CN116346475A - 一种隐匿高危行为操作异常评分方法和系统 - Google Patents

一种隐匿高危行为操作异常评分方法和系统 Download PDF

Info

Publication number
CN116346475A
CN116346475A CN202310328390.4A CN202310328390A CN116346475A CN 116346475 A CN116346475 A CN 116346475A CN 202310328390 A CN202310328390 A CN 202310328390A CN 116346475 A CN116346475 A CN 116346475A
Authority
CN
China
Prior art keywords
vulnerability
attack
threat
scoring
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310328390.4A
Other languages
English (en)
Inventor
刘翠媚
陆庭辉
吴毅良
郭凤婵
凌子文
罗序良
陈泽鸿
林海
梁治华
吕啟尤
许海
王坤明
宋惠宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Jiangmen Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Jiangmen Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Jiangmen Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202310328390.4A priority Critical patent/CN116346475A/zh
Publication of CN116346475A publication Critical patent/CN116346475A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Medical Informatics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种隐匿高危行为操作异常评分方法和系统,属于网络安全防护技术领域。包括收集报警日志数据并对其进行格式化统一,得到标准结构化的攻击数据;将标准结构化的攻击数据进行关联分析,以串联离散的报警信息,生成攻击图;基于攻击图,采用结合网络分析法和卷积神经网络的方法进行漏洞评估,得到网络漏洞的评估结果,网络分析法用于对单步攻击得到的漏洞威胁进行评分;卷积神经网络用于在网络分析法的基础上,对多步攻击得到的漏洞威胁进行评分。本发明通过结合攻击过程从系统自身漏洞出发分析多步攻击,更全面的评估漏洞威胁,并给出定性和定量的评估标准,为安全管理人员指定防护措施提供依据。

Description

一种隐匿高危行为操作异常评分方法和系统
技术领域
本发明属于网络安全防护技术领域,具体涉及一种隐匿高危行为操作异常评分方法和系统。
背景技术
威胁评分算法是一种定量的网络安全态势分析方法,即对检测发现的潜在威胁进行量化评估,实现对系统安全态势清晰明确的评价,有助于抵御网络安全威胁,尤其是隐匿高危行为威胁。通过用采集来的数据建立数学模型,客观立体地展现出安全威胁的态势,并根据模型计算出的结果,将所有可能出现的安全威胁层次化,对潜在风险的严重程度予以排序和评估,并找出最简单有效、以最低的成本预防风险的办法。
现有基于日志信息融合的网络安全威胁评估方法是最早出现的,然而该方法仅评估了单个主机中的威胁,并未考虑网络拓扑即网络渗透攻击的影响,而随着报警数据呈指数级增长,这种方法已难以适应当前的网络环境。基于攻击图的评估方法使用攻击图模型复现攻击路径,并以攻击图为依据评估网络安全态势,但该方法中攻击图节点上可能被攻击的概率受主观因素影响较大,多数攻击图未考虑攻击者的入侵能力及攻击所需条件,随着网络环境的变化,该概率值也会相应的发生改变,而且攻击图的构建依赖于已知的攻击模式,对未知攻击的检测能力较差。
发明内容
有鉴于此,本发明旨在解决现有威胁评分算法所具有的上述问题,提出一种隐匿高危行为操作异常评分方法和系统,其将攻击过程从系统自身漏洞出发分析多步攻击,更全面的评估漏洞威胁,并给出定性和定量的评估标准,为安全管理人员指定防护措施提供依据。
为了解决上述技术问题,本发明提供以下技术方案:
第一方面,本发明提供了一种隐匿高危行为操作异常评分方法,包括如下步骤:
收集报警日志数据并对其进行格式化统一,得到标准结构化的攻击数据;
将标准结构化的攻击数据进行关联分析,以串联离散的报警信息,生成攻击图;
基于攻击图,采用结合网络分析法和卷积神经网络的方法进行漏洞评估,得到网络漏洞的评估结果,网络分析法用于对单步攻击得到的漏洞威胁进行评分,卷积神经网络用于在网络分析法的基础上,对多步攻击得到的漏洞威胁进行评分。
进一步的,利用网络分析法对单步攻击得到的漏洞威胁进行评分,具体包括:
确定漏洞威胁评分的评价目标和评价指标体系,构建层次网络模型;
利用超矩阵计算各评估指标的权重;
根据评估指标对样本进行打分,并结合评估指标的权重,计算样本的综合得分,综合得分为样本的漏洞威胁评估分数。
进一步的,层次网络模型包括控制层和因素层,具体如下:
控制层包括评价目标,评价目标为漏洞威胁评分;
因素层包括评价指标,评价指标至少包括漏洞基础威胁、漏洞可修复性和漏洞可利用性三个类别,每个类别均包括若干个影响漏洞威胁评分的因素。
进一步的,卷积神经网络对多步攻击得到的漏洞威胁进行评分,具体按照下式进行:
Figure BDA0004154031100000021
式中,Ti指第i条多步攻击的漏洞威胁值,wij表示在第i条多步攻击中第j个单步攻击所占比重,Pj表示第j个单步攻击动作的漏洞威胁值,n为第i条多步攻击的总步数。
进一步的,标准结构化的攻击数据具体为包含若干个报警属性的多元组,多元组的元素至少包括:
报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。
第二方面,本发明提供了一种隐匿高危行为操作异常评分系统,包括:
数据采集单元,用于收集报警日志数据并对其进行格式化统一,得到标准结构化的攻击数据;
关联分析单元,用于将标准结构化的攻击数据进行关联分析,以串联离散的报警信息,生成攻击图;
威胁评估单元,用于基于攻击图,采用结合网络分析法和卷积神经网络的方法进行漏洞评估,得到网络漏洞的评估结果,网络分析法用于对单步攻击得到的漏洞威胁进行评分,卷积神经网络用于在网络分析法的基础上,对多步攻击得到的漏洞威胁进行评分。
进一步的,在威胁评估单元中,利用网络分析法对单步攻击得到的漏洞威胁进行评分,具体包括:
确定漏洞威胁评分的评价目标和评价指标体系,构建层次网络模型;
利用超矩阵计算各评估指标的权重;
根据评估指标对样本进行打分,并结合评估指标的权重,计算样本的综合得分,综合得分为样本的漏洞威胁评估分数。
进一步的,在威胁评估单元中,层次网络模型包括控制层和因素层,具体如下:
控制层包括评价目标,评价目标为漏洞威胁评分;
因素层包括评价指标,评价指标至少包括漏洞基础威胁、漏洞可修复性和漏洞可利用性三个类别,每个类别均包括若干个影响漏洞威胁评分的因素。
进一步的,在威胁评估单元中,卷积神经网络对多步攻击得到的漏洞威胁进行评分,具体按照下式进行:
Figure BDA0004154031100000031
式中,Ti指第i条多步攻击的漏洞威胁值,wij表示在第i条多步攻击中第j个单步攻击所占比重,Pj表示第j个单步攻击动作的漏洞威胁值,n为第i条多步攻击的总步数。
进一步的,在数据采集单元中,标准结构化的攻击数据具体为包含若干个报警属性的多元组,多元组的元素至少包括:
报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。
综上,本发明提供了一种隐匿高危行为操作异常评分方法和系统,包括收集报警日志数据并对其进行格式化统一,得到标准结构化的攻击数据;将标准结构化的攻击数据进行关联分析,以串联离散的报警信息,生成攻击图;基于攻击图,采用结合网络分析法和卷积神经网络的方法进行漏洞评估,得到网络漏洞的评估结果,网络分析法用于对单步攻击得到的漏洞威胁进行评分,卷积神经网络用于在网络分析法的基础上,对多步攻击得到的漏洞威胁进行评分。本发明通过将攻击过程从系统自身漏洞出发分析多步攻击,更全面的评估漏洞威胁,并给出定性和定量的评估标准,为安全管理人员指定防护措施提供依据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种隐匿高危行为操作异常评分方法的流程图;
图2为本发明实施例提供的层次网络模型的结构图。
具体实施方式
为使得本发明的目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本实施例提供一种隐匿高危行为操作异常评分方法,包括如下步骤:
S100:收集报警日志数据并对其进行格式化统一,得到标准结构化的攻击数据。
需要说明的是,数据采集是整个评分方法的基础部分,数据来源是部署在主机上的探针以及系统日志,该步骤的主要任务是从探针中收集报警日志数据并对其进行格式化统一。
S200:将标准结构化的攻击数据进行关联分析,以串联离散的报警信息,生成攻击图。
需要说明的是,关联分析旨在分析报警数据,串联离散的报警信息,去除重复和冗余报警,生成攻击图,其输入为标准结构化后的攻击数据,输出为攻击图。
针对现有报警关联方法中的不足,本发明采用一种基于临近传播算法与因果关系的混合报警关联方法。基于属性相似度思想,利用改进的AP算法将相似度较高的报警信息聚合未同一类簇实现攻击场景的划分,并通过因果关联的方法对同一攻击场景中的报警数据做进一步的关联分析以还原攻击场景,该方法可以在不设定攻击知识库的情况下以攻击图的形式还原攻击场景,且能很好的展示报警信息间的逻辑关系。
具体步骤包括:报警数据预处理;基于AP聚类的攻击场景划分;基于因果关系的报警关联;生成攻击图。以下对改进的AP算法和因果关联的方法进行分别介绍。
1、改进的AP算法
标准的AP算法采用欧式距离作为相似度计算准则,该方法属于基于数值型变量的相似度计算方法,并不适用于非数值型的报警日志属性,因此针对报警数据的每一种属性设定不同的相似度计算方法,通过各属性相似度的加权平均得出报警数据间总的相似度,进一步得出相似度矩阵作为AP算法的输入。
从攻击类型、IP、端口、时间四个维度进行关联分析。
I.攻击类型相似度
对于报警类型属性,若两条报警属性的报警类型相同,则设置其相似度为1,否则为0。
II.IP地址相似度
报警日志中的IP地址是以十进制形式表示的,通过比较相同前缀位数来计算其相似度,因此首先要将IP只是转换为二进制格式,再通过比较确定连续相同位数,同时取连续相同位数与IP地址总长度的比值作为相似度。
III.端口相似度
端口号是一种布尔型属性,若两条报警端口完全相同时则设置其相似度为1,不同则为0。
IV.时间相似度
多数研究均是通过设置时间窗的方式来确定报警时间的限定阈值,窗口阈值大小会影响最终的相似度计算。若两条报警的日期属性相同则采用sigmoid函数计算时间相似度,否则其相似度为0。
综上,改进后的AP算法流程如下:
I.初始化吸引度和参考度矩阵为0矩阵,并设置参数Damping factor与最大迭代次数maxIterNum;
II.输入数据计算得到相似度矩阵,求出相似度矩阵的中值,赋值给参数Preference;
III.利用吸引度矩阵更新公式更新吸引度矩阵;
IV.利用归属度矩阵更新公式更新归属度矩阵;
V.根据衰减系数对两个计算结果进行衰减;
VI.检测聚类结果是否满足终止条件,若满足则结束算法,输出结果,否则返回步骤III进行下一轮迭代;
VII.当算法结束时,将输出最终的聚类中心以及划分好类别归属的数据集合。
2、因果关系报警关联方法
通过AP聚类方法,海量无序的报警日志被依照相似度,划分成了类内间距较小,类间间距较大的攻击场景集合,该方法能够在不需要先验知识的情况下快速划分攻击场景,但无法直观的表示报警数据间存在的逻辑关系,因此需要在AP聚类方法的基础上,对同一攻击场景内的数据做进一步的报警关联并构建攻击图,实现多步攻击的还原,因此引入因果关系报警关联方法。
因果关系报警关联的具体实现过程如下所示:
I.顺序读取经过聚类处理后的报警数据集合,依次对每一个攻击场景内的数据进行关联分析;
II.根据因果关系思想,将报警数据按时间先后顺序进行排序;
III.将集合中第一条数据与其他数据按步长为1进行数个匹配,若满足IP及端口属性的对应关系,则将这两条数据进行关联,若搜索完毕未找到符合条件的数据则将该条数据列为孤立报警;
IV.依次对剩余报警数据执行III中操作,直至分析完所有报警。
S300:基于攻击图,采用结合网络分析法和卷积神经网络的方法进行漏洞评估,得到网络漏洞的评估结果,网络分析法用于对单步攻击得到的漏洞威胁进行评分,卷积神经网络用于在网络分析法的基础上,对多步攻击得到的漏洞威胁进行评分。
需要说明的是,漏洞威胁评估旨在分析攻击图中的报警信息,生成加权权重,最终综合得出隐匿高危行为操作异常评分结果,其输入是攻击图信息,输出是具体评分。
由于通用漏洞评估系统未考虑系统环境和攻击手段改变对攻击行为的影响,因此评估结果存在一定的片面性,所以本步骤的漏洞威胁评估在通用漏洞评估系统的基础上,结合环境指标和可利用性指标设计了一套网络层次化的评估指标体系。并针对网络系统环境及修复程度等因素会使漏洞各评估要素间相互的重要程度发生变化,导致利用网络分析法(ANP)进行漏洞评估时存在时间复杂度较高、人为主观因素影响较大的问题,采用结合网络分析法与一维卷积神经网络模型的方法来评估网络漏洞威胁,实现了漏洞指标和评估结果的快速准确映射。
其具体步骤如下:
I.根据评估指标体系构建ANP网络模型,通过超矩阵计算各评估指标权重。再根据评估指标对样本进行打分,并结合评估指标对权重,算出样本的综合得分;得到样本的漏洞威胁评估分数的数据。
II.设计一维卷积神经网络模型,确定网络模型结构,确定学习率、学习批次大小、数据轮次、权重衰减系数等参数;
III.样本输入神经网络进行训练与测试,并将测试结果与期望值(第一步得到的评估分数)进行比较,若两者之间的误差超出允许范围,则需要调整神经网络结构并重新训练;
IV.利用训练好的神经网络模型对漏洞测试集的样本进行评估,得到漏洞威胁评估分数;
V.根据多步攻击特点及漏洞威胁评估分数对攻击过程作综合评价,从定量和定性角度分析每一条多步攻击的漏洞威胁。
以下分别对网络分析法和一维卷积神经网络模型进行漏洞威胁评估进行详细介绍。
1、构建网络分析法模型
网络分析法(Analytic Network Process,ANP)是一种结合定性与定量分析的决策方法,该方法从决策问题本质与影响因素间的内在关系入手,将各影响因素组成一个网络化的模型结构,通过少量的定量信息将认为的主观判断过程数学化并利用其判断结果来计算各指标权重,为多目标、多准则或无结构特性的复杂决策问题提供简便的决策方法,有效提高了决策结果的可行性及科学性。
网络分析法分为控制层和因素层,控制层包括问题的目标,即漏洞威胁评分。因素层则包含所有影响控制层的目标和准则的因素,这些因素根据其类型,可以分成不同的组。同组因素之间和不同组的因素之间都可能相互影响。网络分析法能充分考虑元素之间的影响,从而进行更准确的漏洞评分。
网络分析法可分为以下四个步骤:
I.建立网络结构模型
分析问题,确定评价目标以及评价指标体系,构建层次网络模型:将模型分为控制层和因素层。控制层包含问题的目标和准则,因素层包含影响目标或准则的所有因素,这些因素之间存在相互作用和影响。
II.构建未加权超矩阵
超矩阵W的每一个元素W_ij都是基于一个两两比较矩阵获得的归一化特征向量。
在构建好的网络模型中,通过专家咨询方法对各元素进行两两相互比较,每个元素对其他元素的影响由特征向量表示,相对重要性值由Saaty量表确定。Saaty所提出的1-9标度法各标度及其含义如下:
Figure BDA0004154031100000081
Figure BDA0004154031100000091
得到两两比较矩阵后,再求得它们的特征向量。这些特征向量组成了未加权的超矩阵。
III.计算极限超矩阵:
各组元素对目标的贡献不同,在目标下对各元素组的重要性进行比较,得到一个归一化的排序向量A。A与上一步得到的未加权超矩阵相乘,即可得到加权超矩阵。
为了获得稳定的加权超矩阵,先将加权超矩阵的列向量归一化,然后将加权超矩阵自乘4~6次即可得到极限超矩阵。
IV.得到各因素的重要性排序
极限超矩阵的结果就是漏洞评分中各因素的权重。
2、构建基于一维卷积神经网络的操作异常评分体系
使用一维卷积神经网络,建立一维样本到漏洞威胁评估分数的映射。在网络分析法中,我们已经得到了各评估因素对漏洞威胁评分对影响权重,根据各评估因素的打分和其影响权重,我们可以计算出一维样本的漏洞威胁评估分数。使用一维卷积神经网络进行学习,我们可以得到一个一维样本——>漏洞威胁评估分数的模型,以此提高漏洞威胁评分的效率。
卷积神经网络与普通神经网络的区别在于,卷积神经网络包含了一个由卷积层和子采样层(池化层)构成的特征抽取器。在卷积神经网络的卷积层中,一个神经元只与部分邻层神经元连接。在CNN的一个卷积层中,通常包含若干个特征图(featureMap),每个特征图由一些矩形排列的的神经元组成,同一特征图的神经元共享权值,这里共享的权值就是卷积核。卷积核一般以随机小数矩阵的形式初始化,在网络的训练过程中卷积核将学习得到合理的权值。共享权值(卷积核)带来的直接好处是减少网络各层之间的连接,同时又降低了过拟合的风险。子采样也叫做池化(pooling),通常有均值子采样(meanpooling)和最大值子采样(maxpooling)两种形式。子采样可以看作一种特殊的卷积过程。卷积和子采样大大简化了模型复杂度,减少了模型的参数。
在之前的步骤中,本发明可以对单步攻击得到威胁漏洞评分。对于多步攻击还要进一步地定量定性处理。
多步攻击模式中各攻击步骤间具有一定的关联性,要全面分析一个攻击过程对主机资源造成的威胁,需要综合考虑攻击过程中所利用的每一个漏洞,从而避免安全管理人员根据漏洞评估结果采取相应防护措施时只注重高威胁等级漏洞的修复,而忽视前期攻击所利用的漏洞,导致威胁行为的再次发生,因此需要结合每一个单步攻击的漏洞威胁值与该攻击所占权重,通过加权平均的方式量化评估每一个攻击过程的威胁值。
在本发明的另一个实施例中,对数据进行格式化统一具体为从报警日志中提取若干个报警属性,并将报警数据定义为一个多元组,该多元组至少包括如下元素:
Figure BDA0004154031100000101
在本发明的又一个实施例中,根据以上网络分析法原理,在CVSS评估体系的基础上结合CVE、NVD等权威组织在漏洞评估中所采用的评估要素构建评估体系如图2所示,该体系与网络分析法对应,分为控制层和因素层。控制层包括评估目标为漏洞威胁评估,因素层则划分为漏洞基础威胁、漏洞可修复性和漏洞可利用性三类,其下又各自包括若干个影响评分的因素。
在本发明的再一个实施例中,在利用一维卷积神经网络对多步攻击得到的漏洞威胁进行评分时,可以按照下式计算:
Figure BDA0004154031100000111
式中,Ti指第i条多步攻击的漏洞威胁值,wij表示在第i条多步攻击中第j个单步攻击所占比重,Pj表示第j个单步攻击动作的漏洞威胁值,n为第i条多步攻击的总步数。
根据上述评分体系和计算式,安全管理人员可以根据该公式得出量化评估结果,并参照级划分表对其作定性分析。
本发明提出的一种隐匿高危行为操作异常评分方法充分考虑攻击行为及攻击目标所处网络环境对入侵结果的影响,结合攻击过程从系统自身漏洞出发分析多步攻击,更全面的评估漏洞威胁,并给出定性和定量的评估标准,为安全管理人员指定防护措施提供依据。
以上是对本发明的一种隐匿高危行为操作异常评分方法的实施例进行的详细介绍,以下将对本发明的一种隐匿高危行为操作异常评分系统的实施例进行详细的介绍。
本实施例提供一种隐匿高危行为操作异常评分系统,包括:
数据采集单元,用于收集报警日志数据并对其进行格式化统一,得到标准结构化的攻击数据;
关联分析单元,用于将标准结构化的攻击数据进行关联分析,以串联离散的报警信息,生成攻击图;
威胁评估单元,用于基于攻击图,采用结合网络分析法和卷积神经网络的方法进行漏洞评估,得到网络漏洞的评估结果,网络分析法用于对单步攻击得到的漏洞威胁进行评分,卷积神经网络用于在网络分析法的基础上,对多步攻击得到的漏洞威胁进行评分。
进一步的,在威胁评估单元中,利用网络分析法对单步攻击得到的漏洞威胁进行评分,具体包括:
确定漏洞威胁评分的评价目标和评价指标体系,构建层次网络模型;
利用超矩阵计算各评估指标的权重;
根据评估指标对样本进行打分,并结合评估指标的权重,计算样本的综合得分,综合得分为样本的漏洞威胁评估分数。
进一步的,在威胁评估单元中,层次网络模型包括控制层和因素层,具体如下:
控制层包括评价目标,评价目标为漏洞威胁评分;
因素层包括评价指标,评价指标至少包括漏洞基础威胁、漏洞可修复性和漏洞可利用性三个类别,每个类别均包括若干个影响漏洞威胁评分的因素。
进一步的,在威胁评估单元中,卷积神经网络对多步攻击得到的漏洞威胁进行评分,具体按照下式进行:
Figure BDA0004154031100000121
式中,Ti指第i条多步攻击的漏洞威胁值,wij表示在第i条多步攻击中第j个单步攻击所占比重,Pj表示第j个单步攻击动作的漏洞威胁值,n为第i条多步攻击的总步数。
进一步的,在数据采集单元中,标准结构化的攻击数据具体为包含若干个报警属性的多元组,多元组的元素至少包括:
报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。
需要说明的是,本实施例提供的一种隐匿高危行为操作异常评分系统用于实现前述实施例提供的评分方法,各单元的具体设置均以完整实现该方法为准,在此不再赘述。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种隐匿高危行为操作异常评分方法,其特征在于,它包括如下步骤:
收集报警日志数据并对其进行格式化统一,得到标准结构化的攻击数据;
将所述标准结构化的攻击数据进行关联分析,以串联离散的报警信息,生成攻击图;
基于所述攻击图,采用结合网络分析法和卷积神经网络的方法进行漏洞评估,得到网络漏洞的评估结果,所述网络分析法用于对单步攻击得到的漏洞威胁进行评分,所述卷积神经网络用于在所述网络分析法的基础上,对多步攻击得到的漏洞威胁进行评分。
2.根据权利要求1所述的隐匿高危行为操作异常评分方法,其特征在于,利用网络分析法对单步攻击得到的漏洞威胁进行评分,具体包括:
确定漏洞威胁评分的评价目标和评价指标体系,构建层次网络模型;
利用超矩阵计算各评估指标的权重;
根据所述评估指标对样本进行打分,并结合评估指标的权重,计算所述样本的综合得分,所述综合得分为所述样本的漏洞威胁评估分数。
3.根据权利要求2所述的隐匿高危行为操作异常评分方法,其特征在于,所述层次网络模型包括控制层和因素层,具体如下:
所述控制层包括所述评价目标,所述评价目标为漏洞威胁评分;
所述因素层包括所述评价指标,所述评价指标至少包括漏洞基础威胁、漏洞可修复性和漏洞可利用性三个类别,每个类别均包括若干个影响所述漏洞威胁评分的因素。
4.根据权利要求1所述的隐匿高危行为操作异常评分方法,其特征在于,所述卷积神经网络对多步攻击得到的漏洞威胁进行评分,具体按照下式进行:
Figure FDA0004154031090000011
式中,Ti指第i条多步攻击的漏洞威胁值,wij表示在第i条多步攻击中第j个单步攻击所占比重,Pj表示第j个单步攻击动作的漏洞威胁值,n为第i条多步攻击的总步数。
5.根据权利要求1所述的隐匿高危行为操作异常评分方法,其特征在于,所述标准结构化的攻击数据具体为包含若干个报警属性的多元组,所述多元组的元素至少包括:
报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。
6.一种隐匿高危行为操作异常评分系统,其特征在于,包括:
数据采集单元,用于收集报警日志数据并对其进行格式化统一,得到标准结构化的攻击数据;
关联分析单元,用于将所述标准结构化的攻击数据进行关联分析,以串联离散的报警信息,生成攻击图;
威胁评估单元,用于基于所述攻击图,采用结合网络分析法和卷积神经网络的方法进行漏洞评估,得到网络漏洞的评估结果,所述网络分析法用于对单步攻击得到的漏洞威胁进行评分,所述卷积神经网络用于在所述网络分析法的基础上,对多步攻击得到的漏洞威胁进行评分。
7.根据权利要求6所述的隐匿高危行为操作异常评分系统,其特征在于,在所述威胁评估单元中,利用网络分析法对单步攻击得到的漏洞威胁进行评分,具体包括:
确定漏洞威胁评分的评价目标和评价指标体系,构建层次网络模型;
利用超矩阵计算各评估指标的权重;
根据所述评估指标对样本进行打分,并结合评估指标的权重,计算所述样本的综合得分,所述综合得分为所述样本的漏洞威胁评估分数。
8.根据权利要求7所述的隐匿高危行为操作异常评分系统,其特征在于,在所述威胁评估单元中,所述层次网络模型包括控制层和因素层,具体如下:
所述控制层包括所述评价目标,所述评价目标为漏洞威胁评分;
所述因素层包括所述评价指标,所述评价指标至少包括漏洞基础威胁、漏洞可修复性和漏洞可利用性三个类别,每个类别均包括若干个影响所述漏洞威胁评分的因素。
9.根据权利要求6所述的隐匿高危行为操作异常评分系统,其特征在于,在所述威胁评估单元中,所述卷积神经网络对多步攻击得到的漏洞威胁进行评分,具体按照下式进行:
Figure FDA0004154031090000021
式中,Ti指第i条多步攻击的漏洞威胁值,wij表示在第i条多步攻击中第j个单步攻击所占比重,Pj表示第j个单步攻击动作的漏洞威胁值,n为第i条多步攻击的总步数。
10.根据权利要求6所述的隐匿高危行为操作异常评分系统,其特征在于,在所述数据采集单元中,所述标准结构化的攻击数据具体为包含若干个报警属性的多元组,所述多元组的元素至少包括:
报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。
CN202310328390.4A 2023-03-30 2023-03-30 一种隐匿高危行为操作异常评分方法和系统 Pending CN116346475A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310328390.4A CN116346475A (zh) 2023-03-30 2023-03-30 一种隐匿高危行为操作异常评分方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310328390.4A CN116346475A (zh) 2023-03-30 2023-03-30 一种隐匿高危行为操作异常评分方法和系统

Publications (1)

Publication Number Publication Date
CN116346475A true CN116346475A (zh) 2023-06-27

Family

ID=86878563

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310328390.4A Pending CN116346475A (zh) 2023-03-30 2023-03-30 一种隐匿高危行为操作异常评分方法和系统

Country Status (1)

Country Link
CN (1) CN116346475A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117834309A (zh) * 2024-03-06 2024-04-05 南京众智维信息科技有限公司 一种基于对比图聚类和强化学习的漏洞评估方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117834309A (zh) * 2024-03-06 2024-04-05 南京众智维信息科技有限公司 一种基于对比图聚类和强化学习的漏洞评估方法
CN117834309B (zh) * 2024-03-06 2024-05-28 南京众智维信息科技有限公司 一种基于对比图聚类和强化学习的漏洞评估方法

Similar Documents

Publication Publication Date Title
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
Dina et al. Effect of balancing data using synthetic data on the performance of machine learning classifiers for intrusion detection in computer networks
CN112910859B (zh) 基于c5.0决策树和时序分析的物联网设备监测预警方法
CN112165485A (zh) 一种大规模网络安全态势智能预测方法
CN115348074B (zh) 深度时空混合的云数据中心网络流量实时检测方法
CN113378990A (zh) 基于深度学习的流量数据异常检测方法
CN110011976B (zh) 一种网络攻击破坏能力量化评估方法及系统
CN115987615A (zh) 一种网络行为安全预警方法及系统
CN113660196A (zh) 一种基于深度学习的网络流量入侵检测方法及装置
Gonaygunta Machine learning algorithms for detection of cyber threats using logistic regression
CN112087442A (zh) 基于注意力机制的时序相关网络入侵检测方法
CN116346475A (zh) 一种隐匿高危行为操作异常评分方法和系统
Yao et al. A two-layer soft-voting ensemble learning model for network intrusion detection
Novikov et al. Artificial intelligence approaches for intrusion detection
CN117236699A (zh) 一种基于大数据分析的网络风险识别方法及系统
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
Uzun et al. Performance evaluation of machine learning algorithms for detecting abnormal data traffic in computer networks
CN114039837B (zh) 告警数据处理方法、装置、系统、设备和存储介质
CN116668045A (zh) 一种多维度的网络安全综合预警方法和系统
Yuvaraja et al. Improved Grey Wolf Optimization‐(IGWO‐) Based Feature Selection on Multiview Features and Enhanced Multimodal‐Sequential Network Intrusion Detection Approach
Lin et al. Behaviour classification of cyber attacks using convolutional neural networks
Shanker et al. Fss-part: Feature grouping subset model for predicting network attacks
Rathod et al. Model comparison and multiclass implementation analysis on the unsw nb15 dataset
Nassar et al. Network intrusion detection, literature review and some techniques comparision
Avram et al. Tiny network intrusion detection system with high performance

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination