CN114785538B - 一种数据关联分析方法、装置、计算机设备和存储介质 - Google Patents

一种数据关联分析方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN114785538B
CN114785538B CN202210205382.6A CN202210205382A CN114785538B CN 114785538 B CN114785538 B CN 114785538B CN 202210205382 A CN202210205382 A CN 202210205382A CN 114785538 B CN114785538 B CN 114785538B
Authority
CN
China
Prior art keywords
alarm information
data
sequence
potential safety
network system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210205382.6A
Other languages
English (en)
Other versions
CN114785538A (zh
Inventor
陈善锋
余芸
明哲
冯国聪
罗强
杨逸岳
胡钊
姜渭鹏
范苏纯
陈海光
胡朝辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southern Power Grid Digital Grid Research Institute Co Ltd
Original Assignee
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical Southern Power Grid Digital Grid Research Institute Co Ltd
Priority to CN202210205382.6A priority Critical patent/CN114785538B/zh
Publication of CN114785538A publication Critical patent/CN114785538A/zh
Application granted granted Critical
Publication of CN114785538B publication Critical patent/CN114785538B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及数据分析的技术领域,公开了一种数据关联分析方法、装置、计算机设备和存储介质,所述数据关联分析方法包括:分析历史告警信息数据集中的告警信息序列得到特征数据;根据所述特征数据建立序列关联规则模型;实时获取告警信息,将所述告警信息输入序列关联规则模型进行对比,生成关联分析结果;基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对所述告警信息的处理指令;本申请具有提高网络系统对网络攻击发展趋势的预测能力的效果。

Description

一种数据关联分析方法、装置、计算机设备和存储介质
技术领域
本发明涉及数据分析技术领域,尤其是涉及一种数据关联分析方法、装置、计算机设备和存储介质。
背景技术
目前,许多企业采用防火墙和态势感知平台对企业的网络系统进行防护,以便在企业的网络系统遭到网络攻击时进行告警,以提示企业对网络攻击进行防范,减少因网络攻击导致的损失。
现有的防火墙和态势感知平台的通常只能被动地在遭到网络攻击后采取相应的防护措施,在遭受网络攻击的过程中缺少应对网络攻击的主动措施,智能性较低,难以根据正在遭受的网络攻击对防火墙或态势感知平台进行合理的调整。
针对上述相关技术,发明人认为存在现有的防火墙和态势感知平台在遭受网络攻击时缺少主动调整防护策略的问题。
发明内容
为了提高网络系统对网络攻击发展趋势的预测能力,本申请提供一种数据关联分析方法、装置、计算机设备和存储介质。
本申请的上述发明目的一采用如下技术方案实现:
一种数据关联分析方法,包括:
分析历史告警信息数据集中的告警信息序列得到特征数据;
根据所述特征数据建立序列关联规则模型;
实时获取告警信息,将所述告警信息输入序列关联规则模型进行对比,生成关联分析结果;
基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对所述告警信息的处理指令。
通过采用上述技术方案,从历史告警信息数据集中获取告警信息序列并进行分析得到告警信息序列的特征数据,便于从网络系统过去接收到的大量告警信息序列的特征中总结规律,找到告警信息发展的前后关联性;根据特征数据建立序列关联规则模型,以便后续使用序列关联规则模型对告警信息进行序列关联分析,用于预测告警信息的发展趋势;将实时获取的告警信息输入至序列关联规则模型中进行对比,以判断网络系统存在的安全隐患和后续可能接收到的告警信息,生成关联分析结果;根据关联分析结果中各安全隐患发展成安全事故的可能性和网络系统的脆弱性数据计算各安全隐患的期望损失,并根据各安全隐患的期望损失生成对告警信息的处理指令,以指导网络系统采取科学的防护策略,提高网络系统对告警信息所对应的网络攻击的防护效果。
本申请在一较佳示例中可以进一步配置为:基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对所述告警信息的处理指令的步骤之前,还包括:
识别网络系统中存在的安全隐患,通过模糊综合评价模型评估各安全隐患对应的最大可能损失作为各安全隐患的脆弱性数据。
通过采用上述技术方案,识别网络系统中存在的安全隐患,使用模糊综合评价模型将每一安全隐患对网络系统可能造成的损害进行量化,便于得到各安全隐患对网络系统的最大可能损失作为各安全隐患的脆弱性数据,以便对各安全隐患可能给网络系统造成的损害进行估计。
本申请在一较佳示例中可以进一步配置为:基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对所述告警信息的处理指令的步骤中,还包括:
评估网络系统对各安全隐患所能采取的安全措施及安全成本;
评估采取安全措施对最大可能损失和安全事故发生概率的影响,作出是否采取安全措施的决定。
通过采用上述技术方案,评估为降低各安全隐患对网络系统造成的危害所能采取的安全措施及这些安全措施对应的安全成本,以便在通过序列关联规则模型预测到未来可能接收到的告警信息时,获知告警信息所对应的安全隐患所能采取的安全措施和安全成本;评估对各安全隐患采取了安全措施时,该安全隐患的最大可能损失的减小值以及该安全隐患发展成安全事故概率的减小值,以获知采取安全措施对该安全隐患所能达到的效果,便于在对比安全成本和采取安全措施的效果后作出是否采取安全措施的决策。
本申请在一较佳示例中可以进一步配置为:实时获取告警信息,将所述告警信息输入序列关联规则模型进行对比,生成关联分析结果的步骤中,具体包括:
将获取到的告警信息输入至序列关联规则模型中,计算各安全隐患相对于告警信息的关联性的强弱;
将各安全隐患按照关联性的强弱进行排序后作为关联分析结果输出。
通过采用上述技术方案,在序列关联规则模型建立完成后,将实时获取的告警信息输入序列关联规则模型中,计算网络系统所存在的各安全隐患相对于告警信息的关联性的强弱,并将各安全隐患按照关联性的强弱进行排序,将排序后的各安全隐患作为关联分析结果输出,便于根据各安全隐患与告警信息的关联性强弱判断各安全隐患发展成事故的概率,以指导网络系统对这些安全隐患采取科学的防护策略。
本申请在一较佳示例中可以进一步配置为:分析历史告警信息数据集中的告警信息序列得到特征数据的步骤中,具体包括:
获取告警信息,基于所述告警信息建立历史告警信息数据集;
基于历史告警信息数据集内的告警信息及对应的时间节点,将一个统计周期内接收到的告警信息作为告警信息序列。
通过采用上述技术方案,在网络系统的运营过程中获取告警信息并保存,根据获取到的告警信息建立历史告警信息数据集,将历史告警信息数据集内记录的告警信息按照所对应的时间节点进行划分,将一个统计周期内获取到的所有告警信息视为同一次网络攻击所产生的,并作为告警信息序列,便于后续对告警信息序列的特征进行分析,从而得出告警信息发展的前后关联性。
本申请在一较佳示例中可以进一步配置为:分析历史告警信息数据集中的告警信息序列得到特征数据的步骤中,还包括:
获取告警信息序列内每一条告警信息的告警类型、设备名称、设备IP、告警描述和告警时间,生成告警信息序列的特征数据。
通过采用上述技术方案,获取告警信息序列中每一条告警信息的告警类型、设备名称、设备IP、告警描述和告警时间作为告警信息序列的特征数据,以便后续根据特征数据分析同一告警信息序列中的各告警信息之间的关联性,得出告警信息发展的前后关联性,以便后续生成序列关系规则模型。
本申请在一较佳示例中可以进一步配置为:根据所述特征数据建立序列关联规则模型的步骤中,具体包括:
统计每一个特征数据中的各告警信息的告警类型和告警时间;
通过关联分析算法计算各告警信息序列的关联规则,生成序列关联规则模型。
通过采用上述技术方案,计算每一个特征数据中各告警信息对应的告警类型和告警时间,以便分析一个告警信息序列中出现的各种告警类型、各告警信息持续的时间或各告警信息之间的间隔时间;通过关联分析算法计算各告警信息序列中各告警信息之间的关联规则,从而生成序列关联规则模型,以便后续将告警信息输入至序列关联规则模型,以预测告警信息的发展趋势。
本申请的上述发明目的二采用如下技术方案实现:
一种数据关联分析装置,包括:
特征数据获取模块,用于分析历史告警信息数据集中的告警信息序列得到特征数据;
序列关联规则建立模块,用于根据所述特征数据建立序列关联规则模型;
关联分析结果获取模块,用于实时获取告警信息,将所述告警信息输入序列关联规则模型进行对比,生成关联分析结果;
处理指令生成模块,用于基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对所述告警信息的处理指令。
通过采用上述技术方案,从历史告警信息数据集中获取告警信息序列并进行分析得到告警信息序列的特征数据,便于从网络系统过去接收到的大量告警信息序列的特征中总结规律,找到告警信息发展的前后关联性;根据特征数据建立序列关联规则模型,以便后续使用序列关联规则模型对告警信息进行序列关联分析,用于预测告警信息的发展趋势;将实时获取的告警信息输入至序列关联规则模型中进行对比,以判断网络系统存在的安全隐患和后续可能接收到的告警信息,生成关联分析结果;根据关联分析结果中各安全隐患发展成安全事故的可能性和网络系统的脆弱性数据计算各安全隐患的期望损失,并根据各安全隐患的期望损失生成对告警信息的处理指令,以指导网络系统采取科学的防护策略,提高网络系统对告警信息所对应的网络攻击的防护效果。
本申请的上述发明目的三采用如下技术方案实现:
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述数据关联分析方法的步骤。
本申请的上述发明目的四采用如下技术方案实现:
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述数据关联分析方法的步骤。
综上所述,本申请包括以下至少一种有益技术效果:
1.从历史告警信息数据集中获取告警信息序列并进行分析得到告警信息序列的特征数据,便于根据大量告警信息序列的特征总结规律,找到告警信息发展的前后关联性,根据特征数据建立序列关联规则模型,用于预测告警信息的发展趋势;将实时获取的告警信息输入至序列关联规则模型中进行对比,以判断网络系统存在的安全隐患和后续可能接收到的告警信息,根据各安全隐患发展成安全事故的可能性和网络系统的脆弱性数据计算各安全隐患的期望损失,以指导网络系统采取科学的防护策略,提高网络系统对网络攻击的防护效果。
2.使用模糊综合评价模型将网络系统中存在的每一安全隐患对网络系统可能造成的损害进行量化,以得到各安全隐患对网络系统的最大可能损失作为各安全隐患的脆弱性数据,对各安全隐患可能给网络系统造成的损害进行估计。
3.评估为降低各安全隐患对网络系统造成的危害所能采取的安全措施以及对应的安全成本,以便在预测到未来可能接收到的告警信息时,获知所能采取的安全措施和安全成本,评估采取安全措施对安全隐患所能达到的效果,便于在对比安全成本和采取安全措施的效果后作出是否采取安全措施的决策。
附图说明
图1是本申请一实施例中数据关联分析方法的一流程图;
图2是本申请一实施例中数据关联分析方法中步骤S40的实现流程图;
图3是本申请一实施例中数据关联分析方法中步骤S40的另一实现流程图;
图4是本申请一实施例中数据关联分析方法中步骤S30的实现流程图;
图5是本申请一实施例中数据关联分析方法中步骤S10的实现流程图;
图6是本申请一实施例中数据关联分析方法中步骤S10的另一实现流程图;
图7是本申请一实施例中数据关联分析方法中步骤S20的实现流程图;
图8是本申请一实施例中数据关联分析系统的一原理框图;
图9是本申请一实施例中的设备示意图。
具体实施方式
以下结合附图对本申请作进一步详细说明。
在一实施例中,如图1所示,本申请公开了一种数据关联分析方法,具体包括如下步骤:
S10:分析历史告警信息数据集中的告警信息序列得到特征数据。
在本实施例中,历史告警信息数据集是指记录了网络系统的运营过程中接收到的告警信息所形成的数据集;告警信息序列是指由多个告警信息所组成的序列;特征数据是指记录了告警信息序列中各告警信息的特征的数据。
具体地,从历史告警信息数据集中划分告警信息序列,将属于同一攻击链路的多个告警信息划分入一个告警信息序列中,将划分出来的告警信息序列进行特征工程处理,得到告警信息序列的特征数据,特征数据具体包括告警类型、发出告警信息的设备名称和设备IP、告警描述和告警时间,以便后续通过特征数据建立起序列关联规则模型。
进一步地,历史告警信息数据集中记录的告警信息既可以是来源于网络系统的日常运行中接收到的告警信息,也可以是从外部引入的告警信息,以便扩充历史信息数据集中的数据的样本容量,减小误差,同时便于降低后续基于历史告警信息数据集中的数据所建立的序列关联规则模型的误差。
S20:根据特征数据建立序列关联规则模型。
在本实施例中,序列关联规则模型是基于特征数据建立的用于对告警信息进行序列关联分析的模型。
具体地,根据各告警信息序列所对应的特征数据,得到每一告警信息序列中的多个告警信息的特征,根据特征数据建立起序列关联规则模型,从而便于通过序列关联规则模型找到每一告警信息序列中的多个告警信息的之间的前后关联关系,以用于预测告警事件的发展趋势。
S30:实时获取告警信息,将告警信息输入序列关联规则模型进行对比,生成关联分析结果。
具体地,实时获取来自防火墙或态势感知平台的告警信息,将告警信息输入至序列关联规则模型中,将该实时获取的告警信息的特征与序列关联规则模型中记录的告警信息序列的特征数据进行对比,以便找到该实时获取的告警信息所属的攻击链路环节,从而与序列关联规则模型中记录的告警信息序列所对应的攻击链路进行匹配,预测攻击链路的后续环节和攻击手段,以便网络系统提前做好应对后续攻击手段的准备。
具体地,由于实施网络攻击的攻击链路可能有多种,且实施网络攻击的不同主体也可能对攻击链路的环节和攻击手段进行不同的改动,而序列关联规则模型是根据历史告警信息数据集中的告警信息序列的特征数据为基础进行攻击链路的后续环节和攻击手段预测的,因此,关联分析结果所包含的后续环节和攻击手段也可能有多种,且关联分析结果中各种后续环节和攻击手段均标注有发生概率的数据。
具体地,关联分析结果中的后续环节和攻击手段与网络系统中存在的安全隐患具有对应关系,为便于后续进行网络系统中的安全隐患的期望损失计算,把用于对系统中同一安全隐患进行攻击的各种攻击手段和攻击链路环节进行合并,仅将网络系统中各安全隐患被攻击的概率作为关联分析结果输出。
S40:基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对告警信息的处理指令。
在本实施例中,脆弱性数据是指当网络系统所存在的各安全隐患发展成安全事故时对网络系统所造成的最大损失。
具体地,识别网络系统中存在的安全隐患,将网络系统中各安全隐患对网络系统可能造成的损害进行量化,计算各安全隐患对系统的最大可能损失,生成网络系统的脆弱性数据,以便评估各安全隐患对系统所潜在的最大威胁。
具体地,根据关联分析结果中各安全隐患被攻击的概率与网络系统对各安全隐患评估的脆弱性数据进行计算,得到网络系统中各安全隐患的期望损失值,其中,任一安全隐患的期望损失值为该安全隐患的被攻击概率与脆弱性数据的乘积,以便网络系统的管理人员根据各安全隐患的期望损失值确定各安全隐患的防护先后顺序,以达到科学地采取防护措施应对网络攻击的效果。
在本实施例中,从历史告警信息数据集中获取告警信息序列并进行分析得到告警信息序列的特征数据,便于从网络系统过去接收到的大量告警信息序列的特征中总结规律,找到告警信息发展的前后关联性;根据特征数据建立序列关联规则模型,以便后续使用序列关联规则模型对告警信息进行序列关联分析,用于预测告警信息的发展趋势;将实时获取的告警信息输入至序列关联规则模型中进行对比,以判断网络系统存在的安全隐患和后续可能接收到的告警信息,生成关联分析结果;根据关联分析结果中各安全隐患发展成安全事故的可能性和网络系统的脆弱性数据计算各安全隐患的期望损失,并根据各安全隐患的期望损失生成对告警信息的处理指令,以指导网络系统采取科学的防护策略,提高网络系统对告警信息所对应的网络攻击的防护效果。
在一实施例中,如图2所示,在步骤S40之前,还包括:
S41:识别网络系统中存在的安全隐患,通过模糊综合评价模型评估各安全隐患对应的最大可能损失作为各安全隐患的脆弱性数据。
在本实施例,安全隐患是指网络系统中存在的容易被网络攻击侵入或破坏的薄弱环节和节点。
具体地,安全隐患可以是软件上的隐患,例如未升级的网络安全漏洞,也可以是硬件上的隐患,例如易被大流量攻击导致瘫痪的性能偏弱的服务器,还可以是人员管理上的隐患,例如企业的工作人员用个人硬盘连接计算机而可能导致的计算机病毒感染。
具体地,各安全隐患的脆弱性数据是根据模糊综合评价模型进行评估的,其中,模糊综合评价模型对脆弱性数据的评价步骤包括:建立综合评价因素集;建立综合评价的评价集;确定各因素的权重;进行单因素模糊评价以获得评价矩阵;建立综合评价模型,确定系统总得分;通过模糊综合评价模型对各安全隐患的脆弱性数据进行评估,便于将各安全隐患对网络系统的潜在威胁由定性评价转化为定量评价,便于量化各安全隐患的潜在威胁,为评价各安全隐患的期望损失进行铺垫。
在一实施例中,如图3所示,在步骤S40中,还包括:
S42:评估网络系统对各安全隐患所能采取的安全措施及安全成本。
具体地,根据网络系统所存在的安全隐患找到对应所能采取的安全措施以及安全成本,以便在接收到关联分析结果时匹配网络系统为防护网络攻击所能采取的安全措施和对应的安全成本。
进一步地,对同一个安全隐患所能采取的安全措施可以是多种,并同时在可采取的安全措施中标注安全成本和可行性分析结果;例如,当关联分析结果指出网络系统的服务器后续可能受到大流量攻击时,对应的安全措施可以是更换性能更好的服务器或者是暂时拒绝新用户的访问等,其中更换性能更好的服务器成本更高且应对大流量攻击的效果较差,同时更换服务器所需时间更长,难以在后续网络攻击到来前完成更换,因此可以给出可行性较差的分析结果。
S43:评估采取安全措施对最大可能损失和安全事故发生概率的影响,作出是否采取安全措施的决定。
具体地,对各安全隐患所能采取的安全措施的安全效果进行评估,具体是评估采取安全措施后对安全隐患的最大可能损失和安全事故发生概率的影响,例如,当关联分析结果指出网络系统的服务器后续可能受到大流量攻击时,对应的安全措施可以是更换性能更好的服务器或者是暂时拒绝新用户的访问;当选择采取更换性能更好的服务器的安全措施时,可以减小服务器崩溃的发生概率,当服务器崩溃时,会造成所有用户均无法访问服务器的结果,因而更换性能更好的服务器的安全措施降低了安全事故发生概率,但未降低安全隐患的最大可能损失;当选择采取暂时拒绝新用户的访问的安全措施时,可以将服务器崩溃的发生概率降低至可以忽略不计的水平,但仅能满足采取安全措施前正在访问服务器的用户的使用需求,损失了潜在需要访问服务器的用户。
具体地,当网络系统遭受网络攻击时,基于受威胁的安全隐患综合评估对应可采取的安全措施、安全成本、采取安全措施的安全效果,以决定网络系统是否采取安全措施以及采取何种安全措施,达到科学防护网络攻击的效果。
在一实施例中,如图4所示,在步骤S30中,具体包括:
S31:将获取到的告警信息输入至序列关联规则模型中,计算各安全隐患相对于告警信息的关联性的强弱。
具体地,将实时获取的来自防火墙或态势感知平台的告警信息输入至序列关联规则模型中,使告警信息的特征序列关联规则模型内的特征数据进行对比,得到告警信息所属的攻击链路环节,以预测攻击链路的后续环节和攻击手段;关联分析结果所包含的后续环节和攻击手段可能有多种,将关联分析结果中各种后续环节和攻击手段的发生概率数据进行标注,一种攻击手段的发生概率越高,则认为该攻击手段的与该实时获取的告警信息的关联性越强。
S32:将各安全隐患按照关联性的强弱进行排序后作为关联分析结果输出。
具体地,将各安全隐患与告警信息关联性的强弱进行排序,并将排序后的网络系统各安全隐患与被攻击的概率数据一同作为关联分析结果输出。
在一实施例中,如图5所示,在步骤S10中,具体包括:
S11:获取告警信息,基于告警信息建立历史告警信息数据集。
具体地,在网络系统的日常运营中获取告警信息并进行保存,根据接收到的告警信息与接收告警信息的时间节点建立历史告警信息数据集,以便后续能够基于历史告警信息数据集划分告警信息序列。
S12:基于历史告警信息数据集内的告警信息及对应的时间节点,将一个统计周期内接收到的告警信息作为告警信息序列。
具体地,确定每一统计周期的时间长度,由于58%的僵尸网络攻击持续时间不超过24小时,75.6%的僵尸网络攻击持续时间不超过48小时,优选的,一个统计周期的时间长度可以在24小时到48小时之间确定,以便将属于同一攻击链路的多个告警信息划分入一个告警信息序列,便于后续分析网络攻击的特点和告警事件的前后关联关系。
在一实施例中,如图6所示,在步骤S10中,还包括:
S13:获取告警信息序列内每一条告警信息的告警类型、设备名称、设备IP、告警描述和告警时间,生成告警信息序列的特征数据。
具体地,将划分出来的告警信息序列进行特征工程处理,得到告警信息序列中每一条告警信息所对应的告警类型、发出告警信息的设备名称和设备IP、告警描述和告警时间作为该告警信息序列的特征数据,以便后续通过特征数据建立起序列关联规则模型。
在一实施例中,如图7所示,在步骤S20中,具体包括:
S21:统计每一个特征数据中的各告警信息的告警类型和告警时间。
在本实施例中,告警类型是指告警信息所对应的攻击手段的类型。
具体地,通过分析告警信息序列中各告警信息对应的攻击手段类型和攻击时间,以便分析一个攻击链路中的各环节的攻击手段和持续时间的规律,找出多个告警信息之间的前后关联关系,用于后续建立序列关联规则模型。
S22:通过关联分析算法计算各告警信息序列的关联规则,生成序列关联规则模型。
具体地,基于特征数据,通过关联分析算法计算各告警信息序列的关联规则,其中关联分析算法可以选用Apriori算法或者是FP-growth算法,根据得到的序列的关联规则生成序列关联规则模型,从而便于通过序列关联规则模型找到每一告警信息序列中的多个告警信息的之间的前后关联关系,以用于预测告警事件的发展趋势。
应理解,上述实施例中各步骤的序号大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
在一实施例中,提供一种数据关联分析装置,该数据关联分析装置与上述实施例中数据关联分析方法一一对应。
如图8所示,一种数据关联分析装置,包括特征数据获取模块、序列关联规则建立模块、关联分析结果获取模块和处理指令生成模块。各功能模块的详细说明如下:
特征数据获取模块,用于分析历史告警信息数据集中的告警信息序列得到特征数据;
序列关联规则建立模块,用于根据特征数据建立序列关联规则模型;
关联分析结果获取模块,用于实时获取告警信息,将告警信息输入序列关联规则模型进行对比,生成关联分析结果;
处理指令生成模块,用于基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对告警信息的处理指令。
关于数据关联分析装置的具体限定可以参见上文中对于数据关联分析方法的限定,在此不再赘述;上述数据关联分析装置中的各个模块可全部或部分通过软件、硬件及其组合来实现;上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以是以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储历史告警信息数据集、序列关联规则模型、脆弱性数据和模糊综合评价模型等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据关联分析方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
S10:分析历史告警信息数据集中的告警信息序列得到特征数据;
S20:根据特征数据建立序列关联规则模型;
S30:实时获取告警信息,将告警信息输入序列关联规则模型进行对比,生成关联分析结果;
S40:基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对告警信息的处理指令。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
S10:分析历史告警信息数据集中的告警信息序列得到特征数据;
S20:根据特征数据建立序列关联规则模型;
S30:实时获取告警信息,将告警信息输入序列关联规则模型进行对比,生成关联分析结果;
S40:基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对告警信息的处理指令。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域普通技术人员应当理解;其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (8)

1.一种数据关联分析方法,其特征在于:所述数据关联分析方法的步骤包括:
对历史告警信息数据集中的告警信息序列进行特征工程处理,得到告警信息序列的特征数据,特征数据具体包括告警类型、发出告警信息的设备名称和设备IP、告警描述和告警时间;
根据各告警信息序列所对应的特征数据,得到每一告警信息序列中的多个告警信息的特征,根据所述特征数据建立序列关联规则模型;
实时获取告警信息,将所述告警信息输入序列关联规则模型进行对比,生成关联分析结果;
识别网络系统中存在的安全隐患,将网络系统中各安全隐患对网络系统可能造成的损害进行量化,计算各安全隐患对系统的最大可能损失,生成网络系统的脆弱性数据,基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,根据各安全隐患的期望损失值确定各安全隐患的防护先后顺序,生成对所述告警信息的处理指令,脆弱性数据是指当网络系统所存在的各安全隐患发展成安全事故时对网络系统所造成的最大损失;
其中,实时获取告警信息,将所述告警信息输入序列关联规则模型进行对比,生成关联分析结果的步骤中,具体包括:
将获取到的告警信息输入至序列关联规则模型中,使告警信息的特征与序列关联规则模型内的特征数据进行对比,得到告警信息所属的攻击链路环节,将攻击链路环节与序列关联规则模型中记录的告警信息序列所对应的攻击链路进行匹配,以预测攻击链路的后续环节和攻击手段,将各种后续环节和攻击手段的发生概率数据进行标注,计算各安全隐患相对于告警信息的关联性的强弱;
将各安全隐患按照关联性的强弱进行排序后,将各安全隐患与被攻击的概率数据一同作为关联分析结果输出;
其中,对历史告警信息数据集中的告警信息序列进行特征工程处理,得到告警信息序列的特征数据的步骤中,具体包括:
获取告警信息,基于所述告警信息建立历史告警信息数据集;
基于历史告警信息数据集内的告警信息及对应的时间节点,将一个统计周期内获取到的所有告警信息视为同一次网络攻击所产生的,以将属于同一攻击链路的多个告警信息划分入一个告警信息序列。
2.根据权利要求1所述的一种数据关联分析方法,其特征在于:基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对所述告警信息的处理指令的步骤之前,还包括:
识别网络系统中存在的安全隐患,通过模糊综合评价模型评估各安全隐患对应的最大可能损失作为各安全隐患的脆弱性数据。
3.根据权利要求1所述的一种数据关联分析方法,其特征在于:基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,生成对所述告警信息的处理指令的步骤中,还包括:
评估网络系统对各安全隐患所能采取的安全措施及安全成本;
评估采取安全措施对最大可能损失和安全事故发生概率的影响,作出是否采取安全措施的决定。
4.根据权利要求1所述的一种数据关联分析方法,其特征在于:分析历史告警信息数据集中的告警信息序列得到特征数据的步骤中,还包括:
获取告警信息序列内每一条告警信息的告警类型、设备名称、设备IP、告警描述和告警时间,生成告警信息序列的特征数据。
5.根据权利要求1所述的一种数据关联分析方法,其特征在于:根据所述特征数据建立序列关联规则模型的步骤中,具体包括:
统计每一个特征数据中的各告警信息的告警类型和告警时间;
通过关联分析算法计算各告警信息序列的关联规则,生成序列关联规则模型。
6.一种数据关联分析装置,其特征在于,包括:
特征数据获取模块,用于对历史告警信息数据集中的告警信息序列进行特征工程处理,得到告警信息序列的特征数据,特征数据具体包括告警类型、发出告警信息的设备名称和设备IP、告警描述和告警时间;获取告警信息,基于所述告警信息建立历史告警信息数据集;基于历史告警信息数据集内的告警信息及对应的时间节点,将一个统计周期内获取到的所有告警信息视为同一次网络攻击所产生的,以将属于同一攻击链路的多个告警信息划分入一个告警信息序列;
序列关联规则生成模块,用于根据各告警信息序列所对应的特征数据,得到每一告警信息序列中的多个告警信息的特征,根据所述特征数据建立序列关联规则模型;
关联分析结果获取模块,用于实时获取告警信息,将所述告警信息输入序列关联规则模型进行对比,生成关联分析结果;将获取到的告警信息输入至序列关联规则模型中,使告警信息的特征与序列关联规则模型内的特征数据进行对比,得到告警信息所属的攻击链路环节,将攻击链路环节与序列关联规则模型中记录的告警信息序列所对应的攻击链路进行匹配,以预测攻击链路的后续环节和攻击手段,将各种后续环节和攻击手段的发生概率数据进行标注,计算各安全隐患相对于告警信息的关联性的强弱;将各安全隐患按照关联性的强弱进行排序后,将各安全隐患与被攻击的概率数据一同作为关联分析结果输出;
处理指令生成模块,用于识别网络系统中存在的安全隐患,将网络系统中各安全隐患对网络系统可能造成的损害进行量化,计算各安全隐患对系统的最大可能损失,生成网络系统的脆弱性数据,基于关联分析结果和网络系统的脆弱性数据计算关联分析结果中各安全隐患的期望损失,根据各安全隐患的期望损失值确定各安全隐患的防护先后顺序,生成对所述告警信息的处理指令,脆弱性数据是指当网络系统所存在的各安全隐患发展成安全事故时对网络系统所造成的最大损失。
7.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述用于数据关联分析方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述用于数据关联分析方法的步骤。
CN202210205382.6A 2022-03-02 2022-03-02 一种数据关联分析方法、装置、计算机设备和存储介质 Active CN114785538B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210205382.6A CN114785538B (zh) 2022-03-02 2022-03-02 一种数据关联分析方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210205382.6A CN114785538B (zh) 2022-03-02 2022-03-02 一种数据关联分析方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
CN114785538A CN114785538A (zh) 2022-07-22
CN114785538B true CN114785538B (zh) 2023-11-28

Family

ID=82423626

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210205382.6A Active CN114785538B (zh) 2022-03-02 2022-03-02 一种数据关联分析方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN114785538B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102340485A (zh) * 2010-07-19 2012-02-01 中国科学院计算技术研究所 基于信息关联的网络安全态势感知系统及其方法
CN109302380A (zh) * 2018-08-15 2019-02-01 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及系统
CN111865981A (zh) * 2020-07-20 2020-10-30 交通运输信息安全中心有限公司 网络安全脆弱性评估系统及方法
CN112153002A (zh) * 2020-08-24 2020-12-29 杭州安恒信息技术股份有限公司 告警信息分析方法、装置、计算机设备和存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102340485A (zh) * 2010-07-19 2012-02-01 中国科学院计算技术研究所 基于信息关联的网络安全态势感知系统及其方法
CN109302380A (zh) * 2018-08-15 2019-02-01 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及系统
CN111865981A (zh) * 2020-07-20 2020-10-30 交通运输信息安全中心有限公司 网络安全脆弱性评估系统及方法
CN112153002A (zh) * 2020-08-24 2020-12-29 杭州安恒信息技术股份有限公司 告警信息分析方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN114785538A (zh) 2022-07-22

Similar Documents

Publication Publication Date Title
US10749891B2 (en) Valuing cyber risks for insurance pricing and underwriting using network monitored sensors and methods of use
US8549645B2 (en) System and method for detection of denial of service attacks
Yu et al. Alert confidence fusion in intrusion detection systems with extended Dempster-Shafer theory
CN113542279B (zh) 一种网络安全风险评估方法、系统及装置
CN105009132A (zh) 基于置信因子的事件关联
CN110602029B (zh) 一种用于识别网络攻击的方法和系统
Yi et al. An intelligent communication warning vulnerability detection algorithm based on IoT technology
CN112685682A (zh) 一种攻击事件的封禁对象识别方法、装置、设备及介质
US20040030931A1 (en) System and method for providing enhanced network security
CN112749097B (zh) 一种模糊测试工具性能测评方法、装置
Hu et al. Analytical assessment of security level of distributed and scalable computer systems
US20170155683A1 (en) Remedial action for release of threat data
US10356109B2 (en) Security indicator linkage determination
CN116938600B (zh) 威胁事件的分析方法、电子设备及存储介质
CN114785538B (zh) 一种数据关联分析方法、装置、计算机设备和存储介质
Upadhyaya et al. An analytical framework for reasoning about intrusions
CN112347484A (zh) 软件漏洞检测方法、装置、设备及计算机可读存储介质
Zieja et al. An outline of the method for predicting IT vulnerabilities
Rjaibi et al. The rigorous security risk management model: State of the art
Kamenskih et al. The Development of Method for Evaluation of Information Security Threats in Critical Systems
CN117421253B (zh) 接口安全测试方法、装置、设备及存储介质
CN113691518B (zh) 情报分析方法、装置、设备及存储介质
CN115098602B (zh) 基于大数据平台的数据处理方法、装置、设备及存储介质
US20220131884A1 (en) Non-transitory computer-readable recording medium, information processing method, and information processing device
Upadhyaya et al. A Comprehensive Reasoning Framework for Information Survivability

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant