CN114301712B

CN114301712B - 一种基于图方法的工业互联网告警日志关联分析方法及系统

Info

Publication number: CN114301712B
Application number: CN202111678291.6A
Authority: CN
Inventors: 刘杨; 刘烃; 王云; 姜宝翔; 任泽华; 刘慧翔
Original assignee: Xian Jiaotong University
Current assignee: Xian Jiaotong University
Priority date: 2021-12-31
Filing date: 2021-12-31
Publication date: 2023-04-07
Anticipated expiration: 2041-12-31
Also published as: CN114301712A

Abstract

本发明提供的一种基于图方法的工业互联网告警日志关联分析方法及系统，包括以下步骤：步骤1，获取网络攻击告警日志；步骤2，对获取的网络攻击告警日志进行解析，得到每一条网络攻击告警对应的特征量；步骤3，根据得到的特征量创建网络安全事件图，并将网络安全事件图划分为多个告警簇；步骤4，提取每个告警簇对应的统计特征和拓扑结构特征；步骤5，根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别；本发明避免了告警日志数据多源、异构特点的影响，能够有效提高常见安全事件告警的处理效率和高危事件的识别能力，并且能够提供对工业互联网整体安全态势的感知能力。

Description

一种基于图方法的工业互联网告警日志关联分析方法及系统

技术领域

本发明属于工业互联网入侵检测领域，特别涉及一种基于图方法的工业互联网告警日志关联分析方法及系统。

背景技术

工业互联网将先进的传感量测技术、信息通信技术和自动控制技术与流程工业相结合，使用工业互联网感知流程工业的状态信息和参数数据，以及下发控制指令，实现工业流程的远程实时控制。先进的工业互联网技术的应用，提升了工业生产的能控性、能观性和实时性，并有着资源整合、远程控制以及与门户网站和外网互联网互联的趋势。工业互联网的应用提高了流程工业的生产效率，但也使传统互联网中的网络安全问题对工业生产造成威胁，典型的网络攻击类型如拒绝服务攻击、数据窃听、中间人攻击等，在工业互联网中同样有效且危害巨大。

为应对网络安全问题带来的威胁，工业互联网通常会部署入侵检测系统和网络应用防火墙等网络安全系统和设备，设置较为严格的安全规则检测网络流量，并雇佣网络安全分析人员实施监控、分析和处置网络安全系统和设备产生的网络安全事件告警。工业互联网通常和传统互联网具备不同的网络结构，工业互联网通常可以划分为多个分区，例如终端区、服务器区等，不同分区内主机的业务功能、产生的网络流量、受网络安全事件的威胁程度和网络安全事件可能造成后果的严重程度各有不同。因此，工业互联网通常会在网络的不同位置或分区部署多个网络安全系统和设备，这些系统和设备可能来自不同的厂家、应用不同的安全规则以及使用不同的数据和日志格式与采集、存储方式。这种多源、异构的数据特性，给安全分析人员的监控、分析和处置工作带来额外的困难和挑战，分布于网络不同分区、应用不同规则的部署方式，也增加了利用单独的网络安全系统或设备理解网络整体安全态势的难度。

另外，由于工业互联网应用较为严格的安全规则，而网络构建优先考虑生产效率而非安全需求，工业互联网中部署的网络安全系统和设备会产生海量的低风险告警和误报。海量低风险告警和误报与少量具有较大安全风险的告警相互混杂，也使告警数据的分析处理更加困难。

发明内容

本发明的目的在于提供一种基于图方法的工业互联网告警日志关联分析方法及系统，解决了现有技术中存在的上述不足。

为了达到上述目的，本发明采用的技术方案是：

本发明提供的一种基于图方法的工业互联网告警日志关联分析方法，包括以下步骤：

步骤1，获取网络攻击告警日志；

步骤2，对获取的网络攻击告警日志进行解析，得到每一条网络攻击告警对应的特征量；

步骤3，根据得到的特征量创建网络安全事件图，并将网络安全事件图划分为多个告警簇；

步骤4，提取每个告警簇对应的统计特征和拓扑结构特征；

步骤5，根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别。

优选地，步骤2中，每一条网络攻击告警对应的特征量包括警时间、源IP地址、目的IP地址和告警类型。

优选地，步骤3中，根据得到的特征量创建网络安全事件图，具体方法是：

S301，根据步骤2中的特征量获取IP地址集合；构建空白有向图；

S302，将IP地址集合中的元素作为向空白有向图中的节点；

S303，判断第i条网络攻击告警A_i的源IP地址对应的节点和目的IP地址对应的节点之间是否存在有向边，若不存在进入S304,否则进入S305；

S304，在节点src_i和节点des_i之间添加一条有向边e_j＝(src_i,des_i)，并为该边添加最新告警时间、类型和告警重复次数；

S305，若节点src_i和节点des_i之间已存在至少一条边，且每条边的告警类型均与该第i条网络攻击告警A_i对应的告警类型不同，则在节点src_i和节点des_i之间添加一条新的有向边e_j＝(src_i,des_i)，并为该边添加最新告警时间、类型和告警重复次数；

若节点src_i和节点des_i之间已存在至少一条有向边，且其中任意一条有向边的告警类型与该第i条网络攻击告警A_i对应的告警类型相同，则更新该有向边的最新告警时间和告警重复次数；

S306，重复执行S303至S305，直至完成设定时间段内每条网络攻击告警，进而得到网络安全事件图。

优选地，步骤3中，利用社群发现算法将网络安全事件图划分为两个告警簇。

优选地，步骤4中，利用统计方法和子图发现方法提取每个告警簇对应的统计特征和拓扑结构特征。

优选地，步骤5中，根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别，具体方法是：

将得到每条告警簇对应的统计特征和拓扑结构特征与预设的高危模式黑名单中高危告警簇对应的统计特征和拓扑结构特征进行匹配，进而判断该条告警簇是否为高危事件；

若该条告警簇为非高危事件时，将该条告警簇的统计特征和拓扑结构特征与预设的告警簇模式库中的历史告警簇进行匹配，进而根据匹配结果对该条告警簇进行研判；

若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败，则进行人工研判。

优选地，判断该条告警簇是否为高危事件，具体方法是：

若该告警簇的统计特征和拓扑结构特征与高危模式对应的特征之间的差别小于设定阈值，则认定该告警簇为高危事件。

优选地，若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败后，则将该告警簇对应的统计特征、拓扑结构特征和研判结果添加至告警簇模式库，完成告警簇模式库的更新。

一种基于图方法的工业互联网告警日志关联分析系统，包括：

数据采集单元，用于获取网络攻击告警日志；

数据提取单元，用于对获取的网络攻击告警日志进行解析，得到每一条网络攻击告警对应的特征量；

数据划分单元，用于根据得到的特征量创建网络安全事件图，并将网络安全事件图划分为多个告警簇；

特征提取单元，用于提取每个告警簇对应的统计特征和拓扑结构特征；

分析识别单元，用于根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别。

与现有技术相比，本发明的有益效果是：

本发明提供的一种基于图方法的工业互联网告警日志关联分析方法，利用图方法作为手段，基于网络安全事件图对来自不同厂家、应用不同规则和数据结构、部署于工业互联网不同分区的网络安全系统和设备的告警日志进行统一的解析、特征提取和告警簇划分，避免了告警日志数据多源、异构特点的影响，能够有效提高常见安全事件告警的处理效率和高危事件的识别能力，并且能够提供对工业互联网整体安全态势的感知能力。

进一步的，利用社群发现方法对网络安全事件图进行划分，从而对海量的告警数据进行有效的、可解释的归并聚类，可以有效、精准的排除海量低风险告警和误报的干扰，快速、精准地对高危安全事件进行识别，从而在降低告警日志分析处理工作量的同时提升工业互联网的网络安全防护能力。

进一步的，本系统在原有网络安全系统和设备的基础上进行的改进与提升，在原有网路安全系统和设备检测结果的基础上进行分析，可以在原有系统上通过软件升级的方式进行部署，不需要额外的硬件开销。

进一步的，本发明的方法的算法复杂度较低，在较大规模的工业互联网中也可做到实时或类实时的分析速度，通过较小的运算开销可以实现网络安全防护能力的显著提升。

附图说明

图1为整体流程图；

图2为创建网络安全事件图的流程图；

图3为由测试告警日志数据生成的网络安全事件图示例；

图4为告警簇cluster_t,1拓扑结构特征提取示意图。

具体实施方式

以下结合附图和测试数据详细说明本发明的实施方式。

图1为基于图方法的工业互联网告警日志关联分析方法整体流程图，展示了对工业互联网多源异构网络安全告警日志进行关联分析过程的基本框架，其中输入测试数据为节选自某电力公司网络安全告警日志数据库的少量告警日志数据，源IP地址及目的IP地址已进行脱敏处理；测试告警日志数据由部署于该公司网络外网出口处的迪普IPS、部署于服务器区的盛邦WAF和部署于终端区的天眼系统产生，满足多源、异构的要求。

本发明一种基于图方法的工业互联网告警日志关联分析方法，包括以下步骤：

步骤S1：获取由部署在工业互联网中的网络安全设备和系统产生的网络攻击告警日志；对来自不同网络安全设备和系统的告警日志进行解析，并对告警日志中包含的每一条网络攻击告警提取特征量。

具体而言，采集由部署于工业互联网中的不同安全系统或设备产生的告警日志后，应将告警日志按照各自数据格式进行解析，对于每一条网络攻击告警提取特征量，体征量包括告警时间time、源IP地址src、目的IP地址des和告警类型type，则第i条网络攻击告警A_i可以表示为A_i＝(time_i，src_i，des_i，type_i)；测试数据解析后得到的特征量如表1所示：

表1测试告警数据特征量

步骤S2:基于一定时间窗口内的网络攻击告警的特征量创建网络安全事件图，并将网络安全事件图划分为告警簇。

具体而言，表1所示测试告警数据及其特征量对应于步骤S2中采样时刻t＝2020-09-0108:20:00，采样周期T＝20min时的采样结果；源IP地址和目的IP地址总量l＝15，IP地址集合为IP＝{IP1,IP2,…,IP15}。

结合图2，步骤S2所述创建网络安全事件图的具体方法为：

步骤S101：向空白有向图graph_t中添加节点，IP地址集合IP中每个IP地址作为一个节点，即网络安全事件图共包含15个节点，分别为IP1，IP2…，IP15。

步骤S102：判断第i条网络攻击告警A_i的源IP地址对应的节点和目的IP地址对应的节点之间是否存在有向边，其中：

若第i条网络攻击告警的源IP地址对应的节点src_i和第i条网络攻击告警的目的IP地址对应的节点des_i之间不存在边，则在节点src_i和节点des_i之间添加一条有向边e_j＝(src_i,des_i)，并为该边添加属性最新告警时间edge_time_j＝time_i、类型edge_type_j＝type_i和告警重复次数rep_j＝1；

若节点src_i和des_i之间已存在至少一条有向边，且所有有向边的类型都不同于该第i条网络攻击告警A_i的告警类型type_i，则在节点src_i和des_i之间添加一条新的有向边e_j＝(src_i,des_i)，并为该边添加属性最新告警时间time_j＝time_i、类型type_j＝type_i和告警重复次数rep_j＝1；

若节点src_i和des_i之间已存在至少一条有向边，且其中一条有向边e_j的类型type_j与第i条网络攻击告警A_i的告警类型type_i相同，则更新该边的属性最新告警时间为time_j＝max(time_i,time_j),更新告警重复次数为rep_j＝rep_j+1。

步骤S103：对于时间段δ中的每一条告警执行步骤S102，完成网络安全事件图的创建；记网络安全事件图中边的总数为m，记边集合为E＝{e₁,e₂,…,e_m},第j条边可以表示为包含其属性的元组e_j＝(src_j,des_j,time_j,type_j,rep_j)。

具体而言，步骤S2基于测试数据生成的网络安全事件图的边及其属性如表2所示：

表2网络安全时间图的边及其属性

网络安全事件图中边的总数m＝14，边集合E＝{e₁,e₂,…,e₁₄}；网络安全事件图可视化效果如图3所示。

步骤S2网络安全事件图的创建具有两个关键参数，即采样时间t和采样周期T，其中采样周期T决定了选取告警日志的数量，进而决定网络安全事件图的规模和复杂程度；本发明一种基于图方法的工业互联网告警日志关联分析方法具有较小的时间复杂度，在实时或近实时分析的前提下，可以选用更长的采样周期，以达到更好的关联分析效果；实际使用中采样周期可根据工业互联网网络规模选定，测试数据选取了较短的采样周期，仅做说明使用。

步骤S2中应用社群发现算法将网络安全事件图划分成告警簇，图2所示测试网络安全事件图将被划分为2个告警簇，告警簇集合为Cluster_t＝cluster_t,1,cluster_t,2}；其中cluster_t,1包含边e₁，e₂，e₃，e₄，e₅，e₉和e₁₃，cluster_t,2包含边e₆，e₇，e₈，e₁₀，e₁₁，e₁₂和e₁₄。

步骤S3：利用统计方法和子图发现方法提取告警簇的统计特征和拓扑结构特征。

具体而言，步骤S3中第k个告警簇cluster_t,k的统计特征表示为sta_t,k＝(deg_t,k,type_t,k)；其中deg_t,k＝{v₁,d₁；v₂,d₂；…；v_p,d_p}为该告警簇中心节点度分布,v_i为第i个中心节点，d_i为v_i入度与出度的和占cluster_t,k中所有节点入度与出度和的比值，且p个中心节点度分布满足

且

type_t,k＝{type₁,num₁；type₂,num₂；…；type_q,num_q}为cluster_t,k的告警类型分布,num_j为告警簇cluster_t,k中包含的类型为type_j的告警的数量。

测试网络安全事件图中，deg_t,1＝{IP2,0.5}，type_t,1＝{跨域访问,8}，deg_t,2＝{IP8,0.5}，type_t,1＝{端口扫描,6；SQL注入,1}。

具体而言，步骤S3中第k个告警簇cluster_t,k的拓扑结构特征表示为topo_t,k＝{topo₁,topo₂,…,topo₁₃}；任意节点数不少于3的连通图都由若干个3节点子图构成，该连通图的任意3个连通节点及其之间的边构成一个3节点子图，拓扑结构特征topo_t,k利用3节点子图占比描述告警簇cluster_t,k的拓扑结构；3节点有向子图共有13种可能类型，当告警簇cluster_t,k只包含2个节点时，topo_t,k的每一维都为0，该告警簇不包含3节点子图；当告警簇cluster_t,k包含至少3个节点时，topo_i为cluster_t,k中第i种3节点子图的占比。

测试网络安全事件图中，cluster_t,1中邻接矩阵为

的3节点子图占比为1，故topot_,1＝{1,0,…,0}；cluster_t,2中邻接矩阵为

的3节点子图占比为1，故topo_t,2＝{0,1,0,…,0}；告警簇cluster_t,1的拓扑结构特征提取示意图如图4所示。

步骤S4：基于告警簇模式库和高危模式黑名单进行对常见告警簇模式的半自动化分析处理和对高危告警模式的快速识别。

具体而言，步骤S4中对于每一个告警簇cluster_t,k，首先将其与高危模式黑名单中的高危告警簇模式进行匹配，若其统计特征和拓扑结构特征与高危模式对应的特征之间的差别小于设定阈值，则认定该告警簇为高危事件；

若告警簇不为高危事件，则将其与告警簇模式库中的历史告警簇进行匹配，若特征差别小于设定阈值，则认定该告警簇与历史告警簇同模式，并返回历史告警簇研判结果；

若告警簇无法与模式库中任意历史告警簇匹配，则转到步骤S5对该告警簇进行人工研判。

对于拓扑结构特征，每个告警簇的拓扑结构特征都为13维向量，可以使用余弦相似性或欧氏距离等方法计算其相似度；

对于统计特征，其特征向量维数和每一维度表征的特征都不相同，应将其扩展至相同维数并归一后再进行计算；以计算type_t,1和type_t,2的相似性为例，可将二者分别扩展为[8 0 0]和[0 6 1]，3个维度分别代表类型为跨域访问、端口扫描和SQL注入的告警数量，再进行归一化为[1 0 0]和

最后使用余弦相似性或欧氏距离等方法计算其相似度。

对于两个告警簇，计算其拓扑结构相似度、告警类型相似度和中心节点相似度后，将3种相似度加权求和并归一化后即可得到两个告警簇的相似度simi，该相似度simi同时考虑两告警簇的告警类型统计特征、中心节点及其度分度和拓扑结构特征，可以较好表征两告警簇之间的相似性关系；dis＝(1-simi)即为两告警簇之间差别。

步骤S4中告警簇模式库和高危模式黑名单的匹配阈值，基于专家知识由人工给定；该阈值的设定影响匹配结果和告警簇半自动化分析处理与高危告警模式识别的精度。

步骤S5：对于无法与告警簇模式库进行匹配的告警簇，基于其统计特征和拓扑结构特征，结合专家知识，对该告警簇进行研判，更新告警簇模式库和高危模式黑名单。

具体而言，步骤S5所述对每一个告警簇进行研判，是指在已有告警簇模式库和高危模式黑名单的辅助下，基于专家知识人工对每一个告警簇cluster_t,k进行分析，给出包含时间、安全事件、处置建议和威胁等级的研判结果result_t,k＝{time_t,k,event_t,k,handle_t,k,level_t,k}；其中时间time_t,k＝t，事件event_t,k为根据经验判断该告警簇对应的网络安全事件，处置handle_t,k为根据专家知识给出的该网络安全事件的推荐处置方法，威胁等级level_t,k为根据专家知识给出的该安全事件的威胁等级，取值1～5；将告警簇cluster_t,k的统计特征sta_t,k、拓扑结构特征topo_t,k和研判结果result_t,k添加到告警簇模式库中，完成模式库的更新；若威胁等级level_t,k＝5，将告警簇cluster_t,k的统计特征sta_t,k、拓扑结构特征topo_t,k和研判结果result_t,k添加到高危模式黑名单中，完成黑名单的更新。

以cluster_t,1为例，经专家研判，该告警簇的产生是由于终端区主机访问外部互联网服务器，响应报文被安全规则较为严格的内网终端区安全系统天眼系统拦截，属于由终端区主机正常业务产生的误报，安全风险较低；因此，result_t,1＝{2020-09-01 08:20:00,业务误报,忽略,1}；将cluster_t,1的统计特征、拓扑结构特征和研判结果添加至告警簇模式库，完成模式库的更新。以cluster_t,2为例，经专家研判，该告警簇的产生是由于有外部IP对内部主机进行端口扫描并尝试SQL注入攻击，攻击被迪普IPS拦截，属于外部恶意攻击，安全风险较高；因此，result_t,2＝{2020-09-01 08:20:00,恶意攻击,封禁攻击源IP地址,5}；将cluster_t,2的统计特征、拓扑结构特征和研判结果添加至告警簇模式库和高危模式黑名单，完成模式库和黑名单的更新。

Claims

1.一种基于图方法的工业互联网告警日志关联分析方法，其特征在于，包括以下步骤：

步骤1，获取多源的网络攻击告警日志；

步骤2，对获取的网络攻击告警日志按照各自数据格式进行解析，得到每一条网络攻击告警对应的特征量；

步骤4，提取每个告警簇对应的统计特征和拓扑结构特征；

步骤5，根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别；

步骤3中，根据得到的特征量创建网络安全事件图，具体方法是：

S302，将IP地址集合中的元素作为向空白有向图中的节点；

S304，在节点src_i和节点des_i之间添加一条有向边e_j＝(src_i,es_i)，并为该边添加最新告警时间、类型和告警重复次数；

S305，若节点src_i和节点des_i之间已存在至少一条边，且每条边的告警类型均与该第i条网络攻击告警A_i对应的告警类型不同，则在节点src_i和节点des_i之间添加一条新的有向边e_j＝(src_i,es_i)，并为该边添加最新告警时间、类型和告警重复次数；

2.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法，其特征在于，步骤2中，每一条网络攻击告警对应的特征量包括警时间、源IP地址、目的IP地址和告警类型。

3.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法，其特征在于，步骤3中，根据得到的特征量创建网络安全事件图，具体方法是：

S302，将IP地址集合中的元素作为向空白有向图中的节点；

4.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法，其特征在于，步骤3中，利用社群发现算法将网络安全事件图划分为两个告警簇。

5.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法，其特征在于，步骤4中，利用统计方法和子图发现方法提取每个告警簇对应的统计特征和拓扑结构特征。

6.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法，其特征在于，步骤5中，根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别，具体方法是：

7.根据权利要求6所述的一种基于图方法的工业互联网告警日志关联分析方法，其特征在于，判断该条告警簇是否为高危事件，具体方法是：

8.根据权利要求6所述的一种基于图方法的工业互联网告警日志关联分析方法，其特征在于，若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败后，则将该告警簇对应的统计特征、拓扑结构特征和研判结果添加至告警簇模式库，完成告警簇模式库的更新。

9.一种基于图方法的工业互联网告警日志关联分析系统，其特征在于，包括：

数据采集单元，用于获取网络攻击告警日志；

数据划分单元，用于根据得到的特征量创建网络安全事件图，并将网络安全事件图划分为多个告警簇；根据得到的特征量创建网络安全事件图，具体方法是：

S301，根据特征量获取IP地址集合；构建空白有向图；

S302，将IP地址集合中的元素作为向空白有向图中的节点；

S306，重复执行S303至S305，直至完成设定时间段内每条网络攻击告警，进而得到网络安全事件图；