本发明专利技术公开了一种基于模糊场景的关键IP地址安全报警关联分析方法,其首先利用统计方法对报警进行聚合,然后利用策略对报警进行忽略和过滤,最后利用基于模糊场景的关联分析算法计算出与源IP对应的事件疑似度,并采用大数据分析方法对与嫌疑IP有关的报警日志进行统计查询。本发明专利技术创新性的提出了模糊场景的概念,打破传统的构建攻击场景进行分析的方式,其中模糊场景的关联分析方式是以IP地址为核心进行相关的海量安全报警事件的深度挖掘和关联分析的方式。本发明专利技术通过分析可能影响IP安全的报警的相关因素,对该因素进行整合分析,最后由事件疑似度计算公式得出反映IP安全情况的疑似度数值。
【技术实现步骤摘要】
本专利技术属于安全报警关联分析方法
,具体的说是涉及一种基于模糊场景 的关键IP地址安全报警关联分析方法。
技术介绍
计算机与网络系统中时刻有诸如网络连接、发送数据包和浏览网页等行为发生, 这些行为可以被安全设备监测并记录。在这些行为当中,某些行为可能会影响计算机与网 络系统的安全,我们把这种行为定义为安全事件。在安全监控系统中,安全事件的最终表现 形式是安全工具产生的报警信息和日志信息,当安全工具检测到所感兴趣的行为时会产生 安全报警。在监控系统中往往存在大量重复报警和误报警,导致安全数据量过于庞大,增加 了数据分析的难度。而且多个安全报警之间是存在相关性的,比如一个攻击行为可能隐藏 于多个安全报警之中,其逻辑复杂性和时间跨度都较大,如果缺乏有效的关联分析机制则 难以发现。为了挖掘不同报警之间的关联性、重现攻击场景以及发现真实安全事件,安全事 件关联分析技术应运而生,目前国内外已经在关联分析技术上做了很多研究。关联分析技 术可以通过信息的聚合与关联,能够处理同构及异构网络安全报警,大量减少报警数量,重 建攻击场景,有效降低误报率、重报率和漏报率。现有技术中已有的技术实现方案主要有三 种: 1、基于攻击场景的关联分析: 基于攻击场景关联算法是最早用于报警事件关联分析研究的一种方法,通过机器 学习或人类专家来得到各种攻击场景,将这些攻击场景作为模板输入到系统中去,然后系 统就可以将新的报警同这些攻击场景模板相比较,进行实时关联。关联过程需要的先验知 识表现为攻击场景模板,其形式一般为:e = ei op e2〇p,ei,op ej。其中ei为报警事件,op代 表为了说明ei和ej之间关系的运算符,在整个事件序列e中,隐含着不同报警事件发生的一 个时序关系,即ei+Ι是ei的后继。不同研究成果中,为了有效表示攻击场景模板,采用了不 同的形式,攻击场景模板形式的不同也导致了不同的关联算法。 例如利用ASL语言来完成两个功能:(1)将安全报警看作一个实体,并描述不同的 攻击所产生的报警信息的内部信息;(2)描述攻击过程中安全报警和安全报警之间的关系。 被ASL语言描述的攻击场景模板形式上表现为一个有向图,有向图的生成方式如下:图的每 一个节点代表一种类型的安全报警,从代表报警ei的节点到代表报警的节点ej的有向边表 示存在一个攻击场景模板,在该模板内部,报警ej是ei的后继。则报警关联算法就演化为一 个沿着图的根节点(没有输入边的节点)进行模式匹配的过程,在匹配的过程中,本节点的 匹配进行以前,必须保证其所有前驱节点的匹配工作已经被完成。基于场景的关联分析方 法的关键问题是如何获得攻击场景,从而得到这些关联规则。根据人类专家知识或数据挖 掘方法获得合适的聚合与关联模板,既可以实现聚合也可以实现关联,实时性好,有利于在 此基础上进行深入的报警处理。 该方法的缺点是需要专家知识,且更新困难。由训练数据集学习得到的攻击场景 是此类方法的一个重要发展方向,但由于各方面的不确定性很难获得合适的训练集,同时 存在过学习问题,不能处理在训练集中未出现的攻击场景模式。另外,这种模板匹配方法的 抗噪能力较差。 2、基于安全事件前因后果的关联分析: 基于安全事件前因后果的关联方法是针对攻击者发动攻击的前因和后果设计 的,其基本思想是:寻找一个攻击行为A发起的先决条件和攻击行为B的攻击结果之间是否 存在逻辑关系,如果存在,则A和B就可能是系列攻击的两个环节,可以关联为B->A。在该关 联方法中,安全知识一般表示为三元组:(Attack,Prerequisites,Consequences),其中 Attack代表攻击动作名,Prerequisites代表攻击发生的前提条件,而Consequences代表攻 击发生后给整个系统所造成的影响。该关联方法的总体思想就是用攻击Btt 1发生后的后续 结果和攻击atk发生的前提条件去进行匹配,如果能够全部或部分匹配,则表明攻击attjP atk是具有因果联系的,从而可完成两者之间的关联工作。基于安全事件前因后果的事件 关联方法是现在研究最多的一种关联方法。 基于安全事件前因后果的关联方法的优势是,由于只指出单独攻击的前因后果, 不必事先知道整个攻击过程,所以不必手工产生大量的关联规则,只要指出一个已知攻击 的前提条件和可能造成的后果就足够了。同时,这种方法还可以识别和报告不同攻击组合 形成的新攻击过程。 该方法的缺点是不能处理新攻击类型(不知道其前因、后果),且只适用于具有明 显攻击步骤的关联。实验证明,这种方法可以比较好的发现报警之间的因果关联关系,但关 联的效果依赖于知识库的制定,新的攻击层出不穷,提前定义一套系统的、完善的前因后果 知识库不太可行,并且对于每个安全事件都要进行前因与后果的关联分析,以及归属决策, 需要耗费大量的计算机资源,不利于实时在线处理。 3、基于相似概率的关联分析: 基于近似度函数的关联算法主要通过把报警事件定义为一个实体,形成描述单个 报警事件内容的向量,然后通过定义的计算事件el和与关联队列中e2之间相似性函数来 计算他们之间的近似度,如果当前发生的报警事件其与已发生的报警事件之间的近似度大 于预定义的阈值,则其与近似度比较大的事件实体完成关联,否则,则创建新的关联队列来 容纳事件el,并将其作为该队列的首事件。 通常认为相关报警具有一定的属性相似性,此假设可以从实际攻击过程的分析中 可以得到验证。基于相似概率的关联其实是基于属性相似度的关联,通过合适的函数来计 算报警之间的属性相似度,然后根据属性相似度来决定是否对两种报警进行关联,比如当 属性相似度超过一定的阈值时就可以认为这两种报警存在关联。在计算中有两个关键点, 属性集的选取以及各属性相似度函数的选择。属性集需要从安全事件中获得,主要包括传 感器标识、攻击类别、攻击源和目标地址、攻击时间等。各属性相似度函数根据特征各有不 同,这需要具有一定的安全报警专家知识。一些学者对报警相似概率的计算上进行了有益 的研究。通过精心选定相似度标准、权重系数等参数,可以较好地处理报警泛滥问题,且算 法实时性好。 该方法的缺点是方法本身对攻击不理解,不能有效关联报警间的时序关系和因果 关系,难以识别复杂的攻击场景,且属性相似度的计算以及权重分配很大程度上依赖于领 域知识,移植性不好。 虽然以上三种分析方法均具有一定分析效果,但也都或多或少地存在一些缺点和 不足。现急需在对主流关联分析方法进行研究总结的基础上,结合烟草行业监控系统的实 际情况,提出的一种基于模糊场景的关联分析方法。
技术实现思路
本专利技术就是要解决现有技术中当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种基于模糊场景的关键IP地址安全报警关联分析方法,其特征在于:所述关联分析方法包括如下步骤:首先利用统计方法对报警进行聚合,然后利用策略对报警进行忽略和过滤,最后利用基于模糊场景的关联分析算法计算出与源IP对应的事件疑似度,并采用大数据分析方法对与嫌疑IP有关的报警日志进行统计查询;根据疑似度的大小和排序,管理人员能够对当前的网络状况有个直观的认识,并基于关联分析的结果进行与安全事件相关的展示以及进行安全态势评估;所述关联分析算法影响事件疑似度的因素有报警来源、聚合数量和报警等级三个因素,在计算事件疑似度时首先分别计算出所述三个因素对应的权重,最后将三个权重进行融合。
【技术特征摘要】
【专利技术属性】
技术研发人员:曲光学,胡勇,李晓蓉,刘水生,曹鹏,
申请(专利权)人:中国烟草总公司江苏省公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。