CN117692188A - 面向攻击监测场景的电力安全事件关联分析方法及装置 - Google Patents

Abstract

本发明涉及网络安全技术领域，具体涉及面向攻击监测场景的电力安全事件关联分析方法及装置。方法包括：获取多条告警记录和脆弱性信息；采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；基于报警概率和漏洞匹配概率确定有效告警。通过实施本发明，采用告警融合算法对告警记录和脆弱性信息进行融合计算，有效地利用了设备的互补冗余信息来过滤确认报警；同时确定了与告警记录依赖或者说相关联的脆弱性信息的漏洞匹配概率，筛选有效告警，实现了依据环境信息判断攻击成功的可信度。使得最终上报的报警更为准确充分地反映环境中的攻击行为。

Description

面向攻击监测场景的电力安全事件关联分析方法及装置

技术领域

本发明涉及网络安全技术领域，具体涉及面向攻击监测场景的电力安全事件关联分析方法及装置。

背景技术

随着当前外部安全形势严峻，各类型攻击如垃圾邮件事件、网页恶意代码事件、网络仿冒事件、病毒、蠕虫或木马事件、拒绝服务攻击事件、僵尸网络、恶意网站、APT(Advanced Persistent Threat，高级长期威胁)攻击、对Internet域名系统的攻击和对路由器攻击或利用路由器的攻击等安全事件层出不穷，并呈现出愈演愈烈的趋势。同时，随着攻击工具的越来越复杂，其反侦破、动态性和成熟型的特点使得攻击模式和行为不断变化，使得安全专家分析新攻击工具和攻击行为耗时很多。另外，很多攻击技术甚至可以绕过防火墙直接进行攻击，如WebDAV(Web-based Distributed Authoring and Versioning，基于HTTP 1.1协议的通信协议)漏洞攻击等，攻击方式和攻击手段呈现越来越广泛的趋势。同时，由于网络攻击的随机性和不确定性，单一通过简单规则匹配得出的异常告警无法实现对网络攻击的合理判断及预测。

目前，针对网络攻击的安全防护措施主要还是以被动防御为主，通过规则匹配方式检测网络入侵攻击威胁，并且对众多安全告警事件仅采用存储、事后审计使用，缺乏安全事件综合分析和未知威胁检测能力。

发明内容

有鉴于此，本发明提供了面向攻击监测场景的电力安全事件关联分析方法及装置，以解决当前针对网络攻击的安全防护措施缺乏安全事件综合分析的问题。

第一方面，本发明提供了一种面向攻击监测场景的电力安全事件关联分析方法，方法包括：获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件；采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；基于报警概率和漏洞匹配概率确定有效告警。

本发明实施例提供的面向攻击监测场景的电力安全事件关联分析方法，通过获取告警记录和脆弱性信息，通过采用告警融合算法进行融合计算，有效地利用了设备的互补冗余信息来过滤确认报警；同时确定了与告警记录依赖或者说相关联的脆弱性信息的漏洞匹配概率，基于报警概率和漏洞匹配概率共同筛选有效告警，实现了依据环境信息判断攻击成功的可信度，进一步过滤了不成功的攻击报警。使得最终上报的报警得到精简，更为准确充分地反映环境中的攻击行为。

在一种可选的实施方式中，当告警记录为多源告警记录时，获取多条告警记录之后，方法还包括：基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果。

本实施例中，通过对告警记录进行聚类，合并相似告警，能够降低后续处理的数据量。

在一种可选的实施方式中，基于报警概率和漏洞匹配概率确定有效告警之后，方法还包括：根据有效告警聚合得到的超告警之间的关联度进行攻击行为关联。

本实施例中，通过基于超告警之间的关联度进行攻击行为的关联，实现了对网络攻击的深度挖掘，以及基于关联的攻击行为对攻击成精的构建，解决了当前只能检测攻击无法重建攻击场景的问题。

在一种可选的实施方式中，属性包括IP地址、端口、协议类型和时间，基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果，包括：基于IP地址相近度、端口相近度、协议类型相近度和时间相近度确定任意两条告警记录的相近度，IP地址相近度根据IP地址中每一部分是否相同确定，端口相近度根据端口的距离确定，协议类型相近度根据协议类型是否相同确定，时间相近度根据时间差和预设阈值的关系确定；根据告警记录的相近度将多条告警记录进行关联聚类，得到聚类结果。

本实施例中，预先确定告警记录的属性相似度的计算方法，在计算得到单个属性相似程度的基础上计算得到两个告警之间总的相似度。如果这个相似度超过某一个阈值就将它们进行聚合。通过采用相似度计算方法的优点是在对相似告警(来自相同的源或目标地址的告警)进行聚类时非常有效。

在一种可选的实施方式中，采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率，包括：基于预设权重，采用D-S证据理论对告警记录进行融合计算，得到告警记录对应的报警概率；采用D-S证据理论对脆弱性信息对应的漏洞列表进行融合计算，得到漏洞概率；基于告警依赖的漏洞和采用漏洞概率对漏洞列表进行过滤后的漏洞确定漏洞匹配概率。

本实施例中，采用D-S证据理论对告警记录进行融合计算时，加入了预设权重，由此更符合现实情况，并且在证据严重冲突时能得到更好的效果。

在一种可选的实施方式中，根据有效告警聚合得到的超告警之间的关联度进行攻击行为关联，包括：根据预设条件将有效告警聚合，得到超告警；根据超告警属性的关联度计算超告警之间的关联度；根据关联度和关联度阈值的关系进行攻击行为关联。

本实施例中，通过超告警属性的关联度的计算，实现了的超告警关联度的计算，同时根据超告警关联度和关联度阈值的关系确定攻击行为是否关联，即通过关联度的计算，判断关联度是否对应同一多步骤攻击的前后攻击行为，从而实现了电网系统三道防线的网络攻击关联监测场景。

在一种可选的实施方式中，超告警属性包括源IP地址、目的IP地址、源端口、目的端口、时间、攻击类型和严重度，根据超告警属性的关联度计算超告警之间的关联度，包括：基于超告警属性确定告警关联度属性权值矩阵和属性间关联度函数；基于对属性间关联度函数的分类，确定各分类的关联度，各分类的关联度包括地址间的关联度、端口间的关联度、时间之间的关联度、攻击类型间的关联度、严重度间的关联度以及目的地址和目的端口间的关联度；根据各分类的关联度以及告警关联度属性权值矩阵进行加权计算，确定超告警之间的关联度。

在一种可选的实施方式中，地址间的关联度基于IP地址树形结构确定，端口间的关联度基于端口地址树形结构确定，时间之间的关联度基于时间差和误差确定，攻击类型间的关联度基于攻击类型关联度值矩阵确定，严重度间的关联度基于严重度差和严重度范围确定，目的地址和目的端口间的关联度基于目的地址和目的端口间的关联度值矩阵确定。

本实施例中，由于超告警是通过对有效告警聚合得到的，因此，引入了树形结构以及关联度值矩阵等，实现了超告警属性关联度的确定。

第二方面，本发明提供了一种面向攻击监测场景的电力安全事件关联分析装置，装置包括：数据获取模块，用于获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件；融合模块，用于采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；筛选模块，用于基于报警概率和漏洞匹配概率确定有效告警。

在一种可选的实施方式中，装置还包括：聚类模块，用于基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果。

在一种可选的实施方式中，装置还包括：关联模块，用于根据有效告警聚合得到的超告警之间的关联度进行攻击行为关联。

在一种可选的实施方式中，属性包括IP地址、端口、协议类型和时间，聚类模块具体用于：基于IP地址相近度、端口相近度、协议类型相近度和时间相近度确定任意两条告警记录的相近度，IP地址相近度根据IP地址中每一部分是否相同确定，端口相近度根据端口的距离确定，协议类型相近度根据协议类型是否相同确定，时间相近度根据时间差和预设阈值的关系确定；根据告警记录的相近度将多条告警记录进行关联聚类，得到聚类结果。

在一种可选的实施方式中，融合模块具体用于：基于预设权重，采用D-S证据理论对告警记录进行融合计算，得到告警记录对应的报警概率；采用D-S证据理论对脆弱性信息对应的漏洞列表进行融合计算，得到漏洞概率；基于告警依赖的漏洞和采用漏洞概率对漏洞列表进行过滤后的漏洞确定漏洞匹配概率。

在一种可选的实施方式中，关联模块包括：聚合模块，用于根据预设条件将有效告警聚合，得到超告警；关联度计算模块，用于根据超告警属性的关联度计算超告警之间的关联度；关联子模块，用于根据关联度和关联度阈值的关系进行攻击行为关联。

在一种可选的实施方式中，超告警属性包括源IP地址、目的IP地址、源端口、目的端口、时间、攻击类型和严重度，关联度计算模块具体用于：基于超告警属性确定告警关联度属性权值矩阵和属性间关联度函数；基于对属性间关联度函数的分类，确定各分类的关联度，各分类的关联度包括地址间的关联度、端口间的关联度、时间之间的关联度、攻击类型间的关联度、严重度间的关联度以及目的地址和目的端口间的关联度；根据各分类的关联度以及告警关联度属性权值矩阵进行加权计算，确定超告警之间的关联度。

在一种可选的实施方式中，地址间的关联度基于IP地址树形结构确定，端口间的关联度基于端口地址树形结构确定，时间之间的关联度基于时间差和误差确定，攻击类型间的关联度基于攻击类型关联度值矩阵确定，严重度间的关联度基于严重度差和严重度范围确定，目的地址和目的端口间的关联度基于目的地址和目的端口间的关联度值矩阵确定。

第三方面，本发明提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的面向攻击监测场景的电力安全事件关联分析方法。

第四方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的面向攻击监测场景的电力安全事件关联分析方法。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的面向攻击监测场景的电力安全事件关联分析方法的流程示意图；

图2是根据本发明实施例的又一面向攻击监测场景的电力安全事件关联分析方法的流程示意图；

图3是根据本发明实施例的基于属性相似度的关联分析流程图；

图4是根据本发明实施例的告警记录与脆弱性信息的关联流程示意图；

图5是根据本发明实施例的IP地址分类和类间关联度值定义树状图；

图6是根据本发明实施例的端口地址分类和类间关联度值树状图；

图7是根据本发明实施例的用于存放攻击行为序列模式的APT树结构示意图；

图8是根据本发明实施例的面向攻击监测场景的电力安全事件关联分析装置的结构框图；

图9是本发明实施例的计算机设备的硬件结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

根据本发明实施例，提供了一种面向攻击监测场景的电力安全事件关联分析方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在本实施例中提供了一种面向攻击监测场景的电力安全事件关联分析方法，可用于电子设备，如电脑、手机、平板电脑等，图1是根据本发明实施例的面向攻击监测场景的电力安全事件关联分析方法的流程图，如图1所示，该流程包括如下步骤：

步骤S101，获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件。具体地，告警记录可以是在网络受到攻击时，安全系统中的安全设备如IDS、防火墙、防病毒软件等触发报警产生的，其中，这些安全设备在触发报警时会在安全告警日志中生成告警记录，可以将这些告警记录提取出来用于后续关联分析。每条告警记录可以作为一个攻击事件，也称为安全事件或安全攻击事件。脆弱性信息通过对网络扫描或主机扫描等多种手段得到，该脆弱性信息具体为网络或主机中的一些固有的弱点，这些弱点容易受到外部攻击，因此，脆弱性信息也可以称之为漏洞信息。

步骤S102，采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率。具体地，该告警融合算法可以是D-S(Dempster/Shafer)证据理论融合算法，采用该算法分别对告警记录和脆弱性信息进行融合计算，从而确定对应的报警概率和漏洞匹配概率。其中，在进行漏洞匹配概率计算时，可以先确定告脆弱性信息的漏洞概率，然后再确定告警记录依赖的脆弱性信息，从而得到漏洞匹配概率。

步骤S103，基于报警概率和漏洞匹配概率确定有效告警。具体地，在确定报警概率和漏洞匹配概率之后，可以将其作为筛选的门限，对告警记录进行筛选，从而从告警记录中筛选得到攻击很可能成功的报警，即有效告警。在得到有效告警之后，可以将其上报，便于进行后续的防护措施。另外，对于告警记录中被筛选过滤掉的告警记录虽然不是有效告警，但他们一定程度上反映了攻击活动的倾向，与上报的报警一起反映了系统中受到攻击的漏洞的利用情况。因此，可以从这些信息中确定那些经常受到攻击的漏洞，同时查询网络中其他目标是否存在对应的漏洞，及时打补丁弥补。

本发明实施例提供的面向攻击监测场景的电力安全事件关联分析方法，通过获取告警记录和脆弱性信息，通过采用告警融合算法进行融合计算，有效地利用了设备的互补冗余信息来过滤确认报警；同时确定了与告警记录依赖或者说相关联的脆弱性信息的漏洞匹配概率，基于报警概率和漏洞匹配概率共同筛选有效告警，实现了依据环境信息判断攻击成功的可信度，进一步过滤了不成功的攻击报警。使得最终上报的报警得到精简，更为准确充分地反映环境中的攻击行为。

在本实施例中提供了一种面向攻击监测场景的电力安全事件关联分析方法，如图2所示，该流程包括如下步骤：

步骤S201，获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件。详细请参见图1所示实施例的步骤S101，在此不再赘述。

步骤S202，基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果。具体地，当告警记录为多源告警记录，即告警记录中包括多个安全设备的告警信息时，可以采用关联聚类的方式对告警记录进行聚类，由此能够合并相似告警，降低需要处理的报警数量。并且，由于每条告警记录都由一系列的属性构成，要比较两个告警之间的相近度，只需对相对重要的属性进行比较，计算它们各自的相近度。本实施例中，设置相近度的值区间为[0，1]，相近度的值越大，就代表对应的两个属性越相近，1代表完全相同，0代表完全不同。每个属性比较之后，再基于属性之间的相近度来计算两个告警之间的相近度，最后，计算与整体聚类的相近度，决定在安全事件集合中添加一条新的安全事件，还是和已有的安全事件进行合并，生成新的安全事件记录。

如图3所示，本实施例中采用一个六元组来表示告警记录，即攻击事件或安全事件，该六元组表示为：E＝{protocolType，sourcceIP，targetIP，sourccePort，targetPort，createTime)，即提取告警记录中的协议类型、源IP地址、目的IP地址、源端口、目的端口、时间戳等关键属性进行相近度计算。由于源IP地址和目的IP地址的结构相同，源端口和目的端口的结构相同，因此在进行相似度计算时，可以分别确定IP地址、端口、协议类型以及时间的相似度计算方式，由此可以实现协议类型、源IP地址、目的IP地址、源端口、目的端口、时间戳等关键属性的相近度计算。

具体地，上述步骤S202包括：

步骤S2021，基于IP地址相近度、端口相近度、协议类型相近度和时间相近度确定任意两条告警记录的相近度，IP地址相近度根据IP地址中每一部分是否相同确定，端口相近度根据端口的距离确定，协议类型相近度根据协议类型是否相同确定，时间相近度根据时间差和预设阈值的关系确定。

其中，IP地址当前主要包括IPV4和IPV6，IPV4包括4个构成部分a1.a2.a3.a4，而IPV6包括8个构成部分，每个构成部分都可以表示成对应的二进制数，即IPV4为一个字节8位，IPV6为2个字节16位。比较IP地址的相近度，就是分别计算对应部分的相近度，然后计算整个IP地址总体相似度。IP地址的相近度函数如公式(1)和公式(2)所示：

式中，S(a_i)为IP地址中每一部分的相近度，S(IP)为IP地址总的相近度，a_i可以取1到m的值，分别代表IP地址的每一构成部分，m可以是4或者8，σ_i代表从1到m分别对应部分的权值，该权值可以根据实际情况确定。

端口具有连续分布的特征，对端口的攻击的分布应该具有一定的规律性，因此定义端口的相近度是通过定义两个端口之间的距离来实现的。两个端口距离越小，就说明他们是相邻的端口，是同一种攻击的可能性就越大，具有更大的相近度；距离越大，说明他们越不可能来自相同的攻击，相近度越小。衡量端口相近的函数如公式(3)所示：

式中，S(port)代表端口的相近度，λ为预先设定的端口的阈值，即端口之间的最大距离值，如果大于这个值，则相近度为0，X _p和Y _p分别代表参加比较的两个告警记录X，Y的端口值。

协议的相近度描述比较简单，或者相同，或者不同。因此衡量方法如公式(4)所示：

式中，S(protocol)表示协议的相近度，X_pt和Y_pt表示相比较的两个告警记录的对应端口值。

对于一些类似于DOS(Denial of service，拒绝服务攻击)或DDOS(DistributedDenial of Service，分布式阻断服务)这样的攻击，他们是在短时间内发动大量的数据包，因此这些告警记录在时间上具有一定的连续性，分布密度非常集中，因此在考虑时间相近度时，要考虑时间的连续性。时间相近度函数如公式(5)所示：

式中：S(Time)表示时间相近度，τ表示时间的阈值，也就是只考虑在τ范围之内的时间的相近度，不在这个范围内的事件，认为不存在相近度，取值为0，X_t，Y_t分别表示两个告警记录X，Y的对应发生时间。

在采用上述公式确定IP地址相近度、端口相近度、协议类型相近度和时间相近度之后，可以采用不同属性的相近度确定任意两条告警记录的相近度，告警记录之间的相近度函数如公式(6)所示：

式中，ω^(f)表示属性f对应的权值，n为属性的个数，f是指源IP地址，目的IP地址、源端口，目的端口、攻击类型，时间等用于相近度比较的各个属性，S_xy ^(f)为告警记录X，Y对应属性f的相近度。

步骤S2022，根据告警记录的相近度将多条告警记录进行关联聚类，得到聚类结果。具体地，在确定告警记录之间的相近度之后，根据相近度将告警聚类，例如可以设置阈值，将相近度大于阈值的划分到一个类别中，由此实现告警记录的聚类。

此外，在对历史的告警记录进行关联聚类后，还可以对实时获取的新的告警记录进行类别划分。在接收到新的告警记录后，可以计算新的告警记录和每个聚类结果中最后一个告警记录之间的相近度，然后基于该相近度以及相应聚类的相近度计算加入新的告警记录之后的相近度，并将该相近度和阈值比较，当大于阈值时，则将新的告警记录加入到对应聚类结果中。如果和每个聚类结果的相近度均小于阈值，则将新的告警记录作为新的类别加入到安全事件库中。其中，新的告警记录和聚类结果的相近度计算函数如公式(7)所示：

S(n+1)＝α*S(n)+(1-α)*S(X,Y) (7)

式中，S(n+1)为新聚类的相近度，S(n)为已存在聚类相近度，S(X,Y)为聚类中最近报警与新报警的相近度，α为权值参数。

具体地，该关联聚类过程可以采用如下流程实现：

输入：经过事件预处理的告警记录Alert_j

输出：最终告警的关联聚类结果

Begin

T//*初始化，设置相近度的阈值

Time//设定时间初始化值，即比较设定时间内的告警记录的相近度

D＝0//设定初始相近度为0？

Alert-database＝{Alert1，Alert2…Alertn}？//初始化time时间内的告警记录

k＝1//计数器

While(k<＝n)

Begin

Get(Alert-database(k))//取第k个告警

d＝α*S(old)+(1-α)*S(Alert_j,Alert_k)？//计算Aler_j相似度

If(d>D)then

D＝d//更新相近度

Else

步骤S203，采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率。该融合过程具体如图4所示。

具体地，上述步骤S203包括：

步骤S2031，基于预设权重，采用D-S证据理论对告警记录进行融合计算，得到告警记录对应的报警概率；具体地，该预设权重即依据专家经验或相关知识对不同安全设备针对不同类型攻击告警的信度，在采用D-S证据理论进行融合计算时，考虑该信度，使得融合过程更符合现实情况，同时若出现证据严重冲突的情况也能得到更好的结构。其中，基于预设权重，采用D-S证据理论对告警记录(关联聚类后的告警记录)进行融合计算的过程包括如下步骤：

1.将N个不同证据的基本概率分配按照权重平均：

式中m_i(A)为设备i对告警记录的基本概率分配，r_i为设备i的权重。

2.在计算出m(A)之后，利用Dempster合成规则将N个m(A)进行融合。

本实施例中，以安全设备检测到的聚类后的告警记录作为融合对象，进行融合，其识别框架定义为θ＝{true,false}，其中true表示报警正确反映了攻击，false表示报警为虚警，反映的攻击没有发生。N个安全设备的告警记录的基本概率分配为m_1...n({true})、m_1...n({false})、m_1...n({unknown})，分别表示n个安全设备对告警记录反映的攻击A发生、未发生以及未知的可信度。利用加权D-S证据理论融合N个安全设备报警的基本概率分配，得到多个证据联合作用下的基本概率分配值，利用融合之后的概率分配来判断报警的真实性，对应的判决规则为：

其中，ε₁和ε₂为判决门限。告警融合算法的形式化表述：

其中，上述基于预设权重，采用D-S证据理论对告警记录进行融合计算的方法称之为多源报警聚合算法，该多源报警融合算法具体可以采用如下流程实现：

输入：不同设备针对相同目标，时间重合的告警聚类结果

输出：融合后的结果

步骤S2032，采用D-S证据理论对脆弱性信息对应的漏洞列表进行融合计算，得到漏洞概率；具体地，由于脆弱性信息表示对应的漏洞信息，因此，在获取得到脆弱信息之后，可以将针对同一目标的不同来源的脆弱性信息分别提取出来，然后将其转换为针对目标的CVE(Common Vulnerabilities&Exposures，通用漏洞披露)漏洞列表。需要说明的是，该来源指的是触发告警的安全设备。目标指的是获取脆弱性信息时进行网络扫描或主机扫描的对象。

在得到针对目标的漏洞列表后，对于具体的CVE漏洞，以识别框架为{存在，不存在}，构造计算相应的基本概率分配。然后采用D-S证据理论融合计算不同来源的基本概率分配，得到融合了所有来源信息的漏洞概率分配。

步骤S2033，基于告警依赖的漏洞和采用漏洞概率对漏洞列表进行过滤后的漏洞确定漏洞匹配概率。具体地，在得到漏洞概率分配后，基于预先设置的过滤规则对得到漏洞列表进过滤，得到更全面准确的漏洞列表。

其中，网络安全设备检测环境中数据包的内容，由此判断是否存在攻击行为进而发出报警，在实际的环境当中，攻击行为的成功与否还取决于目标的状态。比如攻击目标是否在线，攻击行为需要的漏洞是否在目标上存在等等，通过进一步关联相应的目标脆弱性信息即确定告警依赖的漏洞，可以对告警记录进行进一步的过滤。

具体地，漏洞匹配概率采用如下公式计算：

其中，n为攻击依赖的漏洞与目标存在的漏洞相匹配的漏洞数量，r_i为漏洞i的相应权重，p_i为漏洞i的存在概率。该攻击依赖漏洞是指告警依赖的漏洞，该漏洞可以根据告警记录从相应数据库中查询，即查询告警记录依赖何种漏洞产生，从而确定告警依赖的漏洞。该目标存在的漏洞相匹配的漏洞数量是指上述过滤后的漏洞列表中和攻击依赖的漏洞匹配的数量。

步骤S204，基于报警概率和漏洞匹配概率确定有效告警；具体地，在基于报警概率和漏洞匹配概率确定有效告警时，可以先基于报警概率和漏洞匹配概率计算攻击成功概率S：

S＝M(true)*P (11)

式中，M(true)表示报警概率，P表示漏洞匹配概率，其中，需要说明的是，当无法找到告警依赖的漏洞时，P值设置为1；对于无法在过滤后的漏洞列表找到匹配的漏洞时，P值设置为0.1。

当确定攻击成功概率后，设置攻击成功门限，将攻击成功概率与门限值相比较，若大于门限，可以认为攻击很可能成功，及时输出报警，若小于门限，则认为攻击不大可能成功，将攻击报警信息过滤掉。本实施例通过与脆弱性信息的关联，使得输出的报警更能体现网络上攻击的实际情况，在依据报警提取攻击活动态势时得到的判断更加的准确。

此外，不受漏洞支持被过滤掉的告警记录也有一定的参考价值。它们反映了攻击活动的倾向，与上报的报警一起反映了系统中受到攻击的漏洞的利用情况。对应那些经常受到攻击的漏洞，需要查询网络中其他目标是否存在对应的漏洞，及时打补丁弥补。报警信息与脆弱性信息进行关联的流程如附图3所示。

通过本实施例提出的聚类-融合-脆弱性关联方法处理报警信息来处理网络中的攻击活动触发的报警信息。通过聚类，合并相似报警，降低需要处理的报警数量；通过扩展的D-S证据理论融合不同设备的报警，有效地利用了设备的互补冗余信息来过滤确认报警；融合后上报的报警与目标的脆弱性信息相关联，依据环境信息判断攻击成功的可信度，进一步过滤了不成功的攻击报警。使得最终上报的报警得到精简，更为准确充分地反映环境中的攻击行为。

目前，相关公司在信息内外网已分别部署了信息运维综合监管系统(IntranetManagement System，IMS)和信息外网安全监测系统(Information Systems Security，ISS)，其中IMS系统包括综合网管、安全管理、桌面管理(信息内网)、IT服务管理四大模块，实现对公司信息系统软硬件、业务应用系统、信息内网桌面终端安全运行状态的实时监测、统计分析、统一展现和对统一运维流程的标准化管理及闭环控制，能协助安全技术督察人员与运行维护人员及时掌握信息内网实时安全运行态势。ISS系统包括边界监测、桌面终端(信息外网)、网络分析、病毒木马、深度分析五大模块，实现对公司互联网出口网络攻击事件、网络流量、敏感信息等的实时监测与深度分析。

然而，IMS和ISS系统只能对内外网中各种信息系统软硬件、网络设备及攻击事件进行实时监测分析，并没有考虑到上述这些信息结合各种网络行为和用户行为等因素所构成的整个电力信息网络的状态和变化趋势，不能及时发现和追溯恶意攻击事件，无法有效评估电力信息网络的整体安全态势。目前攻击监测分析技术已经成为近年以来相关研究的热点，但仍存在一些问题尚待解决：一是以高级持续攻击(Advanced Persistent Threat，APT)为代表的多步骤攻击，其各个步骤之间存在时间间隔或不发生在同一主机上，因此其关联性难以轻易挖掘，单一步骤的异常性也难以精确判定。现有研究缺乏多步骤之间的关联，尤其是跨时间、跨设备的多步骤关联尚未涉及。二是只针对特定攻击或特定网络有效而不具有可移植性，只能检测出攻击，不能预测攻击者下一步的攻击。在以往，重建完整的攻击场景的责任主要留给安全分析人员，然而由于告警事件是海量且价值密度低的以及攻击活动的不断发展，依靠管理员人工从这些琐碎的海量告警中分析出攻击活动的全貌或完整场景，难度较大。

基于此，在本实施例中提供了一种面向攻击监测场景的电力安全事件关联分析方法，该方法包括如下步骤：

步骤S301，获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件；详细请参见图1所示实施例的步骤S101，在此不再赘述。

步骤S302，采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；详细请参见图1所示实施例的步骤S102，在此不再赘述。

步骤S303，基于报警概率和漏洞匹配概率确定有效告警；详细请参见图1所示实施例的步骤S103，在此不再赘述。

步骤S304，根据有效告警聚合得到的超告警之间的关联度进行攻击行为关联。具体地，在复杂攻击场景中，由于攻击者的攻击意图和攻击目标十分明确，因此前后攻击步骤所引发的安全事件告警在不同属性上具有或多或少的关联关系。本实施例中根据对有效告警得到的超告警之间的关联度进行计算，从而其是否是前后攻击步骤所引发的，进而实现攻击行为的关联。

具体地，上述步骤S304包括：

步骤S3041，根据预设条件将有效告警聚合，得到超告警；其中，可以根据告警记录的属性如IP地址、攻击类型等设置聚合的条件。本实施例中以源IP地址、目的IP地址以及攻击类型作为预设条件将有效告警聚合。具体地，通过聚合，得到的超告警共包括以下四类：

(1)源IP相同、目的IP相同、sig-id(攻击类型)相同；

(2)源IP相同、目的IP不同、sig-id相同；

(3)源IP不同、目的IP相同、sig-id相同；

(4)源IP相同、目的IP相同、sig-id不同。

其中，对于得到的超告警，每个超告警对应一个新的安全事件，同事超告警序列顺序对应实际安全事件发生的顺序。

步骤S3042，根据超告警属性的关联度计算超告警之间的关联度；其中，该关联度反映了两条超告警所对应安全事件或者说攻击行为属于同一个多步攻击场景中前后步骤的可靠性。

具体地，上述步骤S3042包括：

步骤a1，基于超告警属性确定告警关联度属性权值矩阵和属性间关联度函数；本实施例中，在确定超告警之间的关联度时与计算告警记录之间的相近度类似，也是基于超告警的属性之间的关联度确定。其中，进行超告警关联度计算的属性包括源IP地址(SrcIP)、目的IP地址(DstIP)、源端口(SrcPort)、目的端口(DstPort)、时间(OccurTime)、攻击类型(AttackType)和严重度(Severity)。该严重度具体为priority(优先级)、reliability(可信度)、riskSrc(源地址的威胁度)、riskDst(目的地址的威胁度)四个值之和，或者根据各自重要性的加权和。

具体地，该告警关联度属性权值矩阵如表1所示：

表1

需要说明的是，对于攻击的前后步骤，除了同属性间具有关联关系外，不同属性也具有关联关系。例如：前一步攻击的目的IP地址和后一步攻击的源IP地址之间可能存在关联关系，由此需要采用上述表1的告警关联度属性权值矩阵，而无法采用一维权值序列表示告警关联度属性权值。另外，对于不同属性之间的关联，本实施例考虑前一步的目的IP地址和下一步的其它属性之间的关联，例如：前一个的目的IP地址和后一步的源IP地址之间存在关联。前一步的目的IP和后一步的目的端口存在关联。并且，对于不存在关联的属性的，则其在权值矩阵中的元素取值为0；取值越大的，则说明对应的属性之间的关联程度越大。

例如根据告警关联度权值矩阵，一条告警的发生时间(OccurTime)除了和另一条告警的发生时间(OccurTime)之间存在关联外，和其他属性间均不具有关联关系。告警的目的IP地址属性(DstIP)之间关联度权值取值最高，说明目的IP地址属性(DstIP)之间的关联度是决定告警关联度值的重要因素。

本实施例中，属性间关联度采用如表2的属性间关联度函数表示：

表2

步骤a2，基于对属性间关联度函数的分类，确定各分类的关联度，各分类的关联度包括地址间的关联度、端口间的关联度、时间之间的关联度、攻击类型间的关联度、严重度间的关联度以及目的地址和目的端口间的关联度。

具体地，根据上述分析，超告警的关联度是属性的关联度确定的。而超告警是通过对有效告警的聚合得到的，即超告警的大多属性不是一个确定的值，而是映射到产生该条超告警的有效告警集合。超告警的不同属性，对应的不是一个确定的数值或者确定的数据类型，而是一个个的集合。因此超告警的属性关联度计算就转化为集合和集合之间的关联计算。由此在计算时需要对属性值进行分类，再根据分类的结果来计算属性关联度。一组相似有效告警被聚合形成超告警，因此一条超告警对应了一组有效告警，超告警的属性值也由它所对应的有效告警属性值来确定。但由于告警不同属性值具有不同数据类型，因此引入一种树形结构来对告警属性进行分类，并且加入了分支权值的概念，使得在进行告警关联性判断时，结果更为精确可靠。

首先，根据表2的属性间关联度函数，可以现将其进行分类，并确定每种类别的关联度计算方式，之后可以基于类别的关联度计算方式，实现表2中属性间关联度计算。具体地，具体分类包括：

a)IP间的关联(Cor(SrcIPi,SrcIPj),Cor(DstIP i,DstIP j)，Cor(DstIP i,SrcIPj))；

b)端口间的关联(Cor(SrcPort i,SrcPort j),Cor(DstPort i,DstPort j))；

c)时间之间的关联(Cor(OccurTime i,OccurTime j))；

d)攻击类型间的关联(Cor(AttackType i,AttackType j))；

e)严重度间的关联(Cor(Severity i,Severity j))；

f)目的IP和目的端口间的关联(Cor(DstIP i,DstPort j))。

1.IP间的关联。

其中，对于聚合得到的每条超告警(meta_event)的IP地址属性，根据其映射关系，都对应一个IP地址集合{IP₁,IP₂,...,IP_n-1,IP_n}，(n≥1)。为了实现IP地址集合之间的关联度计算，本实施例基于IP地址范围预先设置了IP地址树形结构如图5所示。在对任意两条超告警进行关联度计算时。判断每条超告警对应的IP地址集合应该归到附图5的哪一类。由于分类的对象是一个集合，因此设置分类的阈值为80％(该值也是数据挖掘领域分类算法一般所采取的阈值大小)，即如果集合中的元素有超过80％属于树型结构中的某一类，则该IP地址集合归为该类。

具体地，IP范围归类举例说明如下：

a)如果待处理的IP地址集合中超过80％的IP地址都是202.112.20.13(非内网IP)，则属于“C Class”下的子节点202.112.20.13；

b)如果待处理的IP地址集合中超过80％的IP地址属于结点server，则该集合归为server类；

c)计算两个IP地址属性间的关联度时，确定两个属性分别对应的类，根据他们的相似性来确定他们的关联度值。附图5中每个节点旁边的数字给出同属于该类的两个IP集合之间的关联度值。由此，两个IP集合之间关联度Cor(S1,S2)的计算方法举例说明如下：若S1属于202.112.20.13类，S2属于202.112.20.13类，则他们同属节点202.112.20.13，查询上图示意的关联度值为1；若S1属于server类，S2属于station类，则他们同属inside类，查询上图示意的关联度值为0.3；若S1属于202.112.20.13类，S2属于station类，则他们同属All IP类，查询上图示意的关联度值为0。

2.端口间的关联。

端口地址类属性间的分类和类间关联度值计算和IP地址类属性的定义方法类似。对超告警(meta_event)的具有端口地址类型的属性，根据其映射关系，对应一个端口地址集合{p₁,p₂,...,p_n-1,p_n}，(n≥1)。为了实现端口地址集合之间的关联度计算，本实施例基于端口地址范围预先设置了端口地址树形结构如图6所示。在对任意两条超告警进行关联度计算时。判断每条超告警对应的端口地址集合对应到图6中的哪一类。分类的阈值同样设置为80％。即，如果集合中超过80％的端口地址属于某一类，则认为该属性值归为该类。

在计算两个端口地址类属性P1和P2间的关联度Cor(P1,P2)时，确定两个属性分别对应的类，根据他们的相似性来确定他们的关联度值。举例如下：若P1属于80类，P2属于80类，则他们同属节点80，查询图6中对应关联度值为1；若P1属于21类，P2属于Privileged类，则他们同属Privileged类，查询图6中对应关联度值为0.5；若P1属于21类，P2属于NonePrivileged类，则他们同属All Ports类，查询图6中对应关联度值为0。

3.时间的关联。

Cor(OccurTime_i,OccurTime_j)为前一超告警发生时间属性和后一超告警发生时间属性之间的属性关联度。假设聚合产生超告警过程中安全事件告警发生时间的误差范围为σ秒，则：

OccurTime_i＝Average(OccurTime in I) (13)

OccurTime_j＝Average(OccurTime in J) (14)

式中，I表示前一条告警i的发生时间属性值的集合，对集合中的时间属性值求平均得到前一超告警发生时间属性，J表示后一条告警j的发生时间属性值的集合，对集合中的时间属性值求平均得到后一超告警发生时间属性。

前后超告警发生时间属性关联度计算如下：

Cor(OccurTime_i,OccurTime_j)＝|OccurTime_i-OccurTime_j|/σ (15)

由此，得到的Cor(OccurTime_i,OccurTime_j)取值也在0-1之间。

4.攻击类型间的关联。

Cor(AttackType i,AttackType j)为攻击类型属性关联度函数。攻击类型间的关联度值可通过查找表3所示矩阵来决定。对所有攻击类型(sig-id)，预先确定一个攻击类型关联度值矩阵(l*l)(l为系统定义的超告警攻击类型总数)如表3所示。

表3

5.严重度间的关联。

超告警严重度间关联度函数Cor(Priority i,Priority j)和时间的关联定义类似。假设聚合产生超告警的严重度范围为μ，则告警的严重度属性关联度如公式16所示：

Cor(Priority i,Priority j)＝|Priority i-Priority j|/μ (16)

由此，得到的严重度属性关联度Cor(Priority i,Priority j)的取值也控制在0-1之间。

6.目的地址和端口间的关联。

超告警目的IP地址属性和端口地址属性之间的关联度函数Cor(DstIP i,DstPortj)采用如表4所示的目的IP和目的端口间的关联度值矩阵(m*n)确定，其中m为受保护的内网目的IP个数，n为内网所有可能受攻击服务对应的端口号总数。

表4

步骤a3，根据各分类的关联度以及告警关联度属性权值矩阵进行加权计算，确定超告警之间的关联度。具体地，在基于步骤a2确定各分类间的关联度计算方式，可以基于该计算方式实现超告警各个属性关联的计算，然后结合权重矩阵，得到超告警之间的关联度，该超告警之间的关联度采用如下公式表示：

/>

式中，Cor(h_i,h_j)反映了超告警h_i、h_j之间关联的程度。h_i和h_j是两个超告警，分别由p个属性x₁,x₂,...,x_p和y₁,y₂,...,y_p来描述，本实施例中，p取值为7，即属性包括源IP地址、目的IP地址、源端口、目的端口、时间、攻击类型和严重度，w_ij表示权值，可以通过上述表1的告警关联度权值矩阵确定。

步骤S3043，根据关联度和关联度阈值的关系进行攻击行为关联。具体地，在对聚合得到的超告警计算得到关联度之后，可以通过预先设置的关联度阈值，判断超告警之间是否存在攻击行为关联。当存在攻击行为关联，可以将其保存在APT(Attack PatternTree)树的结构中，并以XML格式进行存放。之后，可以采用模式匹配算法利用以XML格式存放的APT树进行攻击行为模式匹配，同时考虑告警之间的关联关系，来进行在线的多步攻击场景构建，实现对潜在网络攻击行为的识别。

具体地，在保存攻击行为时，对于开头相同的序列合并被到一棵树中以此来提高匹配算法和存储的效率。这样在进行实时的攻击意图识别时，可以提高算法匹配的效率。例如，攻击序列模式<3,9,8,14,5>、<3,9,7,12>和<3,9,8,2>可以存放在同一个攻击模式树APT(Attack Pattern Tree)，如附图7所示。图7中圆圈中的数字表示攻击行为对应的攻击签名ID(signature-id)给出了具有相同首子序列的攻击序列模式存放在同一攻击树APT的具体实例。

具体地，对于新聚合得到的超告警，可以采用攻击场景匹配算法将其和每一个事先保存的APT树进行模式匹配，把匹配的记录存为临时的记录(match_log)放入match-log数据库。具体可以采用如下代码所示的在线匹配算法ASM(Attack Scenario Matching)来实现在线的攻击场景匹配。

在线匹配算法ASM：

根据该匹配过程，当得到一条新的超告警，会把这个超告警的攻击类型和match-log数据库中的每一条match_log记录相比较，如果该超告警的攻击类型和某一个match-log的子节点相同，则计算该超告警和当前节点链接的超告警之间的关联度，如果超过了设定的关联度阈值，则子节点变为当前节点，该超告警链接到当前节点上。同时每一条新的超告警还会和每一个APT树的父亲节点进行匹配，如果匹配成功，则该APT树在match_log数据库中产生一个新的match_log记录。并且当前节点设置为根节点，同时该当前节点映射到该超告警。当一条math_log到达一个叶子节点，并且关联度的计算满足要求，则一个完整的攻击场景就构成了。

本实施例利用多步攻击行为模式匹配算法对超告警进行在线的分析，同时计算符合模式匹配的前后超告警的关联度，通过关联度的计算判断超告警是否对应同一多步攻击的前后攻击行为，过滤掉不存在关联关系而模式匹配的超告警。

本实施例提出利用多步攻击行为模式匹配算法对超告警进行在线的分析，同时计算符合模式匹配的前后超告警的关联度，通过关联度的计算判断超告警是否对应同一多步骤攻击的前后攻击行为，过滤掉不存在关联关系而模式匹配的超告警。构建了电网系统三道防线的网络攻击关联监测场景，并提出了基于攻击序列模式的网络安全事件关联方法实现了对网络安全事件的深度挖掘。

在本实施例中还提供了一种面向攻击监测场景的电力安全事件关联分析装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

本实施例提供一种面向攻击监测场景的电力安全事件关联分析装置，如图8所示，包括：

数据获取模块801，用于获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件；

融合模块802，用于采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；

筛选模块803，用于基于报警概率和漏洞匹配概率确定有效告警。

在一种可选的实施方式中，装置还包括：聚类模块，用于基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果。

在一种可选的实施方式中，装置还包括：关联模块，用于根据有效告警聚合得到的超告警之间的关联度进行攻击行为关联。

在一种可选的实施方式中，属性包括IP地址、端口、协议类型和时间，聚类模块具体用于：基于IP地址相近度、端口相近度、协议类型相近度和时间相近度确定任意两条告警记录的相近度，IP地址相近度根据IP地址中每一部分是否相同确定，端口相近度根据端口的距离确定，协议类型相近度根据协议类型是否相同确定，时间相近度根据时间差和预设阈值的关系确定；根据告警记录的相近度将多条告警记录进行关联聚类，得到聚类结果。

在一种可选的实施方式中，融合模块具体用于：基于预设权重，采用D-S证据理论对告警记录进行融合计算，得到告警记录对应的报警概率；采用D-S证据理论对脆弱性信息对应的漏洞列表进行融合计算，得到漏洞概率；基于告警依赖的漏洞和采用漏洞概率对漏洞列表进行过滤后的漏洞确定漏洞匹配概率。

在一种可选的实施方式中，关联模块包括：聚合模块，用于根据预设条件将有效告警聚合，得到超告警；关联度计算模块，用于根据超告警属性的关联度计算超告警之间的关联度；关联子模块，用于根据关联度和关联度阈值的关系进行攻击行为关联。

在一种可选的实施方式中，超告警属性包括源IP地址、目的IP地址、源端口、目的端口、时间、攻击类型和严重度，关联度计算模块具体用于：基于超告警属性确定告警关联度属性权值矩阵和属性间关联度函数；基于对属性间关联度函数的分类，确定各分类的关联度，各分类的关联度包括地址间的关联度、端口间的关联度、时间之间的关联度、攻击类型间的关联度、严重度间的关联度以及目的地址和目的端口间的关联度；根据各分类的关联度以及告警关联度属性权值矩阵进行加权计算，确定超告警之间的关联度。

在一种可选的实施方式中，地址间的关联度基于IP地址树形结构确定，端口间的关联度基于端口地址树形结构确定，时间之间的关联度基于时间差和误差确定，攻击类型间的关联度基于攻击类型关联度值矩阵确定，严重度间的关联度基于严重度差和严重度范围确定，目的地址和目的端口间的关联度基于目的地址和目的端口间的关联度值矩阵确定。

上述各个模块和单元的更进一步的功能描述与上述对应实施例相同，在此不再赘述。

本发明实施例还提供一种计算机设备，具有上述图8所示的面向攻击监测场景的电力安全事件关联分析装置。

请参阅图9，图9是本发明可选实施例提供的一种计算机设备的结构示意图，如图9所示，该计算机设备包括：一个或多个处理器10、存储器20，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相通信连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个计算机设备，各个设备提供部分必要的操作(例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图9中以一个处理器10为例。

处理器10可以是中央处理器，网络处理器或其组合。其中，处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路，可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件，现场可编程逻辑门阵列，通用阵列逻辑或其任意组合。

其中，存储器20存储有可由至少一个处理器10执行的指令，以使至少一个处理器10执行实现上述实施例示出的方法。

存储器20可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据一种小程序落地页的展现的计算机设备的使用所创建的数据等。此外，存储器20可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中，存储器20可选包括相对于处理器10远程设置的存储器，这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

存储器20可以包括易失性存储器，例如，随机存取存储器；存储器也可以包括非易失性存储器，例如，快闪存储器，硬盘或固态硬盘；存储器20还可以包括上述种类的存储器的组合。

该计算机设备还包括通信接口30，用于该计算机设备与其他设备或通信网络通信。

本发明实施例还提供了一种计算机可读存储介质，上述根据本发明实施例的方法可在硬件、固件中实现，或者被实现为可记录在存储介质，或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中，存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等；进一步地，存储介质还可以包括上述种类的存储器的组合。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件，当软件或计算机代码被计算机、处理器或硬件访问且执行时，实现上述实施例示出的方法。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (18)

1.一种面向攻击监测场景的电力安全事件关联分析方法，其特征在于，所述方法包括：

获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件；

采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；

基于所述报警概率和漏洞匹配概率确定有效告警。

2.根据权利要求1所述的方法，其特征在于，当告警记录为多源告警记录时，获取多条告警记录之后，所述方法还包括：

基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果。

3.根据权利要求1所述的方法，其特征在于，基于所述报警概率和漏洞匹配概率确定有效告警之后，所述方法还包括：

根据所述有效告警聚合得到的超告警之间的关联度进行攻击行为关联。

4.根据权利要求2所述的方法，其特征在于，所述属性包括IP地址、端口、协议类型和时间，基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果，包括：

基于IP地址相近度、端口相近度、协议类型相近度和时间相近度确定任意两条告警记录的相近度，所述IP地址相近度根据IP地址中每一部分是否相同确定，所述端口相近度根据端口的距离确定，所述协议类型相近度根据协议类型是否相同确定，所述时间相近度根据时间差和预设阈值的关系确定；

根据告警记录的相近度将多条告警记录进行关联聚类，得到聚类结果。

5.根据权利要求1所述的方法，其特征在于，采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率，包括：

基于预设权重，采用D-S证据理论对告警记录进行融合计算，得到告警记录对应的报警概率；

采用D-S证据理论对脆弱性信息对应的漏洞列表进行融合计算，得到漏洞概率；

基于告警依赖的漏洞和采用漏洞概率对漏洞列表进行过滤后的漏洞确定漏洞匹配概率。

6.根据权利要求3所述的方法，其特征在于，根据所述有效告警聚合得到的超告警之间的关联度进行攻击行为关联，包括：

根据预设条件将所述有效告警聚合，得到超告警；

根据超告警属性的关联度计算超告警之间的关联度；

根据所述关联度和关联度阈值的关系进行攻击行为关联。

7.根据权利要求6所述的方法，其特征在于，所述超告警属性包括源IP地址、目的IP地址、源端口、目的端口、时间、攻击类型和严重度，根据超告警属性的关联度计算超告警之间的关联度，包括：

基于所述超告警属性确定告警关联度属性权值矩阵和属性间关联度函数；

基于对属性间关联度函数的分类，确定各分类的关联度，所述各分类的关联度包括地址间的关联度、端口间的关联度、时间之间的关联度、攻击类型间的关联度、严重度间的关联度以及目的地址和目的端口间的关联度；

根据所述各分类的关联度以及告警关联度属性权值矩阵进行加权计算，确定超告警之间的关联度。

8.根据权利要求7所述的方法，其特征在于，地址间的关联度基于IP地址树形结构确定，端口间的关联度基于端口地址树形结构确定，时间之间的关联度基于时间差和误差确定，攻击类型间的关联度基于攻击类型关联度值矩阵确定，严重度间的关联度基于严重度差和严重度范围确定，目的地址和目的端口间的关联度基于目的地址和目的端口间的关联度值矩阵确定。

9.一种面向攻击监测场景的电力安全事件关联分析装置，其特征在于，所述装置包括：

数据获取模块，用于获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件；

融合模块，用于采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；

筛选模块，用于基于所述报警概率和漏洞匹配概率确定有效告警。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：聚类模块，用于基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果。

11.根据权利要求9所述的装置，其特征在于，所述装置还包括：关联模块，用于根据所述有效告警聚合得到的超告警之间的关联度进行攻击行为关联。

12.根据权利要求10所述的装置，其特征在于，所述属性包括IP地址、端口、协议类型和时间，聚类模块具体用于：基于IP地址相近度、端口相近度、协议类型相近度和时间相近度确定任意两条告警记录的相近度，所述IP地址相近度根据IP地址中每一部分是否相同确定，所述端口相近度根据端口的距离确定，所述协议类型相近度根据协议类型是否相同确定，所述时间相近度根据时间差和预设阈值的关系确定；根据告警记录的相近度将多条告警记录进行关联聚类，得到聚类结果。

13.根据权利要求9所述的装置，其特征在于，融合模块具体用于：基于预设权重，采用D-S证据理论对告警记录进行融合计算，得到告警记录对应的报警概率；采用D-S证据理论对脆弱性信息对应的漏洞列表进行融合计算，得到漏洞概率；基于告警依赖的漏洞和采用漏洞概率对漏洞列表进行过滤后的漏洞确定漏洞匹配概率。

14.根据权利要求11所述的装置，其特征在于，关联模块包括：聚合模块，用于根据预设条件将所述有效告警聚合，得到超告警；关联度计算模块，用于根据超告警属性的关联度计算超告警之间的关联度；关联子模块，用于根据所述关联度和关联度阈值的关系进行攻击行为关联。

15.根据权利要求14所述的装置，其特征在于，所述超告警属性包括源IP地址、目的IP地址、源端口、目的端口、时间、攻击类型和严重度，关联度计算模块具体用于：基于所述超告警属性确定告警关联度属性权值矩阵和属性间关联度函数；基于对属性间关联度函数的分类，确定各分类的关联度，所述各分类的关联度包括地址间的关联度、端口间的关联度、时间之间的关联度、攻击类型间的关联度、严重度间的关联度以及目的地址和目的端口间的关联度；根据所述各分类的关联度以及告警关联度属性权值矩阵进行加权计算，确定超告警之间的关联度。

16.根据权利要求15所述的装置，其特征在于，地址间的关联度基于IP地址树形结构确定，端口间的关联度基于端口地址树形结构确定，时间之间的关联度基于时间差和误差确定，攻击类型间的关联度基于攻击类型关联度值矩阵确定，严重度间的关联度基于严重度差和严重度范围确定，目的地址和目的端口间的关联度基于目的地址和目的端口间的关联度值矩阵确定。

17.一种计算机设备，其特征在于，包括：

存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行权利要求1至8中任一项所述的面向攻击监测场景的电力安全事件关联分析方法。

18.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机指令，所述计算机指令用于使计算机执行权利要求1至8中任一项所述的面向攻击监测场景的电力安全事件关联分析方法。