CN114500011A - 一种基于行为基线异常分析和事件编排的辅助决策方法 - Google Patents

一种基于行为基线异常分析和事件编排的辅助决策方法 Download PDF

Info

Publication number
CN114500011A
CN114500011A CN202210035279.1A CN202210035279A CN114500011A CN 114500011 A CN114500011 A CN 114500011A CN 202210035279 A CN202210035279 A CN 202210035279A CN 114500011 A CN114500011 A CN 114500011A
Authority
CN
China
Prior art keywords
alarm
event
network security
analysis
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210035279.1A
Other languages
English (en)
Other versions
CN114500011B (zh
Inventor
范晓波
陈蔓
王伟
胥小波
敖佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronic Technology Cyber Security Co Ltd
Original Assignee
China Electronic Technology Cyber Security Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronic Technology Cyber Security Co Ltd filed Critical China Electronic Technology Cyber Security Co Ltd
Priority to CN202210035279.1A priority Critical patent/CN114500011B/zh
Publication of CN114500011A publication Critical patent/CN114500011A/zh
Application granted granted Critical
Publication of CN114500011B publication Critical patent/CN114500011B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于行为基线异常分析和事件编排的辅助决策方法,属于网络安全技术领域,包括步骤:S1,基于行为基线异常分析定位真实告警信息,编排网络安全事件分析模型;S2,采用编排的网络安全事件分析模型,对定位到的真实告警信息进行告警处置。本发明提供了包括快速精准定位真实告警信息、预先编排网络安全事件分析标准模型、告警自动化处置为一体的网络安全事件处置方案,不仅能够从流程上打通、团队上协同,还能够降低网络安全分析技术门槛、减轻网络安全决策负担,提升效率。

Description

一种基于行为基线异常分析和事件编排的辅助决策方法
技术领域
本发明涉及网络安全技术领域,更为具体的,涉及一种基于行为基线异常分析和事件编排的辅助决策方法。
背景技术
随着计算机网络的快速发展,网络安全威胁日益严峻,通过对网络安全设备产生的告警日志进行分析,是网络安全态势感知的一种重要手段。
但目前存在网络环境愈发复杂、攻击手段愈发多样、安全分析人员经验难以固化等问题,使得传统的人工分析方式难以应对海量的告警日志信息,阻碍了对真正威胁的及时响应。现有技术中存在如下问题:1)由于网络环境的日渐复杂性,难以准确分析、定位告警信息;2)流程上部分环节依赖于人工,技术分析门槛受限于人的认知,协同性较差,网络安全决策负担较重;3)数据包在传输过程中会经过多个网络安全设备,存在大量重复告警,导致分析效率低下等。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于行为基线异常分析和事件编排的辅助决策方法,不仅能够从流程上打通、团队上协同,还能够降低网络安全分析技术门槛、减轻网络安全决策负担等。
本发明的目的是通过以下方案实现的:
一种基于行为基线异常分析和事件编排的辅助决策方法,包括步骤:
S1,基于行为基线异常分析定位真实告警信息,编排网络安全事件分析模型;
S2,采用编排的网络安全事件分析模型,对定位到的真实告警信息进行告警处置。
进一步地,在步骤S1中所述基于行为基线异常分析定位真实告警信息包括子步骤:
S101,定义告警数据字段;
S102,以步骤S101定义的告警数据字段作为特征,对在某个设定时间范围内的重复告警日志记录进行去重筛选;
S103,对步骤S102筛选的告警日志中,从告警数据字段中的告警类型、名称、类型占比、请求头、响应头建立每台内网主机的行为基线,采用告警数据字段中的源IP、目的IP、告警信息、告警时间作为选择的组合特征进行建模;
S104,对步骤S103选择的组合特征进行特征编码;
S105,对步骤S104中进行特征编码后的特征,进行异常检测。
进一步地,在步骤S1中所述编排网络安全事件分析模型,包括子步骤:
S111,采用安全事件编排剧本设计相应的流程剧本,且剧本由动作和处理逻辑两部分组成;
S112,通过将多源异构的安全事件进行重定义和分析形成安全分析与响应引擎,完成复杂安全场景的分析,用于实现自动化、API化地驱动各应用;
S113,通过网络安全事件编排对典型网络安全事件场景进行编排,形成对应的网络安全处置模型。
进一步地,在步骤S2中,包括子步骤:
S201,采用网络安全设备分布式调度将安全目标进行分解,结合网络安全资源,构建网络安全资源综合管理模型;
S202,采用多点异构安全设备处置命令自动下发建立网络安全设备联动API接口,构建异构设备安全处置命令下发脚本,实现决策指令在不同设备之间下发与执行,通过调用编排的所述网络安全事件分析模型,达到自动化告警处置。
进一步地,在步骤S101中,所述告警数据字段的公式化表示如下:
A=[time,sip,dip,device_ip,dport,event_type,event_name,payload, q_dody,r_body]
其中,A为单条告警数据,time为告警产生时间、sip为源IP、dip为目的IP、device_ip为产生该条告警的探针IP、dport为目的端口、event_type 为告警类型、event_name为告警名称、payload为告警载荷、q_body为Web 访问的请求体、r_body为Web请求的响应体。
进一步地,在步骤S102中,以源IP、目的IP、告警信息、告警时间作为组合特征,对在某个设定时间范围内的重复告警日志记录进行去重,公式化表示如下:
Figure BDA0003468107310000031
满足,
|A1[time]-A2[time]|<Timestamp
其中:A1,A2分别为不同的告警数据,R为是否去重,f为告警数据相似度衡量函数,t为相似度阈值,Timestamp为时间窗阈值;若告警数据A1,A2产生的时间在Timestamp内,且A1,A2之间的相似度大于等于阈值t,则表示A1,A2为重复告警即R=1,否则为不同告警即R=0。
进一步地,在步骤S103中,包括子步骤:
首先构建基本子集{sip,dip};
然后计算其他特征列和基本子集的互信息量,若互信息量小于阈值则保留,特征x1、x2的互信息量计算公式表示如下:
Figure BDA0003468107310000041
其中:S1,S2分别表示x1,x2的状态空间;
最终选择源IP、目的IP、告警信息、告警时间作为组合特征进行建模。
进一步地,在步骤S104中,所述特征编码为采用哈希编码和one-hot 编码组合的二进制编码。
进一步地,在步骤S105中,所述进行异常检测包括采用孤立森林算法,利用孤立树二叉搜索树结构来孤立样本,具体包括以下子步骤:
S501,从数据集X中抽取用于建立孤立树的样本集Y,并计算该树的最大深度,计算公式表示如下:
Figure BDA0003468107310000042
其中:max_depth为孤立树的最大深度,s为样本集Y的样本数目,
Figure BDA0003468107310000043
为向上取整操作符;
S502,对样本集Y中的样本构建孤立树结构;由于异常样本数量远远小于正常样本,当样本数据划分到一定程度后,对于深度较大的正常样本不再继续划分;
S503,重复步骤S501和步骤S502的操作,直至完成n个孤立树的构建;
S504,n个孤立树构建完成后,计算树的平均深度及数据集X中样本的孤立值,计算公式如下:
Figure BDA0003468107310000051
其中:x为数据集X中的样本,t为数据集X的大小,depth(x)为样本x在孤立树中的深度,mean(depth(x))为样本x在其孤立森林中的平均深度, mean_depth_forest(t)为孤立树构建完成后,所有孤立树的平均深度。
进一步地,所述二进制编码包括子步骤:首先使用顺序编码器将包含源IP、目的IP、告警信息、告警时间的组合特征的告警数据字段转换为数值,然后将得到的数值转换为二进制列数据;其中对告警发生时间进行取整处理。
本发明的有益效果是:
本发明实施例提供了包括快速精准定位真实告警信息、预先编排网络安全事件分析标准模型、告警自动化处置为一体的网络安全事件处置方案,不仅能够从流程上打通、团队上协同,还能够降低网络安全分析技术门槛、减轻网络安全决策负担。
本发明实施例提供的基于行为基线异常分析技术能够过滤80%以上的无效告警,极大地提升了安全分析人员决策的有效性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为告警日志分布情况示意图;
图2为本发明实施例的整体流程图;
图3为本发明实施例的基于行为基线异常分析技术流程图;
图4为本发明实施例的孤立树示意图;
图5为本发明实施例的剧本设计示意图。
具体实施方式
本说明书中所有实施例公开的所有特征,或隐含公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合和/或扩展、替换。
下面根据附图1~图5,对本发明实际解决的技术问题、技术构思、工作原理、工作过程和实际技术效果作进一步详细说明。
本发明为了解决背景技术中提出的问题,提供一种在海量告警日志中快速精准地定位真正的威胁,并通过预先编排的网络安全事件分析标准模型实现自动化告警处置为一体的网络安全事件处置架构的方案,该方案为辅助网络安全人员进行决策分析提供技术支撑。具体实施中,如图3所示,本发明实施例采用基于行为基线异常分析技术,从海量告警日志中快速精准定位亟需处理的真实告警信息,得到的真实告警信息通过预先编排的网络安全事件分析标准模型进行自动化告警处置。具体实现步骤如下:1、采用基于行为基线异常分析技术精确定位真实告警信息;2、编排网络安全事件分析标准模型;3、自动化告警处置。
在具体应用时,本发明实施例还提供一种基于行为基线异常分析和事件编排的辅助决策方法的技术方案,具体包括以下步骤:
(1)采用基于行为基线异常分析技术,从海量告警日志中有效去除/ 融合重复告警信息,并进一步快速精准定位真实告警信息;
(2)预先将不同的人员角色、安全能力接口、各类信息数据等按照特定场景进行组合编排,形成网络安全事件分析标准模型;
(3)采用步骤(2)中预先编排的网络安全事件分析标准模型,对步骤(1)中得到的告警信息进行自动化告警处置。
在采用如上实施例中方案解决背景技术中提出的问题的过程中,又遇到了如下问题:
①应对海量日志信息络如何快速精准定位亟需处理的真实告警信息。
②得到的真实告警信息后,如何进行自动化处置,降低人工参与分析和决策。
为了解决技术问题①,本发明在具体实施过程中,对对步骤(1)中所述基于行为基线异常分析技术设计以下子步骤:
(1-1)定义的告警数据字段;
(1-2)以定义的告警数据字段如源IP、目的IP、告警信息、告警时间等作为特征,对在某个特定时间范围内的重复告警日志记录进行去重;
(1-3)对步骤(1-2)筛选的告警日志中,从告警类型、名称、类型占比、请求头、响应头建立每台内网主机的行为基线,采用源IP、目的IP、告警信息、告警时间作为组合特征进行建模;
(1-4)对步骤(1-3)选择的特征进行特征编码,其中源IP、目的IP、告警信息采用二进制编码,告警时间编码采用小时位;
(1-5)对步骤(1-4)中进行特征编码后的特征,采用孤立森林算法进行异常检测。
在具体实施步骤(1)的子步骤(1-1)的过程中,又遇到如下技术问题:③如何分析网络安全防护设备告警日志的分布规律以及如何定义告警数据字段;④解决存在大量重复告警的问题。本发明实施例针对技术问题③和④,设计如下子步骤:
步骤1:定义告警数据字段。告警数据字段包括告警产生时间(time)、源IP(sip)、目的IP(dip)、产生该条告警的探针IP(device_ip)、目的端口(dport)、告警类型(event_type)、告警名称(event_name)、告警载荷 (payload)、Web访问的请求体(q_body)、Web请求的响应体(r_body)。公式化表示如下:
A=[time,sip,dip,device_ip,dport,event_type,event_name,payload, q_dody,r_body]
其中,A为单条告警数据。
步骤2:告警数据去重。以源IP、目的IP、告警信息、告警时间作为组合特征,对在某个特定时间范围内的重复告警日志记录进行去重。公式化表示如下:
Figure BDA0003468107310000081
满足,
|A1[time]-A2[time]|<Timestamp
其中:A1,A2分别为不同的告警数据,R为是否去重,f为告警数据相似度衡量函数,t为相似度阈值,Timestamp为时间窗阈值。若告警数据A1,A2产生的时间在Timestamp内,且A1,A2之间的相似度大于等于阈值t,则表示A1,A2为重复告警(即R=1),否则为不同告警(即R=0)。
在具体实施步骤(1)的子步骤(1-2)的过程中,又遇到如下技术问题:⑤如何进行特征选取,降低数据维度。本发明实施例针对技术问题⑤,设计如下子步骤:
步骤3:特征选择。从原始特征中选择出一些最有效特征以降低数据维度,采用计算互信息的方法选择特征子集,首先构建基本子集{sip,dip},然后计算其他特征列和基本子集的互信息量,若互信息量小于阈值则保留,特征x1、x2的互信息量计算公式表示如下:
Figure BDA0003468107310000091
其中:S1,S2分别表示x1,x2的状态空间。最终选择源IP、目的IP、告警信息、告警时间作为组合特征进行建模。
步骤4:特征编码。采用二进制编码对源IP、目的IP、告警信息等字段进行特征编码,二进制编码是哈希编码和one-hot编码的组合,即首先使用顺序编码器将字段转换为数值,然后将得到的数值进一步转换为二进制列数据。对于告警时间编码采用小时位,即对告警发生时间进行小时位取整。
步骤5:构建异常检测模型。采用孤立森林算法,利用孤立树二叉搜索 树结构来孤立样本,具体包括以下子步骤:
步骤5.1:从数据集X中抽取用于建立孤立树的样本集Y,并计算该树的最大深度,计算公式表示如下:
Figure BDA0003468107310000101
其中:max_depth为孤立树的最大深度,s为样本集Y的样本数目,
Figure BDA0003468107310000102
为向上取整操作符。
步骤5.2:对样本集Y中的样本按照图4的方式构建孤立树结构,由于异常样本数量远远小于正常样本,当样本数据划分到一定程度后,对于深度较大的正常样本不再继续划分。
步骤5.3:重复步骤5.1和步骤5.2的操作,直至完成n个孤立树的构建。
步骤5.4:n个孤立树构建完成后,计算树的平均深度及数据集X中样本的孤立值。计算公式如下:
Figure BDA0003468107310000103
其中:x为数据集X中的样本,t为数据集X的大小,depth(x)为样本x在孤立树中的深度,mean(depth(x))为样本x在其孤立森林中的平均深度, mean_depth_forest(t)为孤立树构建完成后,所有孤立树的平均深度。
在上述编排网络安全事件分析标准模型的步骤中,包括子步骤:
步骤1:剧本设计。采用安全事件编排剧本设计技术,设计相应的流程剧本。剧本由动作和处理逻辑两部分组成。接收到基于行为基线异常分析技术定位真实告警信息后,在具体实施时,可以采用一种如图5所示的剧本设计流程。
步骤2:网络安全事件编排。通过将多源异构的安全事件进行重定义和自动分析,形成安全分析与响应引擎,完成复杂安全场景的分析,实现自动化、API化地驱动各应用。
步骤3:典型网络安全事件场景编排。通过网络安全事件编排技术,对典型网络安全事件场景(如网络攻击分析、恶意文件分析等场景)进行编排,形成对应的网络安全自动处置模型。
在上述自动化告警处置的步骤中,包括子步骤:
步骤1:采用网络安全设备分布式调度技术将安全目标进行分解,结合已有网络安全资源,构建网络安全资源综合管理模型。
步骤2:采用多点异构安全设备处置命令自动下发技术,建立网络安全设备联动API接口,构建异构设备安全处置命令下发脚本,实现决策指令在不同设备之间下发与执行,通过调用事先编排的网络安全事件分析标准模型,达到自动化告警处置的目的。
实施例1:一种基于行为基线异常分析和事件编排的辅助决策方法,包括步骤:
S1,基于行为基线异常分析定位真实告警信息,编排网络安全事件分析模型;
S2,采用编排的网络安全事件分析模型,对定位到的真实告警信息进行告警处置。
实施例2:在实施例1的基础上,在步骤S1中所述基于行为基线异常分析定位真实告警信息包括子步骤:
S101,定义告警数据字段;
S102,以步骤S101定义的告警数据字段作为特征,对在某个设定时间范围内的重复告警日志记录进行去重筛选;
S103,对步骤S102筛选的告警日志中,从告警数据字段中的告警类型、名称、类型占比、请求头、响应头建立每台内网主机的行为基线,采用告警数据字段中的源IP、目的IP、告警信息、告警时间作为选择的组合特征进行建模;
S104,对步骤S103选择的组合特征进行特征编码;
S105,对步骤S104中进行特征编码后的特征,进行异常检测。
实施例3:在实施例1的基础上,在步骤S1中所述编排网络安全事件分析模型,包括子步骤:
S111,采用安全事件编排剧本设计相应的流程剧本,且剧本由动作和处理逻辑两部分组成;
S112,通过将多源异构的安全事件进行重定义和分析形成安全分析与响应引擎,完成复杂安全场景的分析,用于实现自动化、API化地驱动各应用;
S113,通过网络安全事件编排对典型网络安全事件场景进行编排,形成对应的网络安全处置模型。
实施例4:在实施例1的基础上,在步骤S2中,包括子步骤:
S201,采用网络安全设备分布式调度将安全目标进行分解,结合网络安全资源,构建网络安全资源综合管理模型;
S202,采用多点异构安全设备处置命令自动下发建立网络安全设备联动API接口,构建异构设备安全处置命令下发脚本,实现决策指令在不同设备之间下发与执行,通过调用编排的所述网络安全事件分析模型,达到自动化告警处置。
实施例5:在实施例2的基础上,在步骤S101中,所述告警数据字段的公式化表示如下:
A=[time,sip,dip,device_ip,dport,event_type,event_name,payload,
q_dody,r_body]
其中,A为单条告警数据,time为告警产生时间、sip为源IP、dip为目的IP、device_ip为产生该条告警的探针IP、dport为目的端口、event_type 为告警类型、event_name为告警名称、payload为告警载荷、q_body为Web 访问的请求体、r_body为Web请求的响应体。
实施例6:在实施例2的基础上,在步骤S102中,以源IP、目的IP、告警信息、告警时间作为组合特征,对在某个设定时间范围内的重复告警日志记录进行去重,公式化表示如下:
Figure BDA0003468107310000131
满足,
|A1[time]-A2[time]|<Timestamp
其中:A1,A2分别为不同的告警数据,R为是否去重,f为告警数据相似度衡量函数,t为相似度阈值,Timestamp为时间窗阈值;若告警数据A1,A2产生的时间在Timestamp内,且A1,A2之间的相似度大于等于阈值t,则表示A1,A2为重复告警即R=1,否则为不同告警即R=0。
实施例7:在实施例2的基础上,在步骤S103中,包括子步骤:
首先构建基本子集{sip,dip};
然后计算其他特征列和基本子集的互信息量,若互信息量小于阈值则保留,特征x1、x2的互信息量计算公式表示如下:
Figure BDA0003468107310000141
其中:S1,S2分别表示x1,x2的状态空间;
最终选择源IP、目的IP、告警信息、告警时间作为组合特征进行建模。
实施例8:在实施例2的基础上,在步骤S104中,所述特征编码为采用哈希编码和one-hot编码组合的二进制编码。
实施例9:在实施例2的基础上,在步骤S105中,所述进行异常检测包括采用孤立森林算法,利用孤立树二叉搜索树结构来孤立样本,具体包括以下子步骤:
S501,从数据集X中抽取用于建立孤立树的样本集Y,并计算该树的最大深度,计算公式表示如下:
Figure BDA0003468107310000142
其中:max_depth为孤立树的最大深度,s为样本集Y的样本数目,
Figure BDA0003468107310000143
为向上取整操作符;
S502,对样本集Y中的样本构建孤立树结构;由于异常样本数量远远小于正常样本,当样本数据划分到一定程度后,对于深度较大的正常样本不再继续划分;
S503,重复步骤S501和步骤S502的操作,直至完成n个孤立树的构建;
S504,n个孤立树构建完成后,计算树的平均深度及数据集X中样本的孤立值,计算公式如下:
Figure BDA0003468107310000144
其中:x为数据集X中的样本,t为数据集X的大小,depth(x)为样本x在孤立树中的深度,mean(depth(x))为样本x在其孤立森林中的平均深度,mean_depth_forest(t)为孤立树构建完成后,所有孤立树的平均深度。
实施例10:在实施例8的基础上,所述二进制编码包括子步骤:首先使用顺序编码器将包含源IP、目的IP、告警信息、告警时间的组合特征的告警数据字段转换为数值,然后将得到的数值转换为二进制列数据;其中对告警发生时间进行取整处理。
本发明功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,在一台计算机设备(可以是个人计算机,服务器,或者网络设备等)以及相应的软件中执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、或者光盘等各种可以存储程序代码的介质,进行测试或者实际的数据在程序实现中存在于只读存储器 (Random Access Memory,RAM)、随机存取存储器(Random Access Memory,RAM)等。

Claims (10)

1.一种基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,包括步骤:
S1,基于行为基线异常分析定位真实告警信息,编排网络安全事件分析模型;
S2,采用编排的网络安全事件分析模型,对定位到的真实告警信息进行告警处置。
2.根据权利要求1所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,在步骤S1中所述基于行为基线异常分析定位真实告警信息包括子步骤:
S101,定义告警数据字段;
S102,以步骤S101定义的告警数据字段作为特征,对在某个设定时间范围内的重复告警日志记录进行去重筛选;
S103,对步骤S102筛选的告警日志中,从告警数据字段中的告警类型、名称、类型占比、请求头、响应头建立每台内网主机的行为基线,采用告警数据字段中的源IP、目的IP、告警信息、告警时间作为选择的组合特征进行建模;
S104,对步骤S103选择的组合特征进行特征编码;
S105,对步骤S104中进行特征编码后的特征进行异常检测。
3.根据权利要求1所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,在步骤S1中所述编排网络安全事件分析模型,包括子步骤:
S111,采用安全事件编排剧本设计相应的流程剧本,且剧本由动作和处理逻辑两部分组成;
S112,通过将多源异构的安全事件进行重定义和分析形成安全分析与响应引擎,完成复杂安全场景的分析,用于实现自动化、API化地驱动各应用;
S113,通过网络安全事件编排对典型网络安全事件场景进行编排,形成对应的网络安全处置模型。
4.根据权利要求1所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,在步骤S2中,包括子步骤:
S201,采用网络安全设备分布式调度将安全目标进行分解,结合网络安全资源,构建网络安全资源综合管理模型;
S202,采用多点异构安全设备处置命令自动下发建立网络安全设备联动API接口,构建异构设备安全处置命令下发脚本,实现决策指令在不同设备之间下发与执行,通过调用编排的所述网络安全事件分析模型,达到自动化告警处置。
5.根据权利要求2所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,在步骤S101中,所述告警数据字段的公式化表示如下:
A=[time,sip,dip,device_ip,dport,event_type,event_name,payload,q_dody,r_body]
其中,A为单条告警数据,time为告警产生时间、sip为源IP、dip为目的IP、device_ip为产生该条告警的探针IP、dport为目的端口、event_type为告警类型、event_name为告警名称、payload为告警载荷、q_body为Web访问的请求体、r_body为Web请求的响应体。
6.根据权利要求2所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,在步骤S102中,以源IP、目的IP、告警信息、告警时间作为组合特征,对在某个设定时间范围内的重复告警日志记录进行去重,公式化表示如下:
Figure FDA0003468107300000031
满足,
|A1[time]-A2[time]|<Timestamp
其中:A1,A2分别为不同的告警数据,R为是否去重,f为告警数据相似度衡量函数,t为相似度阈值,Timestamp为时间窗阈值;若告警数据A1,A2产生的时间在Timestamp内,且A1,A2之间的相似度大于等于阈值t,则表示A1,A2为重复告警即R=1,否则为不同告警即R=0。
7.根据权利要求2所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,在步骤S103中,包括子步骤:
首先构建基本子集{sip,dip};
然后计算其他特征列和基本子集的互信息量,若互信息量小于阈值则保留,特征x1、x2的互信息量计算公式表示如下:
Figure FDA0003468107300000032
其中:S1,S2分别表示x1,x2的状态空间;
最终选择源IP、目的IP、告警信息、告警时间作为组合特征进行建模。
8.根据权利要求2所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,在步骤S104中,所述特征编码为采用哈希编码和one-hot编码组合的二进制编码。
9.根据权利要求2所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,在步骤S105中,所述进行异常检测包括采用孤立森林算法,利用孤立树二叉搜索树结构来孤立样本,具体包括以下子步骤:
S501,从数据集X中抽取用于建立孤立树的样本集Y,并计算该树的最大深度,计算公式表示如下:
Figure FDA0003468107300000041
其中:max_depth为孤立树的最大深度,s为样本集Y的样本数目,
Figure FDA0003468107300000042
为向上取整操作符;
S502,对样本集Y中的样本构建孤立树结构;
S503,重复步骤S501和步骤S502的操作,直至完成n个孤立树的构建;
S504,n个孤立树构建完成后,计算树的平均深度及数据集X中样本的孤立值,计算公式如下:
Figure FDA0003468107300000043
其中:x为数据集X中的样本,t为数据集X的大小,depth(x)为样本x在孤立树中的深度,mean(depth(x))为样本x在其孤立森林中的平均深度,mean_depth_forest(t)为孤立树构建完成后,所有孤立树的平均深度。
10.根据权利要求8所述的基于行为基线异常分析和事件编排的辅助决策方法,其特征在于,所述二进制编码包括子步骤:首先使用顺序编码器将包含源IP、目的IP、告警信息、告警时间的组合特征的告警数据字段转换为数值,然后将得到的数值转换为二进制列数据;其中对告警发生时间进行取整处理。
CN202210035279.1A 2022-01-13 2022-01-13 一种基于行为基线异常分析和事件编排的辅助决策方法 Active CN114500011B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210035279.1A CN114500011B (zh) 2022-01-13 2022-01-13 一种基于行为基线异常分析和事件编排的辅助决策方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210035279.1A CN114500011B (zh) 2022-01-13 2022-01-13 一种基于行为基线异常分析和事件编排的辅助决策方法

Publications (2)

Publication Number Publication Date
CN114500011A true CN114500011A (zh) 2022-05-13
CN114500011B CN114500011B (zh) 2023-12-05

Family

ID=81512093

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210035279.1A Active CN114500011B (zh) 2022-01-13 2022-01-13 一种基于行为基线异常分析和事件编排的辅助决策方法

Country Status (1)

Country Link
CN (1) CN114500011B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101384054A (zh) * 2007-09-04 2009-03-11 中兴通讯股份有限公司 一种通过性能数据监测网络异常情况的方法
CN103023695A (zh) * 2012-11-28 2013-04-03 绍兴电力局 基于电力调度自动化的主站系统监测模型
WO2016029570A1 (zh) * 2014-08-28 2016-03-03 北京科东电力控制系统有限责任公司 一种面向电网调度的智能告警分析方法
CN105471663A (zh) * 2014-08-18 2016-04-06 中兴通讯股份有限公司 网络异常的检测方法、装置、通信网络检测装置及系统
CN106998334A (zh) * 2017-05-25 2017-08-01 北京计算机技术及应用研究所 一种计算机用户行为异常检测方法
CN107528832A (zh) * 2017-08-04 2017-12-29 北京中晟信达科技有限公司 一种面向系统日志的基线构建与未知异常行为检测方法
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统
CN112118141A (zh) * 2020-09-21 2020-12-22 中山大学 面向通信网络的告警事件关联压缩方法及装置
CN112116123A (zh) * 2019-08-05 2020-12-22 云智慧(北京)科技有限公司 一种基于动态基线的智能告警方法和系统
WO2021042843A1 (zh) * 2019-09-06 2021-03-11 平安科技(深圳)有限公司 告警信息的决策方法、装置、计算机设备及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101384054A (zh) * 2007-09-04 2009-03-11 中兴通讯股份有限公司 一种通过性能数据监测网络异常情况的方法
CN103023695A (zh) * 2012-11-28 2013-04-03 绍兴电力局 基于电力调度自动化的主站系统监测模型
CN105471663A (zh) * 2014-08-18 2016-04-06 中兴通讯股份有限公司 网络异常的检测方法、装置、通信网络检测装置及系统
WO2016029570A1 (zh) * 2014-08-28 2016-03-03 北京科东电力控制系统有限责任公司 一种面向电网调度的智能告警分析方法
CN106998334A (zh) * 2017-05-25 2017-08-01 北京计算机技术及应用研究所 一种计算机用户行为异常检测方法
CN107528832A (zh) * 2017-08-04 2017-12-29 北京中晟信达科技有限公司 一种面向系统日志的基线构建与未知异常行为检测方法
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统
CN112116123A (zh) * 2019-08-05 2020-12-22 云智慧(北京)科技有限公司 一种基于动态基线的智能告警方法和系统
WO2021042843A1 (zh) * 2019-09-06 2021-03-11 平安科技(深圳)有限公司 告警信息的决策方法、装置、计算机设备及存储介质
CN112118141A (zh) * 2020-09-21 2020-12-22 中山大学 面向通信网络的告警事件关联压缩方法及装置

Also Published As

Publication number Publication date
CN114500011B (zh) 2023-12-05

Similar Documents

Publication Publication Date Title
CN114143020B (zh) 一种基于规则的网络安全事件关联分析方法和系统
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
CN111885040A (zh) 分布式网络态势感知方法、系统、服务器及节点设备
CN112468347B (zh) 一种云平台的安全管理方法、装置、电子设备及存储介质
CN111600919B (zh) 智能网络应用防护系统模型的构建方法和装置
CN115459965A (zh) 一种面向电力系统网络安全的多步攻击检测方法
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN113141276A (zh) 一种基于知识图谱的信息安全方法
CN116167370A (zh) 基于日志时空特征分析的分布式系统异常检测方法
CN111726351A (zh) 基于Bagging改进的GRU并行网络流量异常检测方法
CN109995722A (zh) 面向apt防护的海量检测数据分析系统
CN117235745B (zh) 基于深度学习工控漏洞挖掘方法、系统、设备和存储介质
CN114500011B (zh) 一种基于行为基线异常分析和事件编排的辅助决策方法
CN112905571A (zh) 一种列车轨道交通传感器数据管理方法及装置
CN115883213B (zh) 基于连续时间动态异质图神经网络的apt检测方法及系统
CN115567305B (zh) 基于深度学习的顺序网络攻击预测分析方法
CN116074092B (zh) 一种基于异构图注意力网络的攻击场景重构系统
CN115001781B (zh) 一种终端网络状态安全监测方法
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN116861204B (zh) 基于数字孪生的智能制造设备数据管理系统
CN113190844B (zh) 一种检测方法、相关方法及相关装置
CN117156002A (zh) 一种用于多维感知平台的数据分析系统及方法
CN116305135A (zh) 一种面向工业机器人的安全检测方法和系统
CN117540372B (zh) 智能学习的数据库入侵检测与响应系统
CN116719986B (zh) 基于Python的数据抓取方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant