CN117609990B - 一种基于场景关联分析引擎的自适应安全防护方法及装置 - Google Patents

一种基于场景关联分析引擎的自适应安全防护方法及装置 Download PDF

Info

Publication number
CN117609990B
CN117609990B CN202311206790.4A CN202311206790A CN117609990B CN 117609990 B CN117609990 B CN 117609990B CN 202311206790 A CN202311206790 A CN 202311206790A CN 117609990 B CN117609990 B CN 117609990B
Authority
CN
China
Prior art keywords
information
scene
data
alarm
association
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311206790.4A
Other languages
English (en)
Other versions
CN117609990A (zh
Inventor
俞赛赛
崔军
苏千叶
谭震
刘玮
刘晓影
乌吉斯古愣
王淮
刘文瀚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin Polytechnic University
CETC 15 Research Institute
Original Assignee
Tianjin Polytechnic University
CETC 15 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin Polytechnic University, CETC 15 Research Institute filed Critical Tianjin Polytechnic University
Priority to CN202311206790.4A priority Critical patent/CN117609990B/zh
Publication of CN117609990A publication Critical patent/CN117609990A/zh
Application granted granted Critical
Publication of CN117609990B publication Critical patent/CN117609990B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于场景关联分析引擎的自适应安全防护方法及装置,该方法包括:对无线可穿戴设备的底层数据进行采集,得到全要素数据信息;对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息;对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息;利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息;对所述高阶告警信息进行安全处置,实现自适应安全防护。本发明基于关联应用场景的全局视角安全防护功能,精准量化评估设备安全状态,有效降低误报率,通过实时威胁安全处置保证设备运行状态正常。

Description

一种基于场景关联分析引擎的自适应安全防护方法及装置
技术领域
本发明涉及安全防护技术领域,尤其涉及一种基于场景关联分析引擎的自适应安全防护方法及装置。
背景技术
随着计算机技术和互联网技术的快速发展,网络正在影响人类社会发展的等各个领域,同时也极大的改变了人类的生活方式与习惯。从最早的大型机到个人PC和笔记本电脑,再到智能手机,人们使用的通信电子设备形态也在不断演化。近年来,可穿戴设备以其方便携带、交互性好等独特优势,发展势头十分迅猛,已成为全球范围内快速增长的高科技市场之一。
在大数据时代的背景下,基于数据共享、医疗服务、科学研究等方面的需求,为了充分开发利用可穿戴设备的数据,许多数据拥有者都非常乐意与他人进行数据分享与分析,挖掘其中潜在的价值,这些数据也是促进社会发展的重要内容。但是,在从可穿戴设备中获利的同时,也要意识到,由于可穿戴设备是一种新兴事物,整个行业仍处于摸索阶段,发展并未成熟,其背后存在着种种隐忧必须引起重视。可穿戴设备以互联网为基础,对网络有高度依赖性,大部分可穿戴设备都缺乏一定的独立性,且内存与存储量都较小,很容易受到黑客的攻击,安全问题逐渐成为大规模可穿戴设备部署面临的最大障碍之一。
入侵检测系统正是通过检测网络环境中主机信息、网络流量信息来检测当前系统是否正在遭受攻击。目前已有的入侵检测设备主要包括基于网络流量和基于主机状态两种检测方式,可以在一定程度上发现攻击者的真实攻击目的,但仍存在以下缺点:
1、针对现阶段不同网络场景中日益复杂、变种繁多的网络安全威胁,传统的依靠单一入侵检测设备已经无法很好的满足当前网络环境的安全要求,难以准确反应攻击者的真实攻击目的。
2、针对真实环境的攻击,入侵检测系统会产生海量日志,很多信息之间存在大量冗余关系,误报率高、效率低,难以挖掘出多阶段复杂环境的攻击,缺乏时间和空间上的关联性,对各种网络攻击的威胁程度不具有量化标准且没有处置依据,大多为大规模模糊性阻断。
发明内容
本发明所要解决的技术问题在于,提供一种基于场景关联分析引擎的自适应安全防护方法及装置,针对传统入侵检测设备出现的误报率高、效率低、没有威胁量化标准及现阶段多种不同场景日益复杂的网络威胁等问题,依据时间先后、同一时段、网络空间拓扑、业务处理逻辑等安全要素研究场景关联分析引擎技术。使其具备敌方视角网络攻击规则检测或算法检测和防御视角设备行为异常分析能力。基于关联应用场景的全局视角安全防护功能,精准量化评估设备安全状态,有效降低误报率,通过实时威胁安全处置保证设备运行状态正常。
为了解决上述技术问题,本发明实施例第一方面公开了基于场景关联分析引擎的自适应安全防护方法,所述方法包括:
S1,对无线可穿戴设备的底层数据进行采集,得到全要素数据信息;
S2,对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息;
S3,对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息;
S4,利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息;
S5,根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护;
所述自适应安全防护包括告警展示、触发判断、阶段分析、告警分析、设备匹配、处置下发和信息反馈。
作为一种可选的实施方式,本发明实施例第一方面中,所述对无线可穿戴设备的底层数据进行采集,得到全要素数据信息,包括:
S11,对无线可穿戴设备进行数据采集,得到底层数据信息;
所述底层数据信息包括威胁攻击检测信息、设备行为异常信息、主机规则日志信息、流量规则日志信息、网络流量特征和设备运行日志;
S12,对所述底层数据信息进行数据管理,得到全要素数据信息。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息,包括:
S21,对所述全要素数据信息进行数据解密、规则匹配和数据富化,得到预处理全要素数据信息;
S22,对所述预处理全要素数据信息进行初级攻击检测,得到初阶告警信息。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息,包括:
S31,对所述初阶告警信息进行数据分类、标签植入、数据富化和格式标准化处理,得到预处理初阶告警信息;
S32,对所述预处理初阶告警信息进行信息分类、索引查询和切片存储,得到初阶告警标准化事件信息;
所述初阶告警标准化事件信息包括主机初阶告警信息、流量初阶告警信息和业务数据初阶告警信息。
作为一种可选的实施方式,本发明实施例第一方面中,所述利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息,包括:
S41,对所述初阶告警标准化事件信息进行风险评估与度量,得到风险等级值;
S42,对所述初阶告警标准化事件信息中的不同的安全事件进行关联分析,得到安全威胁的来源、传播路径和影响范围;
根据具体场景特点,进行场景关联指令创建;
所述场景关联指令包括全局属性和子规则属性;
子规则按顺序进行检测,当指令的子规则检测达到最高级别,得到对应的告警信息;
S43,对所述初阶告警标准化事件信息进行关联分析,得到场景关联信息;
所述场景关联信息包括位置关联信息、网络关联信息、时间关联信息和业务关联信息;
S44,对所述场景关联信息进行资产风险评估,得到场景风险值;
S45,将所述场景风险值与预设的阈值进行比较,当所述场景风险值大于预设的阈值时,所述场景风险值为高阶告警信息。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述场景关联信息进行资产风险评估,得到场景风险值,包括:
S441,对所述场景关联信息进行分析,得到所述场景关联信息的资产值、优先级、可靠值和规则阶段值;
S442,利用自适应安全管理模型,对所述资产值、优先级、可靠值和规则阶段值进行处理,得到场景风险值;
所述自适应安全管理模型为:
Risk=Asset*Priority*Reliability*Stage/300
其中*表示乘积运算。
作为一种可选的实施方式,本发明实施例第一方面中,所述根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护,包括:
S51,对所述高阶告警信息进行可视化展示;
S52,利用字段过滤方法,对所述高阶告警信息进行筛选,得到攻击源信息和被攻击设备信息;
S53,对所述高阶告警信息中的攻击事件进行告警分析,得到所述攻击事件的危险程度值,实现自适应安全防护。
本发明实施例第二方面公开了基于场景关联分析引擎的自适应安全防护装置,所述装置包括:
数据采集模块,用于对无线可穿戴设备的底层数据进行采集,得到全要素数据信息;
数据汇聚模块,用于对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息,包括:
S21,对所述全要素数据信息进行数据解密、规则匹配和数据富化,得到预处理全要素数据信息;
S22,对所述预处理全要素数据信息进行初级攻击检测,得到初阶告警信息;
数据处理模块,用于对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息,包括:
S31,对所述初阶告警信息进行数据分类、标签植入、数据富化和格式标准化处理,得到预处理初阶告警信息;
S32,对所述预处理初阶告警信息进行信息分类、索引查询和切片存储,得到初阶告警标准化事件信息;
所述初阶告警标准化事件信息包括主机初阶告警信息、流量初阶告警信息和业务数据初阶告警信息;
场景关联分析模块,用于利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息,包括:
S41,对所述初阶告警标准化事件信息进行风险评估与度量,得到风险等级值;
S42,对所述初阶告警标准化事件信息中的不同的安全事件进行关联分析,得到安全威胁的来源、传播路径和影响范围;
根据具体场景特点,进行场景关联指令创建;
所述场景关联指令包括全局属性和子规则属性;
子规则按顺序进行检测,当指令的子规则检测达到最高级别,得到对应的告警信息;
S43,对所述初阶告警标准化事件信息进行关联分析,得到场景关联信息;
所述场景关联信息包括位置关联信息、网络关联信息、时间关联信息和业务关联信息;
S44,对所述场景关联信息进行资产风险评估,得到场景风险值,包括:
S441,对所述场景关联信息进行分析,得到所述场景关联信息的资产值、优先级、可靠值和规则阶段值;
S442,利用自适应安全管理模型,对所述资产值、优先级、可靠值和规则阶段值进行处理,得到场景风险值;
所述自适应安全管理模型为:
Risk=Asset*Priority*Reliability*Stage/300
其中*表示乘积运算;
S45,将所述场景风险值与预设的阈值进行比较,当所述场景风险值大于预设的阈值时,所述场景风险值为高阶告警信息;
自适应安全防护模块,用于根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护;
所述自适应安全防护包括告警展示、触发判断、阶段分析、告警分析、设备匹配、处置下发和信息反馈。
作为一种可选的实施方式,本发明实施例第二方面中,所述对无线可穿戴设备的底层数据进行采集,得到全要素数据信息,包括:
S11,对无线可穿戴设备进行数据采集,得到底层数据信息;
所述底层数据信息包括威胁攻击检测信息、设备行为异常信息、主机规则日志信息、流量规则日志信息、网络流量特征和设备运行日志;
S12,对所述底层数据信息进行数据管理,得到全要素数据信息。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息,包括:
S21,对所述全要素数据信息进行数据解密、规则匹配和数据富化,得到预处理全要素数据信息;
S22,对所述预处理全要素数据信息进行初级攻击检测,得到初阶告警信息。
作为一种可选的实施方式,本发明实施例第二方面中,所述对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息,包括:
S31,对所述初阶告警信息进行数据分类、标签植入、数据富化和格式标准化处理,得到预处理初阶告警信息;
S32,对所述预处理初阶告警信息进行信息分类、索引查询和切片存储,得到初阶告警标准化事件信息;
所述初阶告警标准化事件信息包括主机初阶告警信息、流量初阶告警信息和业务数据初阶告警信息。
作为一种可选的实施方式,本发明实施例第二方面中,所述利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息,包括:
S41,对所述初阶告警标准化事件信息进行风险评估与度量,得到风险等级值;
S42,对所述初阶告警标准化事件信息中的不同的安全事件进行关联分析,得到安全威胁的来源、传播路径和影响范围;
根据具体场景特点,进行场景关联指令创建;
所述场景关联指令包括全局属性和子规则属性;
子规则按顺序进行检测,当指令的子规则检测达到最高级别,得到对应的告警信息;
S43,对所述初阶告警标准化事件信息进行关联分析,得到场景关联信息;
所述场景关联信息包括位置关联信息、网络关联信息、时间关联信息和业务关联信息;
S44,对所述场景关联信息进行资产风险评估,得到场景风险值;
S45,将所述场景风险值与预设的阈值进行比较,当所述场景风险值大于预设的阈值时,所述场景风险值为高阶告警信息。
作为一种可选的实施方式,本发明实施例第二方面中,所述对所述场景关联信息进行资产风险评估,得到场景风险值,包括:
S441,对所述场景关联信息进行分析,得到所述场景关联信息的资产值、优先级、可靠值和规则阶段值;
S442,利用自适应安全管理模型,对所述资产值、优先级、可靠值和规则阶段值进行处理,得到场景风险值;
所述自适应安全管理模型为:
Risk=Asset*Priority*Reliability*Stage/300
其中*表示乘积运算。
作为一种可选的实施方式,本发明实施例第二方面中,所述根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护,包括:
S51,对所述高阶告警信息进行可视化展示;
S52,利用字段过滤方法,对所述高阶告警信息进行筛选,得到攻击源信息和被攻击设备信息;
S53,对所述高阶告警信息中的攻击事件进行告警分析,得到所述攻击事件的危险程度值,实现自适应安全防护。
本发明第三方面公开了另一种基于场景关联分析引擎的自适应安全防护装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例第一方面公开的基于场景关联分析引擎的自适应安全防护方法中的部分或全部步骤。
本发明第四方面公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明实施例第一方面公开的基于场景关联分析引擎的自适应安全防护方法中的部分或全部步骤。
与现有技术相比,本发明实施例具有以下有益效果:
(1)针对日益复杂、变种繁多的网络安全威胁,传统的依靠单一入侵检测设备已经无法很好的满足当前网络环境的安全要求,难以准确反应攻击者的真实攻击目的。本发明通过关联分析引擎将各告警进行关联,真实的反映了攻击者的攻击手段及攻击目的。
(2)针对真实环境的攻击,入侵检测系统会产生海量日志,很多信息之间存在大量冗余关系,误报率高、效率低难以挖掘出多阶段复杂环境的攻击,缺乏时间和空间上的关联性且不具备相应告警的处置能力。本发明提出了全要素关联的关联分析方法且量化告警做出相应处置,有效提高系统的检测能力及防御能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种基于场景关联分析引擎的自适应安全防护方法的流程示意图;
图2是本发明实施例公开的另一种基于场景关联分析引擎的自适应安全防护方法流程图;
图3是本发明实施例公开的一种基于场景关联分析引擎的自适应安全防护方法结构示意图;
图4是本发明实施例公开的关联分析引擎实现框架;
图5是本发明实施例公开的自适应安全管理实现流程;
图6是本发明实施例公开的基于时间顺序的纵向关联示意图;
图7是本发明实施例公开的基于空间顺序的横向关联示意图;
图8是本发明实施例公开的基于时空的关联分析示意图;
图9是本发明实施例公开的安全处置操作流程;
图10是本发明实施例公开的联分析引擎实现框架图;
图11是本发明实施例公开的一种基于场景关联分析引擎的自适应安全防护装置的结构示意图;
图12是本发明实施例公开的另一种基于场景关联分析引擎的自适应安全防护装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
可穿戴设备大多成本低廉、软硬件条件差,自身难免会存在漏洞或缺陷;在与安全业务平台进行数据交互时,具备持续性、隐蔽性、渗透性的各类攻击事件也屡见不鲜,故设备的安全可控是智能可穿戴设备在实际应用的重要前提。由此可见,无线可穿戴设备在使用过程中的安全防护措施包括:
敌方攻击检测,该机制从敌方攻击视角,建立攻击特征库,结合黑名单设置,通过主动扫描和流量提取分析,检测可穿戴设备所在网络存在的端口扫描、暴力破解、受控攻击和伪AP攻击等攻击行为,依据安全策略触发安全告警与攻击定位,保障可穿戴设备运行安全。
基于关联应用场景的全局视角自适应安全防护,该机制针对可穿戴设备网络,构建可视化的设备管理、异常检测与告警处置机制,通过初阶告警、设备信息、设备状态等要素关联,精确量化评估设备安全状态和所处网络安全风险,实现可穿戴设备的持续自适应安全防护。
本发明公开了一种基于场景关联分析引擎的自适应安全防护方法及装置,该方法包括:对无线可穿戴设备的底层数据进行采集,得到全要素数据信息;对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息;对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息;利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息;对所述高阶告警信息进行安全处置,实现自适应安全防护。本发明基于关联应用场景的全局视角安全防护功能,精准量化评估设备安全状态,有效降低误报率,通过实时威胁安全处置保证设备运行状态正常。
实施例一
请参阅图1,图1是本发明实施例公开的一种基于场景关联分析引擎的自适应安全防护方法的流程示意图。其中,图1所描述的基于场景关联分析引擎的自适应安全防护方法应用于安全防护系统中,如用于进行攻击检测和评估,本发明实施例不做限定。如图1所示,该基于场景关联分析引擎的自适应安全防护方法可以包括以下操作:
S1,对无线可穿戴设备的底层数据进行采集,得到全要素数据信息;
S2,对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息;
S3,对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息;
S4,利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息;
S5,根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护;
所述自适应安全防护包括告警展示、触发判断、阶段分析、告警分析、设备匹配、处置下发和信息反馈。
可选的,所述对无线可穿戴设备的底层数据进行采集,得到全要素数据信息,包括:
S11,对无线可穿戴设备进行数据采集,得到底层数据信息;
所述底层数据信息包括威胁攻击检测信息、设备行为异常信息、主机规则日志信息、流量规则日志信息、网络流量特征和设备运行日志;
S12,对所述底层数据信息进行数据管理,得到全要素数据信息。
可选的,所述对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息,包括:
S21,对所述全要素数据信息进行数据解密、规则匹配和数据富化,得到预处理全要素数据信息;
S22,对所述预处理全要素数据信息进行初级攻击检测,得到初阶告警信息。
可选的,所述对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息,包括:
S31,对所述初阶告警信息进行数据分类、标签植入、数据富化和格式标准化处理,得到预处理初阶告警信息;
S32,对所述预处理初阶告警信息进行信息分类、索引查询和切片存储,得到初阶告警标准化事件信息;
所述初阶告警标准化事件信息包括主机初阶告警信息、流量初阶告警信息和业务数据初阶告警信息。
可选的,所述利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息,包括:
S41,对所述初阶告警标准化事件信息进行风险评估与度量,得到风险等级值;
S42,对所述初阶告警标准化事件信息中的不同的安全事件进行关联分析,得到安全威胁的来源、传播路径和影响范围;
根据具体场景特点,进行场景关联指令创建;
所述场景关联指令包括全局属性和子规则属性;
子规则按顺序进行检测,当指令的子规则检测达到最高级别,得到对应的告警信息;
S43,对所述初阶告警标准化事件信息进行关联分析,得到场景关联信息;
所述场景关联信息包括位置关联信息、网络关联信息、时间关联信息和业务关联信息;
S44,对所述场景关联信息进行资产风险评估,得到场景风险值;
S45,将所述场景风险值与预设的阈值进行比较,当所述场景风险值大于预设的阈值时,所述场景风险值为高阶告警信息。
可选的,所述对所述场景关联信息进行资产风险评估,得到场景风险值,包括:
S441,对所述场景关联信息进行分析,得到所述场景关联信息的资产值、优先级、可靠值和规则阶段值;
S442,利用自适应安全管理模型,对所述资产值、优先级、可靠值和规则阶段值进行处理,得到场景风险值;
所述自适应安全管理模型为:
Risk=Asset*Priority*Reliability*Stage/300
其中*表示乘积运算。
可选的,所述根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护,包括:
S51,对所述高阶告警信息进行可视化展示;
S52,利用字段过滤方法,对所述高阶告警信息进行筛选,得到攻击源信息和被攻击设备信息;
S53,对所述高阶告警信息中的攻击事件进行告警分析,得到所述攻击事件的危险程度值,实现自适应安全防护。
字段过滤方法就是将满足某一条件的字段过滤出来,属于常规的方法,本发明不做限制。
实施例二
请参阅图2,图2是本发明实施例公开的一种基于场景关联分析引擎的自适应安全防护方法的流程图。其中,图2所描述的基于场景关联分析引擎的自适应安全防护方法应用于安全防护系统中,如用于进行攻击检测和评估,本发明实施例不做限定。如图2所示,该基于场景关联分析引擎的自适应安全防护方法可以包括以下操作:
图3是本发明实施例公开的一种基于场景关联分析引擎的自适应安全防护方法的架构示意图。本方案的主要目的是提供一种场景关联分析引擎的自适应安全防护技术。针对无线可穿戴设备使用场景,通过对初阶告警、设备信息、设备状态等要素的关联分析,精准量化评估设备安全状态和所面临攻击技战术,实现可穿戴设备在WiFi、蓝牙等使用场景下的持续性安全防护。本方案的总体流程主要分为数据预处理、关联分析和安全处置三部分
(一)系统整体框架
可穿戴设备大多成本低廉、软硬件条件差,自身难免会存在漏洞或缺陷;在与安全业务平台进行数据交互时,具备持续性、隐蔽性、渗透性的各类攻击事件也屡见不鲜,故设备的安全可控是智能可穿戴设备在实际应用的重要前提。由此可见,无线可穿戴设备在使用过程中的安全防护措施包括:
敌方攻击检测,该机制从敌方攻击视角,建立攻击特征库,结合黑名单设置,通过主动扫描和流量提取分析,检测可穿戴设备所在网络存在的端口扫描、暴力破解、受控攻击和伪AP攻击等攻击行为,依据安全策略触发安全告警与攻击定位,保障可穿戴设备运行安全。
基于关联应用场景的全局视角自适应安全防护,该机制针对可穿戴设备网络,构建可视化的设备管理、异常检测与告警处置机制,通过初阶告警、设备信息、设备状态等要素关联,精确量化评估设备安全状态和所处网络安全风险,实现可穿戴设备的持续自适应安全防护。
考虑到以上安全防护措施的实现,将系统整体分为数据预处理、关联分析、安全处置三个部分。
1、数据预处理
数据预处理具有数据采集、数据汇聚、数据处理功能。
数据采集负责对无线可穿戴设备底层数据的收集,分为全数据采集、数据管理两个部分。全数据采集包含威胁攻击检测、设备行为异常、主机规则日志、流量规则日志等模块;数据管理包含处置响应、数据加密、模块管理等模块。
数据汇聚负责对数据采集层上传的全要素数据汇总、富化,并进行初级攻击检测,生成初阶告警信息,分为数据汇聚、设备管理两个部分。数据汇聚包含数据解密、规则匹配、数据富化、初阶告警等模块;设备管理主要是无线可穿戴设备的管理,包括无线动态心电监护仪、多生理参数监护仪和血管硬化程度检测仪等,数据采集时是从这些设备收集设备检测和设备状态的数据,包括网络流量特征和设备运行日志等,以便于采集后续的安全分析、监控和预警等工作,其主要包含注册认证、状态监控、远程控制、指令下发等模块。
数据处理负责对数据汇聚层生成的初阶告警信息进行标准化处理,分为数据处理、数据存储两个部分。数据处理包含数据分类、标签植入、数据富化(指通过采集、整理、处理和分析数据,从原始数据中提取更多、更有用的信息,以增加数据的价值和应用性,主要是补全或者增加相关字段,便于查看和分析,如将经纬度转换为国家/地区)、格式标准化、数据发送等模块;数据存储包含信息分类、索引查询、切片存储、定期清理等模块。
2、关联分析
关联分析以可穿戴设备场景特点分析为前提,对数据处理层上传的初阶告警标准化事件进行关联分析。包含资产划分、规则匹配、事件关联、高阶告警、级别调整、日志生成等模块。
资产划分主要任务是将监控的设备和资源进行分类和标记,以便后续的规则匹配和事件关联操作能够更加高效和精确。规则匹配主要任务是将监控设备上发生的事件与预定义的规则进行匹配,以确定是否触发了某个预定的告警条件。事件关联主要任务是将来自不同设备和资源的事件进行关联,以便更好地了解事件之间的关系和趋势。高阶告警主要任务是将初阶告警进行进一步的处理和加工,以得到更具有意义和价值的高阶告警。级别调整主要任务是根据告警的严重程度和影响范围,对告警进行适当的调整和优化,以确保告警的质量和效果。日志生成主要任务是将处理过的告警和事件信息生成相应的日志和报告,以便用户和管理员了解系统的运行情况和性能表现。
3、安全处置
安全处置以关联分析阶段生成的告警为基础实现攻击的阻断,包含告警展示、触发判断、阶段分析、告警分析、设备匹配、处置下发、信息反馈等模块。
告警展示是指将从网络安全设备、日志文件等多个数据源采集到的安全事件信息以可视化的方式展示出来,帮助安全人员快速了解网络安全状况。触发判断通过对采集到的安全事件信息进行预处理和筛选,确定哪些事件需要进行进一步的分析和处理。阶段分析在触发判断后,需要对事件进行阶段分析,识别事件的攻击方式、攻击目标等关键信息,以便于后续的告警分析和设备匹配。告警分析对识别出的安全事件进行深入分析,确定事件的威胁级别、攻击路径、攻击者等关键信息。设备匹配根据告警分析的结果,确定应该采取的安全防护措施,并匹配相应的安全设备,如动态心电监护仪、多生理参数监护仪等。处置下发根据设备匹配的结果,下发相应的安全处置命令,如封锁IP地址、阻断流量等。信息反馈在整个安全处置过程中,需要对处置结果进行反馈,包括处置结果的展示、反馈给安全管理人员等,以保证整个安全处置过程的完整性和有效性。
(二)场景关联分析引擎
关联分析引擎以实现复杂场景下的高阶攻击检测为目标,以真实攻击场景特点分析为前提,针对底层威胁机制检测出的主机日志、网络流量两个方面的初阶告警,进行基于场景的攻击技战术关联分析,旨在挖掘出海量初阶告警信息背后的深层次攻击行为,展现攻击生命周期全貌,实现较高的战术关联识别速度与精度。图4是本发明实施例公开的关联分析引擎实现框架。
如图4所示,关联分析引擎针对主机初阶告警、流量初阶告警、业务数据等全要素日志事件标准化。基于资产评估值、关联指令优先级、指令子规则可靠值,创建针对具体相关应用场景的关联指令。当各种告警日志汇聚时,进行关联规则匹配,并根据关联分析的风险值来划分风险等级,输出高阶告警信息进行可视化展示与安全处置。关联分析引擎的实现主要从风险评估与度量、事件分类与关联、指令标准与分析三个方面评估。
风险评估与度量提出一个基于资产价值、优先级、可靠值、规则阶段值四要素进行风险的量化评估;事件分类与关联,实质为关联指令创建。在对日志进行告警分类的基础上,基于时间顺序创建关联指令,涉及风险评估中的优先级设定;指令标准与分析,实质为关联指令中子规则的创建。关联指令由若干子规则组成,子规则涉及风险评估中的可靠值和阶段值,当资产受攻击触发关联规则告警时,涉及资产价值,进而得到量化评估的风险等级。
1、风险评估与度量
以开源关联分析工具DSIEM的风险评估三要素方法为基础,提出了基于场景的风险评估改进范式。为了对真实防护场景中的主机设备、业务设备、IP网段等设备资产进行风险评估,即分析判断其价值、存在的脆弱性和面临的安全威胁,本方法采用资产价值(Asset)、优先级(Priority)、可靠值(Reliability)、规则阶段值(Stage)四要素组合评估的方法进行风险值计算,具体含义如下。
资产值(Asset):分为5级,描述设备资产的重要程度,取值由低到高分为1、2、3、4、5,资产的重要程度随数值的升高而增大。在实际应用场景中,需要对各类设备资产在该场景中的重要程度进行分析,将防护级别较高的设备资产设为趋近于5的数值,防护级别比较低的设备资产设为趋近于1的数值。
优先级(Priority):分为5级,描述特定应用场景中该攻击发生的可能性,若该场景中某类攻击发生的可能性越高,则优先级别越高,应该优先对其进行针对性防护检测。
可靠值(Reliability):分为12级,与该攻击可能造成的最严重后果所匹配的攻击阶段顺序值相对应,描述一次攻击所造成的破坏程度,若该攻击分为多阶段实施,则随着前阶段的成功攻击,后面阶段的攻击破坏程度越高。
规则阶段值(Stage):分为10级,根据具体关联指令阶段而定,描述一次攻击的技战术复杂性,若复杂性越高则规则阶段值越大。
如图5所示为自适应安全管理实现流程,主要包括风险评估和安全响应两个过程。风险评估的步骤包括收集威胁情报、分析威胁情报、评估威胁等级和制定应对措施等。其中,评估威胁等级的主要指标包括威胁的可能性、威胁的影响程度和威胁的时效性等。为了更好的度量真实场景中的风险,将风险评估转化为具体数值,即通过风险值的大小来反应所面临威胁的严重程度。将资产值、优先级、可靠值、规则阶段值作为风险评估的四要素,当四者乘积计算出的风险值超过设定阈值时产生高阶告警信息,其公式为:
Risk=Asset*Priority*Reliability*Stage/300
度量后的风险数值越大,代表危险程度越高,为了便于管理展现报警信息、有效处置攻击源,将报警等级划分为高中低三个等级,如表1所示。
表1风险系数值
根据威胁评估的结果,制定相应的安全响应措施。将量化后的风险进行阈值对比判断是否符合处置条件并与现有资产匹配,若符合设定安全底线则进行阻断下发操作,停止设备的访问操作。
2、事件关联与分析
事件关联与分析是指对不同的安全事件进行关联分析,从而找出安全威胁的来源、传播路径和影响范围,以便采取相应的安全措施。其具体步骤如下:
数据收集,收集来自不同安全设备(如无线动态心电监护仪、多生理参数监护仪等)的安全事件数据,包括事件的时间、类型、来源、目标等信息;数据预处理,对收集到的安全事件数据进行去重、格式转换、缺失值处理等预处理,以确保数据质量;事件分类,将收集到的安全事件进行分类,如入侵、恶意软件、钓鱼攻击等,以便进行后续的关联分析;事件关联分析,对同类安全事件进行关联分析,找出事件之间的关系和影响路径,以便识别攻击者的攻击手段和目的。
对海量告警事件进行分类,包括初始访问、执行、持久控制、提权、绕过防御、凭证访问、发现、横向渗透、信息收集、命令控制、信息盗取、造成的影响共计12个战术类别。
在实际操作中,攻击行为往往需要多种手段配合进行,这就要求攻击过程具有一定的时间顺序。为了对主机日志、网络流量攻击检测的初阶告警进行关联分析,需要针对特定的应用场景特点进行研究,总结分析出该场景容易面临的攻击手段,然后对其使用的攻击技战术进行时间维度的关联,挖掘出更深层次的高阶告警。
为了映射出攻击行为技战术的先后关系,本方法采用规则指令的形式,分阶段描述攻击行为的各个特征。依照时间顺序对主机日志、网络流量的初阶告警进行关联。
3、指令标准与分析过程
场景关联指令由两部分组成,分别为全局属性、子规则属性。其中,全局属性是对关联指令的总体概括,描述了指令标识符、指令名称、战术、指令分类、优先级等信息,具体字段含义如表2所示:
表2全局属性含义
子规则属性描述了子规则名称、阶段值、告警数据类型、初阶告警规则编号、事件数、源IP地址、目的IP地址、源端口值、目的端口值、协议类型、可靠值、超时设定等信息,具体字段含义如表3所示:
表3子规则属性含义
为了检测复杂多阶段攻击行为,在实际检测场景中,需要着眼于不同场景的攻击特点,按照时间顺序对初阶告警行为进行关联。因此,场景关联指令需要根据具体场景特点,分阶段描述攻击过程,然后将各阶段规则进行关联。首先定义场景,明确场景的功能及目的后进行指令的创建;具体指令功能的实现则需要根据场景对子规则进行插件ID、插件子ID、可靠值以及先后顺序等参数的配置,子规则按顺序进行检测,当指令的子规则检测达到最高级别,指令抛出相应告警。
(三)关联分析模式
1、纵向关联
纵向关联分析主要是针对攻击行为在时间上的演化过程进行分析。在创建纵向关联分析子规则时,需要考虑攻击行为的连续性和演化轨迹,设置一系列的规则条件,识别出攻击行为中的关键节点和演化路径,从而实现对攻击事件的监测和预警。如图6所示,依据时间顺序,对可穿戴设备远程传输典型应用场景中的可穿戴设备、数据中转端、数据分析端中检测到的攻击技术命中事件进行关联,旨在从攻击事件发生的时间顺序角度进行分析。
2、横向关联
横向关联分析主要是基于攻击行为的相似性和关联性来进行分析。在创建横向关联分析子规则时,需要考虑攻击行为的共性和相似之处,从而识别出攻击事件之间的关联性。通常需要考虑五元组、协议、攻击技术等多种因素,以实现对攻击事件的相似性分析和关联性检测。如图7所示,依据空间顺序,对可穿戴设备远程传输典型应用场景中的多台可穿戴设备所检测到的攻击技术命中事件进行关联,旨在从攻击事件发生的空间顺序角度进行分析。
3、时空关联
时空关联分析主要是针对攻击事件在时间和空间上的关联关系进行分析。在创建时空关联分析子规则时,需要考虑攻击事件在时间和空间上的关联性,设置一系列的规则条件,识别出攻击事件之间的时空关联关系。通常需要考虑时间戳、IP地址、位置信息等多种因素,以实现对攻击事件的时空关联分析和检测。如图8所示,依据时空顺序,对可穿戴设备远程传输典型应用场景中的多台可穿戴设备、数据中转端、数据分析端所检测到的攻击技术命中事件进行关联,旨在从攻击事件发生的时空顺序角度进行分析。
(四)安全处置
安全处置,主要包含告警展示、告警分析、设备匹配、阻断下发。
其中,告警展示,对关联分析生成的高阶告警信息进行可视化展示,采用饼状图、柱形图、折线图等形式,直观清晰的将告警信息进行展示。
告警分析,通过字段过滤(通过选择指定的字段并设定过滤条件,从海量的安全日志中筛选出特定的数据信息,以便于进行进一步的查询和分析),可以根据需求进行筛选查看五元组、告警描述、告警分类、攻击技战术等信息,方便进行攻击源、被攻击设备的查询分析。
设备匹配,对高阶告警信息中的攻击事件进行告警分析。若事件危险程度为低风险,则发送站内信进行提醒;若事件危险程度为中风险,则发送站内信、邮件进行提醒;若事件危险程度为高风险,则在发送站内信、邮件进行提醒的同时,向被攻击设备进行阻断指令下发。
如图9所示,为安全处置的具体操作流程。数据服务端、数据代理端遭到网络攻击后,数据代理端将全部数据上传至数据服务端;经过规则匹配后,将初阶告警信息上传至关联分析引擎,经过场景关联分析后,最终生成高阶告警信息;然后,远程阻断模块对高阶告警信息进行设备匹配,向数据服务端下发安全处置阻断指令;数据服务端读取阻断指令后,匹配数据代理端,控制其阻断攻击源。图10是本发明实施例公开的联分析引擎实现框架图。
实施例三
请参阅图11,图11是本发明实施例公开的一种基于场景关联分析引擎的自适应安全防护装置的结构示意图。其中,图11所描述的装置能够应用安全防护系统中,如用于进行攻击检测和评估,本发明实施例不做限定。如图11所示,该基于场景关联分析引擎的自适应安全防护装置可以包括以下操作:
S301,数据采集模块,用于对无线可穿戴设备的底层数据进行采集,得到全要素数据信息;
S302,数据汇聚模块,用于对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息;
S303,数据处理模块,用于对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息;
S304,场景关联分析模块,用于利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息;
S305,自适应安全防护模块,用于根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护;
所述自适应安全防护包括告警展示、触发判断、阶段分析、告警分析、设备匹配、处置下发和信息反馈。
实施例四
请参阅图12,图12是本发明实施例公开的另一种基于场景关联分析引擎的自适应安全防护装置的结构示意图。其中,图12所描述的装置能够应用安全防护系统中,如用于进行攻击检测和评估,本发明实施例不做限定。如图12所示,该基于场景关联分析引擎的自适应安全防护装置可以包括以下操作:
存储有可执行程序代码的存储器401;
与存储器401耦合的处理器402;
处理器402调用存储器401中存储的可执行程序代码,用于执行实施例一或实施例二所描述的基于场景关联分析引擎的自适应安全防护方法中的步骤。
实施例四
本发明实施例公开了一种计算机存储介质,其存储用于电子数据交换的计算机程序,其中,该计算机程序使得计算机执行实施例一或实施例二所描述的基于场景关联分析引擎的自适应安全防护方法中的步骤。
以上所描述的装置实施例仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、一次可编程只读存储器(One-timeProgrammable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
最后应说明的是:本发明实施例公开的一种基于场景关联分析引擎的自适应安全防护方法及装置所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。

Claims (6)

1.一种基于场景关联分析引擎的自适应安全防护方法,其特征在于,所述方法包括:
S1,对无线可穿戴设备的底层数据进行采集,得到全要素数据信息;
S2,对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息,包括:
S21,对所述全要素数据信息进行数据解密、规则匹配和数据富化,得到预处理全要素数据信息;
S22,对所述预处理全要素数据信息进行初级攻击检测,得到初阶告警信息;
S3,对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息,包括:
S31,对所述初阶告警信息进行数据分类、标签植入、数据富化和格式标准化处理,得到预处理初阶告警信息;
S32,对所述预处理初阶告警信息进行信息分类、索引查询和切片存储,得到初阶告警标准化事件信息;
所述初阶告警标准化事件信息包括主机初阶告警信息、流量初阶告警信息和业务数据初阶告警信息;
S4,利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息,包括:
S41,对所述初阶告警标准化事件信息进行风险评估与度量,得到风险等级值;
S42,对所述初阶告警标准化事件信息中的不同的安全事件进行关联分析,得到安全威胁的来源、传播路径和影响范围;
根据具体场景特点,进行场景关联指令创建;
所述场景关联指令包括全局属性和子规则属性;
子规则按顺序进行检测,当指令的子规则检测达到最高级别,得到对应的告警信息;
S43,对所述初阶告警标准化事件信息进行关联分析,得到场景关联信息;
所述场景关联信息包括位置关联信息、网络关联信息、时间关联信息和业务关联信息;
S44,对所述场景关联信息进行资产风险评估,得到场景风险值,包括:
S441,对所述场景关联信息进行分析,得到所述场景关联信息的资产值、优先级、可靠值和规则阶段值;
S442,利用自适应安全管理模型,对所述资产值、优先级、可靠值和规则阶段值进行处理,得到场景风险值;
所述自适应安全管理模型为:
Risk=Asset*Priority*Reliability*Stage/300
其中*表示乘积运算;
S45,将所述场景风险值与预设的阈值进行比较,当所述场景风险值大于预设的阈值时,所述场景风险值为高阶告警信息;
S5,根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护;
所述自适应安全防护包括告警展示、触发判断、阶段分析、告警分析、设备匹配、处置下发和信息反馈。
2.根据权利要求1所述的基于场景关联分析引擎的自适应安全防护方法,其特征在于,所述对无线可穿戴设备的底层数据进行采集,得到全要素数据信息,包括:
S11,对无线可穿戴设备进行数据采集,得到底层数据信息;
所述底层数据信息包括威胁攻击检测信息、设备行为异常信息、主机规则日志信息、流量规则日志信息、网络流量特征和设备运行日志;
S12,对所述底层数据信息进行数据管理,得到全要素数据信息。
3.根据权利要求1所述的基于场景关联分析引擎的自适应安全防护方法,其特征在于,所述根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护,包括:
S51,对所述高阶告警信息进行可视化展示;
S52,利用字段过滤方法,对所述高阶告警信息进行筛选,得到攻击源信息和被攻击设备信息;
S53,对所述高阶告警信息中的攻击事件进行告警分析,得到所述攻击事件的危险程度值,实现自适应安全防护。
4.一种基于场景关联分析引擎的自适应安全防护装置,其特征在于,所述装置包括:
数据采集模块,用于对无线可穿戴设备的底层数据进行采集,得到全要素数据信息;
数据汇聚模块,用于对所述全要素数据信息进行数据汇聚处理,得到初阶告警信息,包括:
S21,对所述全要素数据信息进行数据解密、规则匹配和数据富化,得到预处理全要素数据信息;
S22,对所述预处理全要素数据信息进行初级攻击检测,得到初阶告警信息;
数据处理模块,用于对所述初阶告警信息进行数据处理,得到初阶告警标准化事件信息,包括:
S31,对所述初阶告警信息进行数据分类、标签植入、数据富化和格式标准化处理,得到预处理初阶告警信息;
S32,对所述预处理初阶告警信息进行信息分类、索引查询和切片存储,得到初阶告警标准化事件信息;
所述初阶告警标准化事件信息包括主机初阶告警信息、流量初阶告警信息和业务数据初阶告警信息;
场景关联分析模块,用于利用场景关联分析引擎,对所述初阶告警标准化事件信息进行处理,得到高阶告警信息,包括:
S41,对所述初阶告警标准化事件信息进行风险评估与度量,得到风险等级值;
S42,对所述初阶告警标准化事件信息中的不同的安全事件进行关联分析,得到安全威胁的来源、传播路径和影响范围;
根据具体场景特点,进行场景关联指令创建;
所述场景关联指令包括全局属性和子规则属性;
子规则按顺序进行检测,当指令的子规则检测达到最高级别,得到对应的告警信息;
S43,对所述初阶告警标准化事件信息进行关联分析,得到场景关联信息;
所述场景关联信息包括位置关联信息、网络关联信息、时间关联信息和业务关联信息;
S44,对所述场景关联信息进行资产风险评估,得到场景风险值,包括:
S441,对所述场景关联信息进行分析,得到所述场景关联信息的资产值、优先级、可靠值和规则阶段值;
S442,利用自适应安全管理模型,对所述资产值、优先级、可靠值和规则阶段值进行处理,得到场景风险值;
所述自适应安全管理模型为:
Risk=Asset*Priority*Reliability*Stage/300
其中*表示乘积运算;
S45,将所述场景风险值与预设的阈值进行比较,当所述场景风险值大于预设的阈值时,所述场景风险值为高阶告警信息;
自适应安全防护模块,用于根据所述高阶告警信息,进行攻击阻断,实现自适应安全防护;
所述自适应安全防护包括告警展示、触发判断、阶段分析、告警分析、设备匹配、处置下发和信息反馈。
5.一种基于场景关联分析引擎的自适应安全防护装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-3任一项所述的基于场景关联分析引擎的自适应安全防护方法。
6.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-3任一项所述的基于场景关联分析引擎的自适应安全防护方法。
CN202311206790.4A 2023-09-18 2023-09-18 一种基于场景关联分析引擎的自适应安全防护方法及装置 Active CN117609990B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311206790.4A CN117609990B (zh) 2023-09-18 2023-09-18 一种基于场景关联分析引擎的自适应安全防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311206790.4A CN117609990B (zh) 2023-09-18 2023-09-18 一种基于场景关联分析引擎的自适应安全防护方法及装置

Publications (2)

Publication Number Publication Date
CN117609990A CN117609990A (zh) 2024-02-27
CN117609990B true CN117609990B (zh) 2024-05-10

Family

ID=89946729

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311206790.4A Active CN117609990B (zh) 2023-09-18 2023-09-18 一种基于场景关联分析引擎的自适应安全防护方法及装置

Country Status (1)

Country Link
CN (1) CN117609990B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599958A (zh) * 2009-07-02 2009-12-09 西安电子科技大学 基于场景的关联引擎系统及其数据处理方法
WO2022111659A1 (zh) * 2020-11-30 2022-06-02 中兴通讯股份有限公司 告警方法、装置、设备及存储介质
CN115587357A (zh) * 2022-11-14 2023-01-10 北京安信天行科技有限公司 一种基于大数据的威胁场景分析方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220405398A1 (en) * 2020-09-28 2022-12-22 Honeywell International Inc. Cybersecurity hazard analysis tool

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599958A (zh) * 2009-07-02 2009-12-09 西安电子科技大学 基于场景的关联引擎系统及其数据处理方法
WO2022111659A1 (zh) * 2020-11-30 2022-06-02 中兴通讯股份有限公司 告警方法、装置、设备及存储介质
CN115587357A (zh) * 2022-11-14 2023-01-10 北京安信天行科技有限公司 一种基于大数据的威胁场景分析方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于实时关联分析算法及CEP的大数据安全分析模块研究与实现;孙鑫斌;赵俊峰;姜帆;于晓文;;电力信息与通信技术;20171215(第12期);全文 *

Also Published As

Publication number Publication date
CN117609990A (zh) 2024-02-27

Similar Documents

Publication Publication Date Title
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN112651006B (zh) 一种电网安全态势感知系统
US11165815B2 (en) Systems and methods for cyber security alert triage
US8468599B2 (en) System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis
CN103368979B (zh) 一种基于改进K-means算法的网络安全性验证装置
Mukhopadhyay et al. A comparative study of related technologies of intrusion detection & prevention systems
US9961047B2 (en) Network security management
CN112925805B (zh) 基于网络安全的大数据智能分析应用方法
US20230087309A1 (en) Cyberattack identification in a network environment
CN114448718B (zh) 一种并行检测和修复的网络安全保障方法
CN117220961B (zh) 一种基于关联规则图谱的入侵检测方法、装置及存储介质
CN118101250A (zh) 一种网络安全检测方法及系统
Anastasiadis et al. A novel high-interaction honeypot network for internet of vehicles
Elshoush An innovative framework for collaborative intrusion alert correlation
CN117609990B (zh) 一种基于场景关联分析引擎的自适应安全防护方法及装置
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
CN115766051A (zh) 一种主机安全应急处置方法、系统、存储介质及电子设备
Xiao et al. Alert verification based on attack classification in collaborative intrusion detection
Gavrilovic et al. Snort IDS system visualization interface for alert analysis
CN114493338A (zh) 一种基于大数据的电力信息威胁情景感知和防御系统
Arfaoui et al. “SOCaaS-IoT” A Security Operations Center as a Service Approach for IoT Applications Using Open-Source SIEM
Liang et al. Research and Application of Cybersecurity Situation Awareness for Smart Grid Power Control System
CN118449789B (zh) 一种基于无线网络的数据通讯安全分析系统
Wang et al. Adaptive feature-weighted alert correlation system applicable in cloud environment
Ahmad et al. Hybrid intrusion detection method to increase anomaly detection by using data mining techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant