CN115499245A - 一种基于关联检测的事中实时告警方法和系统 - Google Patents
一种基于关联检测的事中实时告警方法和系统 Download PDFInfo
- Publication number
- CN115499245A CN115499245A CN202211430237.4A CN202211430237A CN115499245A CN 115499245 A CN115499245 A CN 115499245A CN 202211430237 A CN202211430237 A CN 202211430237A CN 115499245 A CN115499245 A CN 115499245A
- Authority
- CN
- China
- Prior art keywords
- scene
- alarm
- detection
- alarm information
- monitored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明提供了一种基于关联检测的事中实时告警方法和系统,包括从报警信息库中根据预先定义的规则选择样本,所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合;对样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合;对于每一类具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,基于场景重构后的报警信息集合进行报警,从而提高报警的效率。本发明通过关联规则挖掘得到具有不同关系的报警信息集合,并进一步进行场景重构,利用其他报警信息对当前入侵行为进行补充检测,从而提升报警的准确性。
Description
技术领域
本发明属于数据处理技术领域,具体涉及一种基于关联检测的事中实时告警方法和系统。
背景技术
随着业务和IT基础设施的规模不断扩大,以及新技术的发展,国内电网电力通信网络的规模越来越大,随之而来的安全问题也层出不穷。作为一种主动保护自己免受攻击的网络安全技术,入侵检测技术能够帮助系统对付网络攻击,但是传统的入侵检测系统往往会产生数量庞大的报警信息,给管理人员分析、防御工作带来了挑战。
面对日益复杂的网络攻击形势,现有的报警信息关联分析模型能够通过分析报警信息,提取多步骤攻击规则,更好地显示攻击者的意图和攻击方式,进而做出相应的防御措施。但是由于大量的重复报警和误报的存在,大大降低了真实报警的可见性,使得管理员难以从纷繁芜杂的事件中准确识别出真正的攻击和威胁的报警,如何利用报警之间的关系体现有关攻击的信息,从而实现快速高效的网络安全防护显得尤为重要。
发明内容
有鉴于此,本发明旨在解决现有报警信息关联分析模型在面对海量的报警信息时,由于大量的重复报警和误报的存在降低了报警的准确性的问题。
为了解决上述技术问题,本发明提供以下技术方案:
第一方面,本发明提供了一种基于关联检测的事中实时告警方法,包括:
从报警信息库中根据预先定义的规则选择样本,所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合;
对样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合;
对于每一类具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,利用不同攻击类型的报警信息对应的场景对其他具有特定关系的报警信息进行补充检测,基于场景重构后的报警信息集合进行报警,从而提高报警的效率。
进一步的,若干类具有特定关系的报警信息集合包括具有伴随关系的报警信息集合,对于具有伴随关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
将所有具有伴随关系的报警信息所一一对应的检测场景按照聚合的方式进行场景聚合,得到基于伴随关系的新检测场景,记为第一检测场景,在第一检测场景下,原先任意一个检测场景到达警报状态时都会导致在第一检测场景下到达警报状态;
当第一检测场景由于其他入侵行为的发生而达到报警状态时,则对所有与其他已发生的入侵行为相伴随的、且还未发生的入侵行为发出紧急报警信号。
进一步的,若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合,对于具有向前关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
对正在监控的入侵行为所对应的检测场景采用连接的方式进行场景连接,得到基于向前关联关系的新检测场景,记为第二检测场景,即在正在监控的入侵行为所对应的检测场景中增加一个状态作为最终的报警状态,并增加一个从原报警状态转移到新的报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在第二检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为发出紧急报警信号。
进一步的,若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合,对于具有向前关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,还包括:
对正在监控的入侵行为所对应的检测场景采用补报的方式进行场景补报,得到基于向前关联关系的新检测场景,记为第三检测场景,即将各报警信息所对应的检测场景并联加入到正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在第三检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为进行紧急报警信号补报。
进一步的,若干类具有特定关系的报警信息集合包括具有向后关联关系的报警信息集合,对于具有向后关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
对正在监控的入侵行为所对应的检测场景采用预报的方式进行场景预报,得到基于向后关联关系的新检测场景,记为第四检测场景,即将各报警信息所对应的检测场景并联加入到正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向后关联关系的其他报警信息所对应的场景终止状态所确定;
在第四检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为进行紧急报警信号预报。
第二方面,本发明提供了一种基于关联检测的事中实时告警系统,包括:
样本选择单元,用于从报警信息库中根据预先定义的规则选择样本,所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合;
关联规则挖掘单元,用于对样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合;
场景重构及告警单元,用于对于每一类具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,利用不同攻击类型的报警信息对应的场景对其他具有特定关系的报警信息进行补充检测,基于场景重构后的报警信息集合进行报警,从而提高报警的效率。
进一步的,在场景重构及告警单元中,若干类具有特定关系的报警信息集合包括具有伴随关系的报警信息集合,对于具有伴随关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
将所有具有伴随关系的报警信息所一一对应的检测场景按照聚合的方式进行场景聚合,得到基于伴随关系的新检测场景,记为第一检测场景,在第一检测场景下,原先任意一个检测场景到达警报状态时都会导致在第一检测场景下到达警报状态;
当第一检测场景由于其他入侵行为的发生而达到报警状态时,则对所有与其他已发生的入侵行为相伴随的、且还未发生的入侵行为发出紧急报警信号。
进一步的,在场景重构及告警单元中,若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合,对于具有向前关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
对正在监控的入侵行为所对应的检测场景采用连接的方式进行场景连接,得到基于向前关联关系的新检测场景,记为第二检测场景,即在正在监控的入侵行为所对应的检测场景中增加一个状态作为最终的报警状态,并增加一个从原报警状态转移到新的报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在第二检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为发出紧急报警信号。
进一步的,在场景重构及告警单元中,若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合,对于具有向前关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,还包括:
对正在监控的入侵行为所对应的检测场景采用补报的方式进行场景补报,得到基于向前关联关系的新检测场景,记为第三检测场景,即将各报警信息所对应的检测场景并联加入到正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在第三检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为进行紧急报警信号补报。
进一步的,在场景重构及告警单元中,若干类具有特定关系的报警信息集合包括具有向后关联关系的报警信息集合,对于具有向后关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
对正在监控的入侵行为所对应的检测场景采用预报的方式进行场景预报,得到基于向后关联关系的新检测场景,记为第四检测场景,即将各报警信息所对应的检测场景并联加入到正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向后关联关系的其他报警信息所对应的场景终止状态所确定;
在第四检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为进行紧急报警信号预报。
综上,本发明提供了一种基于关联检测的事中实时告警方法和系统,包括从报警信息库中根据预先定义的规则选择样本,所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合;对样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合;对于每一类具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,基于场景重构后的报警信息集合进行报警,从而提高报警的效率。本发明通过关联规则挖掘得到具有不同关系的报警信息集合,并进一步进行场景重构,利用其他报警信息对当前入侵行为进行补充检测,从而提升报警的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种基于关联检测的事中实时告警方法的流程示意图;
图2为本发明实施例提供的根据伴随关系进行场景聚合的示意图;
图3为本发明实施例提供的根据向前关联关系进行场景连接的示意图;
图4为本发明实施例提供的根据向前关联关系进行场景补报的示意图;
图5为本发明实施例提供的根据向后关联关系进行场景预报的示意图;
图6为本发明实施例提供的各场景重构关系图中的图例说明图。
具体实施方式
为使得本发明的目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
随着业务和IT基础设施的规模不断扩大,以及新技术的发展,国内电网电力通信网络的规模越来越大,随之而来的安全问题也层出不穷。作为一种主动保护自己免受攻击的网络安全技术,入侵检测技术能够帮助系统对付网络攻击,但是传统的入侵检测系统往往会产生数量庞大的报警信息,给管理人员分析、防御工作带来了挑战。
面对日益复杂的网络攻击形势,现有的报警信息关联分析模型能够通过分析报警信息,提取多步骤攻击规则,更好地显示攻击者的意图和攻击方式,进而做出相应的防御措施。但是由于大量的重复报警和误报的存在,大大降低了真实报警的可见性,使得管理员难以从纷繁芜杂的事件中准确识别出真正的攻击和威胁的报警,如何利用报警之间的关系体现有关攻击的信息,从而实现快速高效的网络安全防护显得尤为重要。
基于此,本发明提供了一种基于关联检测的事中实时告警方法和系统。
以下对本发明的一种基于关联检测的事中实时告警方法的实施例进行详细的介绍。
请参阅图1,本实施例提供一种一种基于关联检测的事中实时告警方法,包括:
S100:从报警信息库中根据预先定义的规则选择样本,所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合。
关联分析的基本单位是数据项,样本和项集由数据项组成,样本集是所有样本的集合。关联分析的目标是从样本集中找出符合支持度、置信度和相关度要求的关联规则和频繁集。在对入侵检测报警信息的分析中,所有的数据都保存在报警信息库中,记为AlertDB,要挖掘的目标是同一波攻击中不同攻击步骤之间的联系。首先对此环境下的数据项和样本做出定义:
在报警信息库Alert DB中,将每一条报警信息看作一个数据项,它包含五元组I =< SRC,DST,TYPE,WEIGHT,TIME >其中:
SRC为攻击源,需要说明的是,相同的攻击源不一定是单一的个体,也可能是一组个体的集合,例如在分布式拒绝服务(DDoS)攻击中,攻击行为是由大量主机同时发起的,因此攻击源是这一组主机的集合;
DST为攻击目标,同SRC一样,相同的攻击目标不一定是单一的个体,也可能是一组个体的集合,例如在对网络的扫描中,攻击目标往往是一个子网,包括子网内的所有主机;
TYPE为攻击类型,是挖掘的主要目标;
WEIGHT为攻击对系统安全的威胁等级,值越大代表威胁越大,本文假设相同的攻击类型对相同的攻击目标具有相同的威胁等级,这个值作为攻击类型的附属,本身不参与挖掘,是用来衡量挖掘出的关联规则的价值以及确定对关联规则的处理方式,这些在后面的小节中会有介绍;
TIME为攻击发生的时间,用来表示不同报警信息的先后顺序,继而影响到对挖掘出的关联规则的解释和处理,同时还起到定义样本的作用,它本身不参与挖掘,这些在后面的小节中会有介绍。
一个样本T是指同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合,同一波攻击是指在攻击发生时间上相邻的两个报警信息的时间间隔不超过预先设定的时间窗口DT。
每个样本中的数据项有共同的攻击源、攻击目标,这可以被看作是样本的属性,而不再是数据项的属性。对于不同样本中拥有相同攻击类型的数据项,尽管它们的攻击源、攻击目标、发生时间都不一定相同,但对于分析入侵行为规律的工作来讲,它们是没有差别的,仅仅是同一种攻击在不同攻击波中的表现而已。因此,在关联规则的挖掘过程中,暂时忽略掉数据项五元组中除攻击类型以外的其他四个属性,认为不同样本中攻击类型相同的数据项就是同一数据项,将每个样本看作不同类型的攻击所组成的集合,代表一个攻击波,以每次攻击波为单位来分析不同类型的攻击之间的关系和联系。这如同在商场对顾客购物习惯的关联分析中,将同一顾客同一次购买的商品集合看作一次交易,再除掉顾客姓名、购物时间等因素,而以每次交易为单位来作分析一样。
S200:对样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合。
首先设定关联分析的参数,包括最小支持度min_sup、最小置信度min_conf和最小相关度min_corr后,对样本集进行关联分析,使用基于FP-tree的关联分析算法,可以得到频繁集以及关联规则。然而,对于入侵检测的实际应用,并不是所有这些频繁集和关联规则都是有意义的,还要结合具体情况和报警信息的先后顺序做出进一步的分析和筛选。本实施例结合报警信息的发生时间,在频繁集和关联关系中提取出三类有价值的挖掘结果,分别命名为“向后关联关系”、“向前关联关系”和“伴随关系”,其具体介绍如下:
向后关联关系表现出了同一波攻击中不同攻击行为之间的因果关系,即如果出现攻击,则这些攻击必然会导致后续的其它攻击。攻击入侵过程中体现出的向后关联关系往往来源于攻击者在入侵过程中所遵从的固定步骤,这种步骤可能出自攻击目标的指引——攻击者都是追求最大限度的攻击效果,在达到一定条件后,就一定会在进一步目标的引导和诱惑下发起进一步的攻击;也可能仅仅出自攻击者的习惯或自动化攻击工具的工作流程——当足够多的攻击者养成这种习惯或者某种自动化工具达到一定的普及度之后,就会在入侵步骤上体现出一定的共性。
入侵过程中体现出的向前关联关系主要是由入侵过程中所受到的各种制约所引发的,即攻击者只有发起了一定的攻击之后,才能获取发起其它攻击的条件和权限。另外,攻击者的普遍习惯或自动化攻击工具的工作流程也可能导致攻击行为间体现出前向关联关系。
伴随关系指的是:两类攻击同时发生,每一个报警信息的生成都意味着其他报警信息对应行为的发生或者发生趋势。
S300:对于每一类具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,利用不同攻击类型的报警信息对应的场景对其他具有特定关系的报警信息进行补充检测,基于场景重构后的报警信息集合进行报警,从而提高报警的效率。
对于报警信息,首先设定一个表示威胁等级的容忍阈值WT,用于发出紧急报警信号。它表示被保护系统对入侵威胁的最大容忍度——威胁等级小于这个阈值的报警信息被看作是由入侵行为某一中间步骤所引发的现象,对系统安全并未产生直接影响,作为线索,如果能够通过它判断出最终的入侵行为并报警,则无需再对这个线索本身发出报警;另一方面,如果某一报警信息的威胁程度超过了这个阈值,则认为这是对相应入侵行为的报警,需要准确及时地发出报警,引起系统管理员的注意。
根据容忍阈值WT,报警信息被分成了两类:
I. 反映入侵行为中间步骤的线索报警信息;
II. 表示入侵行为本身的紧急报警信息。本实施例中改进和完善入侵检测系统工作方式的思路是:利用两类报警信息之间的关联关系,将第1类报警信息的检测场景并入到第2类报警信息的检测场景中,使后者的检测更加及时或更加准确;同时,筛选、过滤和合并第1类报警信息,以减少其数量并使之更加清楚直观的展现在管理员面前。
对于不同关联关系的报警信息集合,本实施例所提供的入侵检测方式如下:
a)根据伴随关系进行场景聚合
若所有数据项满足伴随关系,且可以被划分为上述两个集合(I和II),则每一个报警信息的生成都意味着其他报警信息对应行为的发生或者发生趋势,那么将这些报警信息的检测场景按如图2所示的方式聚合在一起。
聚合的方式是将报警信息具有伴随关系的多个场景(S1-Sn)合并成一个新场景(图2右半部分),原来任何一个场景到达警报状态(即由每个场景的初始状态经过中间状态后到达停止状态1_end~n_end)都会导致在新场景中到达警报状态(end),并发送所有威胁等级超过阈值的警报(ai,i∈n)。这种方式增加了对敏感报警信息的探测途径,在有限状态机中具有多条路径可以从初始状态到达发送的报警状态,相当于利用其它报警信息的伴随关系来检测所对应的入侵行为,这降低了漏报率,使报警信息更加准确。同时,即使所对应的入侵行为还没有发生,如果入侵检测系统发现了伴随的其他行为,也可更加及时地发出的报警信息。另外,新场景中过滤掉了无需管理员特别关注的线索报警信息,使报警更加直观。
b)根据向前关联关系进行场景连接
满足向前关联关系可以被划分为两个集合,可以将报警信息对应的场景按图3所示的方式合并到对应的场景中,并作为判断行为发生的判据。
连接的方式在对应场景中增加一个状态作为最终的报警状态(end),并增加一个从原报警状态(bi_end)到新状态(end)的转移,只有场景变量数组的值(Flag[1]~Flag[N])都为1的时候,转移才会生效并发出报警信息(bi),即Flag[1]~Flag[N]都为1为转移的断言。利用各报警信息对应的场景终止状态的回调函数,来更新对应的元素(Flag[j]),从而将这些场景串联插入到对应的场景之中,作为发生的必要条件。显而易见,连接的方式增加了检测的可靠性,降低了系统的误报率。需要说明的是这里只是利用其它场景更新了对应的场景,各报警信息对应的场景保持不变,原因是不能保证这些场景中报警信息的威胁等级都低于阈值,故不能擅自删除或改动。
c)根据向前关联关系进行场景补报
若满足向前关联关系且可以被划分为两个集合,则对于其中的任意一个报警信息(即紧急报警信息),可以将报警信息对应的场景按图4所示的方式合并到对应的场景中,作为判断发生的额外依据。
补报的方式将各报警信息对应的场景并联的加入到某个紧急报警信息(Sai)对应场景中,并增加一条从初始状态(ai_0)到报警状态的转移(ai_end)。只要场景变量数组Flag[N]的值都为1的时候,转移就会生效并发出报警信息(ai)。利用各报警信息对应的场景终止状态(j_end,1≤j≤m)的回调函数,来更新Flag[N]中对应的元素。这相当于为检测的发生增加了额外的检测依据,即只要数组Flag[N]的全部值都为1,就能判断出在此之前对应的行为也已经发生了,于是对此行为发出补报,以降低系统的漏报率。同样,这里只是利用其它场景更新了对应的场景,图4左边的各报警信息对应的场景保持不变。
d)根据向后关联关系进行场景预报
对于任意一个报警信息即紧急报警信息,可以将报警信息对应的场景按图5所示的方式合并到对应的场景中,作为判断发生的依据,提前对其进行报警。
可以看出预报的方式和补报的方式相同,都是将一组场景并联的合并到某个紧急报警信息(Sbi)对应的场景中,作为判断该入侵行为的额外依据。不同的是预报的方式是在攻击完成前就先发出警报,对于系统的防护来讲更有价值。
图6为对上述各场景重构的示意图中各图例的说明。
本实施例提供了一种基于关联检测的事中实时告警方法,包括从报警信息库中根据预先定义的规则选择样本,所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合;对样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合;对于每一类具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,基于场景重构后的报警信息集合进行报警,从而提高报警的效率。本发明通过关联规则挖掘得到具有不同关系的报警信息集合,并进一步进行场景重构,利用其他报警信息对当前入侵行为进行补充检测,从而提升报警的准确性。
以上是对本发明的一种基于关联检测的事中实时告警方法的实施例进行的详细介绍,以下将对本发明的一种基于关联检测的事中实时告警系统的实施例进行详细的介绍。
本实施例提供一种基于关联检测的事中实时告警系统,包括:样本选择单元、关联规则挖掘单元和场景重构及告警单元。
在本实施例中,样本选择单元用于从报警信息库中根据预先定义的规则选择样本,所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合。
在本实施例中,关联规则挖掘单元用于对样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合。
在本实施例中,场景重构及告警单元用于对于每一类具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,利用不同攻击类型的报警信息对应的场景对其他具有特定关系的报警信息进行补充检测,基于场景重构后的报警信息集合进行报警,从而提高报警的效率。
在一个实施例中,若干类具有特定关系的报警信息集合包括具有伴随关系的报警信息集合、具有向前关联关系的报警信息集合和具有向后关联关系的报警信息集合。
对于不同关联关系的报警信息集合,其场景重构即告警过程具体如下:
a)具有伴随关系的报警信息集合的场景聚合
将所有具有伴随关系的报警信息所一一对应的检测场景按照聚合的方式进行场景聚合,得到基于伴随关系的新检测场景,记为第一检测场景,在第一检测场景下,原先任意一个检测场景到达警报状态时都会导致在第一检测场景下到达警报状态;
当第一检测场景由于其他入侵行为的发生而达到报警状态时,则对所有与其他已发生的入侵行为相伴随的、且还未发生的入侵行为发出紧急报警信号。
b)具有向前关联关系的报警信息集合的场景连接
对正在监控的入侵行为所对应的检测场景采用连接的方式进行场景连接,得到基于向前关联关系的新检测场景,记为第二检测场景,即在正在监控的入侵行为所对应的检测场景中增加一个状态作为最终的报警状态,并增加一个从原报警状态转移到新的报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在第二检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为发出紧急报警信号。
c)具有向前关联关系的报警信息集合的场景补报
对正在监控的入侵行为所对应的检测场景采用补报的方式进行场景补报,得到基于向前关联关系的新检测场景,记为第三检测场景,即将各报警信息所对应的检测场景并联加入到正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在第三检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为进行紧急报警信号补报。
d)具有向后关联关系的报警信息集合的场景预报
对正在监控的入侵行为所对应的检测场景采用预报的方式进行场景预报,得到基于向后关联关系的新检测场景,记为第四检测场景,即将各报警信息所对应的检测场景并联加入到正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,转移的生效与否由场景变量数组的值所确定,场景变量数组的值由与正在监控的入侵行为具有向后关联关系的其他报警信息所对应的场景终止状态所确定;
在第四检测场景下,若场景变量数组的值满足设定条件,则转移生效,对正在监控的入侵行为进行紧急报警信号预报。
需要说明的是,本实施例提供的事中实时告警系统用于实现前述实施例提供的事中实时告警方法,各单元的详细设置均以完整实现该方法为准,在此不再赘述。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于关联检测的事中实时告警方法,其特征在于,包括:
从报警信息库中根据预先定义的规则选择样本,所选择的所述样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合;
对所述样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合;
对于每一类所述具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,利用不同攻击类型的报警信息对应的场景对其他具有所述特定关系的报警信息进行补充检测,基于场景重构后的所述报警信息集合进行报警,从而提高报警的效率。
2.根据权利要求1所述的基于关联检测的事中实时告警方法,其特征在于,所述若干类具有特定关系的报警信息集合包括具有伴随关系的报警信息集合,对于所述具有伴随关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
将所有具有伴随关系的报警信息所一一对应的检测场景按照聚合的方式进行场景聚合,得到基于伴随关系的新检测场景,记为第一检测场景,在所述第一检测场景下,原先任意一个所述检测场景到达警报状态时都会导致在所述第一检测场景下到达所述警报状态;
当所述第一检测场景由于其他入侵行为的发生而达到报警状态时,则对所有与其他已发生的入侵行为相伴随的、且还未发生的紧急报警行为发出紧急报警信号。
3.根据权利要求1所述的基于关联检测的事中实时告警方法,其特征在于,所述若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合,对于所述具有向前关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
对正在监控的入侵行为所对应的检测场景采用连接的方式进行场景连接,得到基于向前关联关系的新检测场景,记为第二检测场景,即在所述正在监控的入侵行为所对应的检测场景中增加一个状态作为最终的报警状态,并增加一个从原报警状态转移到新的报警状态的转移,转移的生效与否由场景变量数组的值所确定,所述场景变量数组的值由与所述正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在所述第二检测场景下,若所述场景变量数组的值满足设定条件,则所述转移生效,对所述正在监控的入侵行为发出紧急报警信号。
4.根据权利要求1所述的基于关联检测的事中实时告警方法,其特征在于,所述若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合,对于所述具有向前关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,还包括:
对正在监控的入侵行为所对应的检测场景采用补报的方式进行场景补报,得到基于向前关联关系的新检测场景,记为第三检测场景,即将各报警信息所对应的检测场景并联加入到所述正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,所述转移的生效与否由场景变量数组的值所确定,所述场景变量数组的值由与所述正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在所述第三检测场景下,若所述场景变量数组的值满足设定条件,则所述转移生效,对所述正在监控的入侵行为进行紧急报警信号补报。
5.根据权利要求1所述的基于关联检测的事中实时告警方法,其特征在于,所述若干类具有特定关系的报警信息集合包括具有向后关联关系的报警信息集合,对于所述具有向后关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
对正在监控的入侵行为所对应的检测场景采用预报的方式进行场景预报,得到基于向后关联关系的新检测场景,记为第四检测场景,即将各报警信息所对应的检测场景并联加入到所述正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,所述转移的生效与否由场景变量数组的值所确定,所述场景变量数组的值由与所述正在监控的入侵行为具有向后关联关系的其他报警信息所对应的场景终止状态所确定;
在所述第四检测场景下,若所述场景变量数组的值满足设定条件,则所述转移生效,对所述正在监控的入侵行为进行紧急报警信号预报。
6.一种基于关联检测的事中实时告警系统,其特征在于,包括:
样本选择单元,用于从报警信息库中根据预先定义的规则选择样本,所选择的所述样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合;
关联规则挖掘单元,用于对所述样本进行关联规则的挖掘与筛选,结合报警信息的发生时间得到若干类具有特定关系的报警信息集合;
场景重构及告警单元,用于对于每一类所述具有特定关系的报警信息集合,以提高报警效率为目标进行场景重构,利用不同攻击类型的报警信息对应的场景对其他具有所述特定关系的报警信息进行补充检测,基于场景重构后的所述报警信息集合进行报警,从而提高报警的效率。
7.根据权利要求6所述的基于关联检测的事中实时告警系统,其特征在于,在所述场景重构及告警单元中,所述若干类具有特定关系的报警信息集合包括具有伴随关系的报警信息集合,对于所述具有伴随关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
将所有具有伴随关系的报警信息所一一对应的检测场景按照聚合的方式进行场景聚合,得到基于伴随关系的新检测场景,记为第一检测场景,在所述第一检测场景下,原先任意一个所述检测场景到达警报状态时都会导致在所述第一检测场景下到达所述警报状态;
当所述第一检测场景由于其他入侵行为的发生而达到报警状态时,则对所有与其他已发生的入侵行为相伴随的、且还未发生的入侵行为发出紧急报警信号。
8.根据权利要求6所述的基于关联检测的事中实时告警系统,其特征在于,在所述场景重构及告警单元中,所述若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合,对于所述具有向前关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
对正在监控的入侵行为所对应的检测场景采用连接的方式进行场景连接,得到基于向前关联关系的新检测场景,记为第二检测场景,即在所述正在监控的入侵行为所对应的检测场景中增加一个状态作为最终的报警状态,并增加一个从原报警状态转移到新的报警状态的转移,转移的生效与否由场景变量数组的值所确定,所述场景变量数组的值由与所述正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在所述第二检测场景下,若所述场景变量数组的值满足设定条件,则所述转移生效,对所述正在监控的入侵行为发出紧急报警信号。
9.根据权利要求6所述的基于关联检测的事中实时告警系统,其特征在于,在所述场景重构及告警单元中,所述若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合,对于所述具有向前关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,还包括:
对正在监控的入侵行为所对应的检测场景采用补报的方式进行场景补报,得到基于向前关联关系的新检测场景,记为第三检测场景,即将各报警信息所对应的检测场景并联加入到所述正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,所述转移的生效与否由场景变量数组的值所确定,所述场景变量数组的值由与所述正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定;
在所述第三检测场景下,若所述场景变量数组的值满足设定条件,则所述转移生效,对所述正在监控的入侵行为进行紧急报警信号补报。
10.根据权利要求6所述的基于关联检测的事中实时告警系统,其特征在于,在所述场景重构及告警单元中,所述若干类具有特定关系的报警信息集合包括具有向后关联关系的报警信息集合,对于所述具有向后关联关系的报警信息集合,以提高报警效率为目标进行场景重构并报警,具体包括:
对正在监控的入侵行为所对应的检测场景采用预报的方式进行场景预报,得到基于向后关联关系的新检测场景,记为第四检测场景,即将各报警信息所对应的检测场景并联加入到所述正在监控的入侵行为对应的场景中,并增加一个从初始状态转移到报警状态的转移,所述转移的生效与否由场景变量数组的值所确定,所述场景变量数组的值由与所述正在监控的入侵行为具有向后关联关系的其他报警信息所对应的场景终止状态所确定;
在所述第四检测场景下,若所述场景变量数组的值满足设定条件,则所述转移生效,对所述正在监控的入侵行为进行紧急报警信号预报。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211430237.4A CN115499245B (zh) | 2022-11-16 | 2022-11-16 | 一种基于关联检测的事中实时告警方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211430237.4A CN115499245B (zh) | 2022-11-16 | 2022-11-16 | 一种基于关联检测的事中实时告警方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115499245A true CN115499245A (zh) | 2022-12-20 |
CN115499245B CN115499245B (zh) | 2023-06-13 |
Family
ID=85115767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211430237.4A Active CN115499245B (zh) | 2022-11-16 | 2022-11-16 | 一种基于关联检测的事中实时告警方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115499245B (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931570A (zh) * | 2010-02-08 | 2010-12-29 | 中国航天科技集团公司第七一○研究所 | 一种基于频繁模式增长算法的网络攻击路径重构方法 |
CN102611565A (zh) * | 2011-10-18 | 2012-07-25 | 国网电力科学研究院 | 一种基于正则表达式的监控系统告警关联分析方法 |
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
CN105471623A (zh) * | 2015-11-16 | 2016-04-06 | 中国烟草总公司江苏省公司 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
CN109450946A (zh) * | 2018-12-27 | 2019-03-08 | 浙江大学 | 一种基于报警关联分析的未知攻击场景检测方法 |
CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
WO2021051656A1 (zh) * | 2019-09-20 | 2021-03-25 | 中国电力科学研究院有限公司 | 宽频测量数据的处理方法、装置、电子设备及介质 |
CN113422763A (zh) * | 2021-06-04 | 2021-09-21 | 桂林电子科技大学 | 基于攻击场景构建的报警关联分析方法 |
CN114422224A (zh) * | 2021-08-16 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击溯源的威胁情报智能分析方法及系统 |
CN115001753A (zh) * | 2022-05-11 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
-
2022
- 2022-11-16 CN CN202211430237.4A patent/CN115499245B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931570A (zh) * | 2010-02-08 | 2010-12-29 | 中国航天科技集团公司第七一○研究所 | 一种基于频繁模式增长算法的网络攻击路径重构方法 |
CN102611565A (zh) * | 2011-10-18 | 2012-07-25 | 国网电力科学研究院 | 一种基于正则表达式的监控系统告警关联分析方法 |
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
CN105471623A (zh) * | 2015-11-16 | 2016-04-06 | 中国烟草总公司江苏省公司 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
CN109450946A (zh) * | 2018-12-27 | 2019-03-08 | 浙江大学 | 一种基于报警关联分析的未知攻击场景检测方法 |
WO2021051656A1 (zh) * | 2019-09-20 | 2021-03-25 | 中国电力科学研究院有限公司 | 宽频测量数据的处理方法、装置、电子设备及介质 |
CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
CN113422763A (zh) * | 2021-06-04 | 2021-09-21 | 桂林电子科技大学 | 基于攻击场景构建的报警关联分析方法 |
CN114422224A (zh) * | 2021-08-16 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击溯源的威胁情报智能分析方法及系统 |
CN115001753A (zh) * | 2022-05-11 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
张海阔等: "面向海量告警数据的并行处理系统设计与实现", 《计算机工程与设计》 * |
张海阔等: "面向海量告警数据的并行处理系统设计与实现", 《计算机工程与设计》, no. 02, 16 February 2018 (2018-02-16) * |
Also Published As
Publication number | Publication date |
---|---|
CN115499245B (zh) | 2023-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107204876B (zh) | 一种网络安全风险评估方法 | |
CN112039862B (zh) | 一种面向多维立体网络的安全事件预警方法 | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
CN113064932B (zh) | 一种基于数据挖掘的网络态势评估方法 | |
CN105100122A (zh) | 一种基于大数据分析的威胁检测和预警的方法及系统 | |
CN115225386B (zh) | 基于事件序列关联融合的业务识别与风险分析方法及系统 | |
CN116662989B (zh) | 一种安全数据解析方法及系统 | |
CN113422763B (zh) | 基于攻击场景构建的报警关联分析方法 | |
CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
CN112671767A (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
CN115396324A (zh) | 一种网络安全态势感知预警处理系统 | |
KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
KR100609707B1 (ko) | 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치 | |
CN114238020A (zh) | 多维度的高精度智能业务监控方法及系统 | |
CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
CN116389148B (zh) | 一种基于人工智能的网络安全态势预测系统 | |
CN110149303B (zh) | 一种党校的网络安全预警方法及预警系统 | |
CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
CN115499245A (zh) | 一种基于关联检测的事中实时告警方法和系统 | |
CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和系统 | |
CN114697087A (zh) | 一种基于报警时序的报警关联方法 | |
CN114726623A (zh) | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 | |
WO2006077666A1 (ja) | 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 | |
KR20050093196A (ko) | 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |