CN115696337A - 一种移动终端安全监测分析方法及装置 - Google Patents
一种移动终端安全监测分析方法及装置 Download PDFInfo
- Publication number
- CN115696337A CN115696337A CN202211322007.6A CN202211322007A CN115696337A CN 115696337 A CN115696337 A CN 115696337A CN 202211322007 A CN202211322007 A CN 202211322007A CN 115696337 A CN115696337 A CN 115696337A
- Authority
- CN
- China
- Prior art keywords
- clustering
- security
- cluster
- abnormal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开一种移动终端安全监测分析方法及装置,方法通过收敛日志或话单数据作为数据集,通过基于密度的离散数据聚类算法计算出高密度圈,并勾勒出边界圈形成第一常规聚类簇,在非密度节点的数据作为第二异常聚类簇。将高密度核心圈中的中心数据作为基准点,再将数据集基于距离离散聚类算法模型进行聚类生成最佳聚类,在最佳聚类范围内的为第二常规聚类簇,之外的为第二异常聚类簇。将第一、第二异常聚类簇通过ATT&CT安全模型分落至矩阵中,进行关联分析结合复合链式函数,以图计算方式绘制出终端安全攻击链图谱。最终输出终端安全场景相关的安全事件及攻击链图。本发明有效为企业安全分析人员提供终端安全事件信息,帮助安全团队发现高质量的网络攻击行为。
Description
技术领域
本发明涉及移动终端安全技术领域,尤其涉及一种移动终端安全监测分析方法及装置。
背景技术
随着5G商用和AI加速普及,加快了泛智能终端与移动互联网应用的发展,5G泛智能终端时代让越来越多的企业将智能手机、平板电脑等泛智能终端作为重要的生产力工具。但是随之而来的就是网络安全环境越来越复杂,现有的终端安全监测系统仍是依赖传统的流量监测手段,通过IOC对传统恶意程序和僵木蠕进行识别从而进行告警。针对于泛智能终设备的恶意软件、无线网络劫持、山寨APP等一系列安全问题,给企业的数据资产带来严重的安全威胁,越来越多的黑客选择将移动设备作为攻入企业网络的突破口。
由于5G时代设备网络场景复杂性和移动化应用场景的特殊性,传统的基于终端或者基于网络的安全监测方案难以准确识别终端安全威胁,终端设备应用场景的碎片化与终端设备海量的行为事件,加剧了终端安全监测和分析的难度,难以对终端威胁事件进行有效告警。
发明内容
本发明的目的在于提供一种移动终端安全监测分析方法及装置。
本发明采用的技术方案是:
一种移动终端安全监测分析方法,包括以下步骤:
步骤1,获取移动终端的操作日志或移动网络话单数据经规范化处理后作为数据集;
步骤2,将数据集通过基于密度的离散数据聚类算法进行离散聚类,将高密度节点数据作为第一常规聚类簇,非密度节点的数据作为第一异常聚类簇;
步骤3,第一常规聚类簇核心圈中的中心数据作为基准点,再将第一常规聚类簇的数据集通过基于距离离散聚类算法模型进行聚类,将符合最佳聚类距离范围内的节点数据作为第二常规聚类簇,将最佳聚类距离范围之外节点的数据作为第二异常聚类簇;
步骤4,将第一异常聚类簇和第二异常聚类簇通过基于ATT&CK的安全矩阵模型获取安全矩阵中的每一块安全事件基线包含标准因子x、价值因子y、场景算子M、相关性算子;根据安全攻击行为画像构建基于ATT&CK的安全矩阵模型,矩阵中的每一块安全事件基线中的标准因子x即恶意行为标准值,价值因子y即攻击结果价值度,场景算子M即攻击场景计算函数,相关性算子N即资产风险相关性计算函数。
步骤5,将标准因子、价值因子、场景因子、相关性算子作为入参通过复合链式函数R=M(x,y)*N(x,y)得到一系列异常簇点位集,并根据图计算得到攻击路径图;
步骤6,最终输出终端安全场景相关的安全事件及攻击链图。
进一步地,步骤2中将每个数据作为元心构建EPS单位的圆,通过离散函数计算出高密度圈并勾勒出边界圈形成第一常规聚类簇,在非密度节点的数据作第二异常聚类簇。
进一步地,步骤3中将第一常规聚类簇的数据通过汉明距离计算到聚类中心的距离,生成最佳聚类,在最佳聚类范围内的节点数据为第二常规聚类簇,之外的节点数据为异常聚类簇。
进一步地,步骤4中以异常簇参数α,安全模型基数k,且α<k,安全矩阵关联函数A=f(α)-k,将结果集到维度映射表获取标准因子、价值因子、场景因子、相关性算子,共同作为标准参数提供给下一步骤入参绘图。
进一步地,步骤5中采用图计算算法函数G=(x1,x2,x3,```,xn)得到攻击路径图,其中,x1,x2,x3,```,xn表示计算得到的一系列异常簇点位集,即x1表示第一个异常点位,x2表示第2个异常点位,xn表示第n个异常点位。
一种移动终端安全监测分析装置,采用所述的一种移动终端安全监测分析方法,装置搭载有离散聚类算法引擎、安全矩阵关联引擎和场景链式分析引擎;
离散聚类算法引擎包括一数据规范化模块,数据规范化模块用于系统/网络日志数据规范化,离散聚类算法引擎提供至少一种基于距离的离散聚类算法模型以及至少一种基于密度的离散聚类算法模型,以达到多维度模型组合聚类分析规范化数据;
安全矩阵关联引擎包括安全矩阵关联模块、攻击相关性分析模块、安全同源性分析模块和阶梯矩阵计算模块,阶梯矩阵计算模块用于阶梯矩阵计算,安全同源性分析用于安全同源性分析得到同源性信息;攻击相关性分析模块用于分析得到不同攻击间的相关性信息;安全矩阵关联模块基于同源性信息和不同攻击间的相关性信息进行异常行为风险判定、风险事件类型识别、攻击相关性安全分析和安全同源性关联分析;
场景链式分析引擎包括横向复合链式分析模块、纵向复合链式分析模块、自事件复合链式分析模块和关联回溯模块,横向复合链式分析模块用于横向场景复合链式分析,纵向复合链式分析模块用于纵向场景复合链式分析,自事件复合链式分析模块用于自事件场景复合链式分析,关联回溯模块用于场景的多维度关联与事件回溯展示。
进一步地,基于距离的离散聚类算法模型K-modes算法模型,基于密度的离散聚类算法模型为DBSCAN算法模型。
本发明采用以上技术方案,本发明能适配不通场景下的终端设备安全监测,提高了终端安全告警的准确性、可靠性、时效性、相关性;将终端安全的威胁行为通过攻击链方式可视化,有效为企业安全分析人员提供终端安全事件信息,帮助安全团队发现高质量的网络攻击行为。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种移动终端安全监测分析方法的流程示意图;
图2为本发明一种移动终端安全监测分析装置的原理架构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。
如图1或图2所示,本发明公开了一种移动终端安全监测分析方法,其包括以下步骤:
步骤1,获取移动终端的操作日志或移动网络话单数据经规范化处理后作为数据集;
步骤2,将数据集通过基于密度的离散数据聚类算法进行离散聚类,将高密度节点数据作为第一常规聚类簇,非密度节点的数据作为第一异常聚类簇;
步骤3,第一常规聚类簇核心圈中的中心数据作为基准点,再将第一常规聚类簇的数据集通过基于距离离散聚类算法模型进行聚类,将符合最佳聚类距离范围内的节点数据作为第二常规聚类簇,将最佳聚类距离范围之外节点的数据作为第二异常聚类簇;
步骤4,将第一异常聚类簇和第二异常聚类簇通过基于ATT&CK的安全矩阵模型获取安全矩阵中的每一块安全事件基线包含标准因子x、价值因子y、场景算子M、相关性算子;根据安全攻击行为画像构建基于ATT&CK的安全矩阵模型,矩阵中的每一块安全事件基线中的标准因子x即恶意行为标准值,价值因子y即攻击结果价值度,场景算子M即攻击场景计算函数,相关性算子N即资产风险相关性计算函数。
步骤5,将标准因子、价值因子、场景因子、相关性算子作为入参通过复合链式函数R=M(x,y)*N(x,y)得到一系列异常簇点位集,并根据图计算得到攻击路径图;
步骤6,最终输出终端安全场景相关的安全事件及攻击链图。
进一步地,步骤2中将每个数据作为元心构建EPS单位的圆,通过离散函数计算出高密度圈并勾勒出边界圈形成第一常规聚类簇,在非密度节点的数据作第二异常聚类簇。
进一步地,步骤3中将第一常规聚类簇的数据通过汉明距离计算到聚类中心的距离,生成最佳聚类,在最佳聚类范围内的节点数据为第二常规聚类簇,之外的节点数据为异常聚类簇。
进一步地,步骤4中以异常簇参数α,安全模型基数k,且α<k,安全矩阵关联函数A=f(α)-k,将结果集到维度映射表获取标准因子、价值因子、场景因子、相关性算子,共同作为标准参数提供给下一步骤入参绘图。
进一步地,步骤5中采用图计算算法函数G=(x1,x2,x3,```,xn)得到攻击路径图,其中,x1,x2,x3,```,xn表示计算得到的一系列异常簇点位集,即x1表示第一个异常点位,x2表示第2个异常点位,xn表示第n个异常点位。
本发明采用K-modes离散聚类算法对移动终端系统操作日志/移动终端网络话单的数据集进行聚类分析,根据移动终端基线知识库来确定聚类中心,然后将计算所有数据到聚类中心距离,确定聚类簇,将所有样本划分完毕后,再确定聚类中心,再进行距离计算,最终获得聚类结果,从而筛选出异常聚类簇,并将常规聚类簇的聚类中心形成新的移动终端基线知识库,作为正向基线样本,同时归纳场景进行场景化标识。
本发明采用DBSCAN离散聚类算法对移动终端系统操作日志/移动终端网络话单的数据集进行聚类分析, 将每个数据点作为圆心,以EPS为半径构建邻域,构建二维空间的密度圈聚类簇,低密度圈为异常聚类簇,并将常规聚类簇的聚类中心形成新的移动终端基线知识库,作为正向基线样本,同时归纳场景进行场景化标识。
本发明采用ATT&CK模型与链式分析算法将异常聚类簇进行分析处理,将异常行为通过矩阵进行识别分析,关联系统级日志和网络行为日志,输出终端安全事件信息,并以复合链式函数与图计算结合,绘制终端安全攻击链。
一种移动终端安全监测分析装置,装置搭载有离散聚类算法引擎、安全矩阵关联引擎和场景链式分析引擎,
离散聚类算法引擎包括一数据规范化模块,数据规范化模块用于系统/网络日志数据规范化,离散聚类算法引擎提供至少一种基于距离的离散聚类算法模型以及至少一种基于密度的离散聚类算法模型,以达到多维度模型组合聚类分析规范化数据;
安全矩阵关联引擎包括安全矩阵关联模块、攻击相关性分析模块、安全同源性分析模块和阶梯矩阵计算模块,阶梯矩阵计算模块用于阶梯矩阵计算,安全同源性分析用于安全同源性分析得到同源性信息;攻击相关性分析模块用于分析得到不同攻击间的相关性信息;安全矩阵关联模块基于同源性信息和不同攻击间的相关性信息进行异常行为风险判定、风险事件类型识别、攻击相关性安全分析和安全同源性关联分析;
场景链式分析引擎包括横向复合链式分析模块、纵向复合链式分析模块、自事件复合链式分析模块和关联回溯模块,横向复合链式分析模块用于横向场景复合链式分析,纵向复合链式分析模块用于纵向场景复合链式分析,自事件复合链式分析模块用于自事件场景复合链式分析,关联回溯模块用于场景的多维度关联与事件回溯展示。
进一步地,基于距离的离散聚类算法模型K-modes算法模型,基于密度的离散聚类算法模型为DBSCAN算法模型。
本发明采用以上技术方案,基于离散数学算子、数据挖掘模型结合大数据技术与AI技术来针对泛智能终端复杂安全场景进行建模和分析,来弥补传统安全场景下,仅关注攻击特征和攻击行为而忽略了泛智能终端生产应用的碎片化场景,通过数学模型的应用结合计算机主流技术来构建针对性强、场景类型广的终端安全监测和分析能力。
本发明适用于多场景、多应用、高并发的移动终端设备安全监测与分析,提高了终端安全告警的准确性、可靠性、时效性、相关性,并终端安全的威胁行为通过攻击链方式可视化本发明有效为企业安全分析人员提供终端安全事件信息,帮助安全团队发现高质量的网络攻击行为。
显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
Claims (7)
1.一种移动终端安全监测分析方法及装置,其特征在于:其包括以下步骤:
步骤1,获取移动终端的操作日志或移动网络话单数据经规范化处理后作为数据集;
步骤2,将数据集通过基于密度的离散数据聚类算法进行离散聚类,将高密度节点数据作为第一常规聚类簇,非密度节点的数据作为第一异常聚类簇;
步骤3,第一常规聚类簇核心圈中的中心数据作为基准点,再将第一常规聚类簇的数据集通过基于距离离散聚类算法模型进行聚类,将符合最佳聚类距离范围内的节点数据作为第二常规聚类簇,将最佳聚类距离范围之外节点的数据作为第二异常聚类簇;
步骤4,将第一异常聚类簇和第二异常聚类簇通过基于ATT&CK的安全矩阵模型获取安全矩阵中的每一块安全事件基线包含标准因子x、价值因子y、场景算子M、相关性算子;
步骤5,将标准因子、价值因子、场景因子、相关性算子作为入参通过复合链式函数R=M(x,y)*N(x,y)得到一系列异常簇点位集,并根据图计算得到攻击路径图;
步骤6,最终输出终端安全场景相关的安全事件及攻击链图。
2.根据权利要求1所述的一种移动终端安全监测分析方法,其特征在于:步骤2中将每个数据作为元心构建EPS单位的圆,通过离散函数计算出高密度圈并勾勒出边界圈形成第一常规聚类簇,在非密度节点的数据作第二异常聚类簇。
3.根据权利要求1所述的一种移动终端安全监测分析方法,其特征在于:步骤3中将第一常规聚类簇的数据通过汉明距离计算到聚类中心的距离,生成最佳聚类,在最佳聚类范围内的节点数据为第二常规聚类簇,之外的节点数据为异常聚类簇。
4.根据权利要求1所述的一种移动终端安全监测分析方法,其特征在于:步骤4中以异常簇参数α,安全模型基数k,且α<k,安全矩阵关联函数A=f(α)-k,将结果集到维度映射表获取标准因子、价值因子、场景因子、相关性算子,共同作为标准参数提供给下一步骤入参绘图。
5.根据权利要求1所述的一种移动终端安全监测分析方法,其特征在于:步骤5中采用图计算算法函数G=(x1,x2,x3,```,xn)得到攻击路径图,其中,x1,x2,x3,```,xn表示计算得到的一系列异常簇点位集,即x1表示第一个异常点位,x2表示第2个异常点位,xn表示第n个异常点位。
6.一种移动终端安全监测分析装置,采用权利要求1至5任一项所述的一种移动终端安全监测分析方法,其特征在于:装置搭载有离散聚类算法引擎、安全矩阵关联引擎和场景链式分析引擎;
离散聚类算法引擎包括一数据规范化模块,数据规范化模块用于系统/网络日志数据规范化,离散聚类算法引擎提供至少一种基于距离的离散聚类算法模型以及至少一种基于密度的离散聚类算法模型,以达到多维度模型组合聚类分析规范化数据;
安全矩阵关联引擎包括安全矩阵关联模块、攻击相关性分析模块、安全同源性分析模块和阶梯矩阵计算模块,阶梯矩阵计算模块用于阶梯矩阵计算,安全同源性分析用于安全同源性分析得到同源性信息;攻击相关性分析模块用于分析得到不同攻击间的相关性信息;安全矩阵关联模块基于同源性信息和不同攻击间的相关性信息进行异常行为风险判定、风险事件类型识别、攻击相关性安全分析和安全同源性关联分析;
场景链式分析引擎包括横向复合链式分析模块、纵向复合链式分析模块、自事件复合链式分析模块和关联回溯模块,横向复合链式分析模块用于横向场景复合链式分析,纵向复合链式分析模块用于纵向场景复合链式分析,自事件复合链式分析模块用于自事件场景复合链式分析,关联回溯模块用于场景的多维度关联与事件回溯展示。
7.根据权利要求6所述的一种移动终端安全监测分析方法装置,其特征在于:基于距离的离散聚类算法模型K-modes算法模型,基于密度的离散聚类算法模型为DBSCAN算法模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211322007.6A CN115696337A (zh) | 2022-10-27 | 2022-10-27 | 一种移动终端安全监测分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211322007.6A CN115696337A (zh) | 2022-10-27 | 2022-10-27 | 一种移动终端安全监测分析方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115696337A true CN115696337A (zh) | 2023-02-03 |
Family
ID=85098468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211322007.6A Pending CN115696337A (zh) | 2022-10-27 | 2022-10-27 | 一种移动终端安全监测分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115696337A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116304763A (zh) * | 2023-05-18 | 2023-06-23 | 国网山东省电力公司日照供电公司 | 一种电力数据预分析方法、系统、设备及介质 |
-
2022
- 2022-10-27 CN CN202211322007.6A patent/CN115696337A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116304763A (zh) * | 2023-05-18 | 2023-06-23 | 国网山东省电力公司日照供电公司 | 一种电力数据预分析方法、系统、设备及介质 |
| CN116304763B (zh) * | 2023-05-18 | 2023-10-24 | 国网山东省电力公司日照供电公司 | 一种电力数据预分析方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11184401B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
| CN110311902A (zh) | 一种异常行为的识别方法、装置及电子设备 | |
| US10735272B1 (en) | Graphical user interface for security intelligence automation platform using flows | |
| CN110837582B (zh) | 数据关联方法、装置、电子设备和计算机可读存储介质 | |
| CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
| US10666666B1 (en) | Security intelligence automation platform using flows | |
| CN111294233A (zh) | 网络告警统计分析方法、系统及计算机可读存储介质 | |
| US20210209162A1 (en) | Method for processing identity information, electronic device, and storage medium | |
| CN111177779A (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| CN115459965A (zh) | 一种面向电力系统网络安全的多步攻击检测方法 | |
| CN112385196A (zh) | 用于报告计算机安全事故的系统和方法 | |
| CN111327466B (zh) | 一种告警分析方法、系统、设备以及介质 | |
| CN113961438A (zh) | 一种基于多粒度多层级的历史行为异常用户检测系统、方法、设备及存储介质 | |
| CN115696337A (zh) | 一种移动终端安全监测分析方法及装置 | |
| CN116980162A (zh) | 云审计的数据检测方法、装置、设备、介质及程序产品 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN110851414A (zh) | 一种以聚类法进行边界数据分析的方法及其系统 | |
| CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| CN116032581A (zh) | 网络设备安全管理方法及电子设备 | |
| CN115310011A (zh) | 页面展示方法、系统以及可读存储介质 | |
| CN108429632B (zh) | 一种业务监控方法和装置 | |
| CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
| CN113254672A (zh) | 异常账号的识别方法、系统、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |