则在节点srci和节点desi之间添加一条新的有向边ej=(srci,esi),并为该边添加最新告警时间、类型和告警重复次数;
若节点srci和节点desi之间已存在至少一条有向边,且其中任意一条有向边的告警类型与该第i条网络攻击告警Ai对应的告警类型相同,则更新该有向边的最新告警时间和告警重复次数;
S306,重复执行S303至S305,直至完成设定时间段内每条网络攻击告警,进而得到网络安全事件图。
2.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法,其特征在于,步骤2中,每一条网络攻击告警对应的特征量包括警时间、源IP地址、目的IP地址和告警类型。
3.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法,其特征在于,步骤3中,根据得到的特征量创建网络安全事件图,具体方法是:
S301,根据步骤2中的特征量获取IP地址集合;构建空白有向图;
S302,将IP地址集合中的元素作为向空白有向图中的节点;
S303,判断第i条网络攻击告警Ai的源IP地址对应的节点和目的IP地址对应的节点之间是否存在有向边,若不存在进入S304,否则进入S305;
S304,在节点srci和节点desi之间添加一条有向边ej=(srci,esi),并为该边添加最新告警时间、类型和告警重复次数;
S305,若节点srci和节点desi之间已存在至少一条边,且每条边的告警类型均与该第i条网络攻击告警Ai对应的告警类型不同,则在节点srci和节点desi之间添加一条新的有向边ej=(srci,esi),并为该边添加最新告警时间、类型和告警重复次数;
若节点srci和节点desi之间已存在至少一条有向边,且其中任意一条有向边的告警类型与该第i条网络攻击告警Ai对应的告警类型相同,则更新该有向边的最新告警时间和告警重复次数;
S306,重复执行S303至S305,直至完成设定时间段内每条网络攻击告警,进而得到网络安全事件图。
4.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法,其特征在于,步骤3中,利用社群发现算法将网络安全事件图划分为两个告警簇。
5.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法,其特征在于,步骤4中,利用统计方法和子图发现方法提取每个告警簇对应的统计特征和拓扑结构特征。
6.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法,其特征在于,步骤5中,根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别,具体方法是:
将得到每条告警簇对应的统计特征和拓扑结构特征与预设的高危模式黑名单中高危告警簇对应的统计特征和拓扑结构特征进行匹配,进而判断该条告警簇是否为高危事件;
若该条告警簇为非高危事件时,将该条告警簇的统计特征和拓扑结构特征与预设的告警簇模式库中的历史告警簇进行匹配,进而根据匹配结果对该条告警簇进行研判;
若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败,则进行人工研判。
7.根据权利要求6所述的一种基于图方法的工业互联网告警日志关联分析方法,其特征在于,判断该条告警簇是否为高危事件,具体方法是:
若该告警簇的统计特征和拓扑结构特征与高危模式对应的特征之间的差别小于设定阈值,则认定该告警簇为高危事件。
8.根据权利要求6所述的一种基于图方法的工业互联网告警日志关联分析方法,其特征在于,若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败后,则将该告警簇对应的统计特征、拓扑结构特征和研判结果添加至告警簇模式库,完成告警簇模式库的更新。
9.一种基于图方法的工业互联网告警日志关联分析系统,其特征在于,包括:
数据采集单元,用于获取网络攻击告警日志;
数据提取单元,用于对获取的网络攻击告警日志进行解析,得到每一条网络攻击告警对应的特征量;
数据划分单元,用于根据得到的特征量创建网络安全事件图,并将网络安全事件图划分为多个告警簇;根据得到的特征量创建网络安全事件图,具体方法是:
S301,根据特征量获取IP地址集合;构建空白有向图;
S302,将IP地址集合中的元素作为向空白有向图中的节点;
S303,判断第i条网络攻击告警Ai的源IP地址对应的节点和目的IP地址对应的节点之间是否存在有向边,若不存在进入S304,否则进入S305;
S304,在节点srci和节点desi之间添加一条有向边ej=(srci,esi),并为该边添加最新告警时间、类型和告警重复次数;
S305,若节点srci和节点desi之间已存在至少一条边,且每条边的告警类型均与该第i条网络攻击告警Ai对应的告警类型不同,则在节点srci和节点desi之间添加一条新的有向边ej=(srci,esi),并为该边添加最新告警时间、类型和告警重复次数;
若节点srci和节点desi之间已存在至少一条有向边,且其中任意一条有向边的告警类型与该第i条网络攻击告警Ai对应的告警类型相同,则更新该有向边的最新告警时间和告警重复次数;
S306,重复执行S303至S305,直至完成设定时间段内每条网络攻击告警,进而得到网络安全事件图;
特征提取单元,用于提取每个告警簇对应的统计特征和拓扑结构特征;
分析识别单元,用于根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111678291.6A CN114301712B (zh) | 2021-12-31 | 2021-12-31 | 一种基于图方法的工业互联网告警日志关联分析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111678291.6A CN114301712B (zh) | 2021-12-31 | 2021-12-31 | 一种基于图方法的工业互联网告警日志关联分析方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114301712A CN114301712A (zh) | 2022-04-08 |
CN114301712B true CN114301712B (zh) | 2023-04-07 |
Family
ID=80974820
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111678291.6A Active CN114301712B (zh) | 2021-12-31 | 2021-12-31 | 一种基于图方法的工业互联网告警日志关联分析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114301712B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114944956A (zh) * | 2022-05-27 | 2022-08-26 | 深信服科技股份有限公司 | 一种攻击链路检测方法、装置、电子设备及存储介质 |
CN115001954B (zh) * | 2022-05-30 | 2023-06-09 | 广东电网有限责任公司 | 一种网络安全态势感知方法、装置及系统 |
CN115225386B (zh) * | 2022-07-20 | 2023-05-19 | 广东电网有限责任公司 | 基于事件序列关联融合的业务识别与风险分析方法及系统 |
CN115460066B (zh) * | 2022-10-26 | 2023-01-03 | 北京安帝科技有限公司 | 工业主机行为数据的边缘聚合探针装置及其方法 |
CN115801458B (zh) * | 2023-02-02 | 2023-05-12 | 南京赛宁信息技术有限公司 | 一种针对多步攻击的实时攻击场景重构方法、系统与设备 |
CN116915507B (zh) * | 2023-09-12 | 2023-12-05 | 奇安星城网络安全运营服务(长沙)有限公司 | 基于安全信号匹配的计算机网络安全分析系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
WO2021016978A1 (zh) * | 2019-08-01 | 2021-02-04 | 中国科学院深圳先进技术研究院 | 电信网络告警预测方法及系统 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113315666A (zh) * | 2021-07-02 | 2021-08-27 | 天津嘉恒达科技有限公司 | 一种面向信息网络安全的防御控制方法及系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9853994B2 (en) * | 2013-01-21 | 2017-12-26 | Mitsubishi Electric Corporation | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program |
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
CN109005069B (zh) * | 2018-08-29 | 2021-07-09 | 中国人民解放军国防科技大学 | 基于天地一体化网络的网络安全知识图谱的关联分析方法 |
CN110213077B (zh) * | 2019-04-18 | 2022-02-22 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
CN113676464B (zh) * | 2021-08-09 | 2023-07-04 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
-
2021
- 2021-12-31 CN CN202111678291.6A patent/CN114301712B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
WO2021016978A1 (zh) * | 2019-08-01 | 2021-02-04 | 中国科学院深圳先进技术研究院 | 电信网络告警预测方法及系统 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113315666A (zh) * | 2021-07-02 | 2021-08-27 | 天津嘉恒达科技有限公司 | 一种面向信息网络安全的防御控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114301712A (zh) | 2022-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114301712B (zh) | 一种基于图方法的工业互联网告警日志关联分析方法及系统 | |
EP3905624A1 (en) | Botnet domain name family detecting method, apparatus, device, and storage medium | |
CN110300027A (zh) | 一种异常登录检测方法 | |
CN110062380A (zh) | 一种移动应用系统的连接访问请求安全检测方法 | |
CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
CN112491860A (zh) | 一种面向工业控制网络的协同入侵检测方法 | |
Bajtoš et al. | Network intrusion detection with threat agent profiling | |
CN116366376B (zh) | 一种apt攻击溯源图分析方法 | |
CN111709022B (zh) | 基于ap聚类与因果关系的混合报警关联方法 | |
CN114356989A (zh) | 审计异常数据检测方法及装置 | |
RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
CN111865899B (zh) | 威胁驱动的协同采集方法及装置 | |
CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
Riad et al. | Visualize network anomaly detection by using k-means clustering algorithm | |
CN114039837B (zh) | 告警数据处理方法、装置、系统、设备和存储介质 | |
CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
Yang et al. | Computer User Behavior Anomaly Detection Based on K-Means Algorithm | |
CN114172699A (zh) | 一种工业控制网络安全事件关联分析方法 | |
CN111475380B (zh) | 一种日志分析方法和装置 | |
CN110262467B (zh) | 基于深度学习的工控系统入侵攻击及线索发现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |