本发明专利技术公开了一种基于随机概率分布的信息安全异常检测的方法及系统,包括:实时告警模块、历史告警模块、离线异常检测建模模块、在线异常检测模块,以及知识库。采用本发明专利技术,能够检测到异构的、动态的和复杂的IT企业网络设备产生的海量安全告警中的安全攻击事件,能够溯源或回放事件,能够发现故障的根源或源头,能够帮助IT企业快速恢复业务,保证其正常运营。
【技术实现步骤摘要】
本专利技术涉及信息安全应用
,尤其涉及诸如SNMP、syslog等上报的海量告警的异常检测方法与系统。
技术介绍
本专利技术中包含的英文简称如下:SMA:SimpleMovingAverage简单移动平均线ACF:AutoCorrelationFunction自动关联函数MAD:MedianAbsoluteDeviation中位绝对偏差LR:linearregression线性回归OLS:ordinaryleastsquares最小二乘法MA:movingaverage移动平均WMA:weightedmovingaverage加权移动平均EWMA:exponentialweightedmovingaverage指数加权移动平均AR:autoregressive自回归ARMA:autoregressivemovingaverage自回归移动平均ARIMA:integratedARMA集成自回归移动平均CUSUM:CumulativeSumTest累积和检验SOC:SecurityOperationCenter安全管理中心IDS:IntrusionDetectionSystems入侵检测系统SNMP:SimpleNetworkManagementProtocol简单网络管理协议HDFS:HadoopDistributeFileSystemHadoop分布式文件系统MQ:MessageQueue消息队列安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络高效稳定地运行,是企业一切市场经营活动和正常运作的基础。随着各类企业信息系统的建设和完善,有效地提高了劳动生产率,降低了运营成本。一旦企业各业务系统出现安全事件、或发生故障、或形成性能瓶颈,不能及时发现、及时处理、及时恢复,势必直接导致承载在其上所有业务的运行,影响企业的正常运营秩序,企业业务不能正常开展。因此,对于政府和企业IT基础实施的安全保障就显得格外重要。随着政府和企业信息化程度不断提高。各业务系统间联系越来越密切,数据交换越来越频繁,各系统有着复杂网络或逻辑连接,存在大量数据交换,甚至一个故障可以引发成为企业全网故障,一点或一种业务系统出现漏洞感染病毒或受到攻击,将迅速波及其它业务系统及网络,甚至导致企业全网瘫痪。企业IT系统产生了大量的告警,随着存储设备成本的降低,没有理由丢弃这些数据,然而,目前,还没有相应的方法及其分析工具,能够从这些海量告警中,预防或发现安全攻击,溯源或找到故障的根源;还不能够帮助信息安全工程师尽快恢复IT业务。为此,如何利用信息化手段提高企业安全管理运维效益,优化企业信息安全管理运维服务,使得它能够为各类企业提供专业的和高性能的信息安全运维管理服务,即成为尤其是信息安全管理运维设计上必须要解决的一个重要课题。
技术实现思路
本专利技术在分析了上述各类企业信息安全管理运维服务平台的缺陷和不足之后,提出了一种基于随机概率分布的信息安全异常检测的方法及系统。本专利技术的核心思想是:构建一个用于安全异常检测的基于分布的方法及系统。所述方法及系统能够通过告警时间序列建立信息安全异常检测模型,所述模型是以离线方式建立的,并为在线安全异常检测系统提供方法指南。进一步地,所述方法及系统,包括实时告警模块、历史告警模块、离线异常检测建模模块、在线异常检测模块,以及知识库。所述实时告警模块,实时地接收来自各种安全设备通过SNMP、syslog等协议上报的告警,并分别发送给历史告警模块和基于分布的异常在线检测模型模块。所述历史告警模块,可以作为告警时间序列的备份,也可以为离线安全攻击异常检测建模模块提供告警数据。所述离线异常检测建模模块,对所述告警时间序列建模,并提供基于门限的异常检测方法、基于回归的异常检测方法和基于随机分布的异常检测方法的指南。所述基于回归的异常检测方法,通过实时计算中位数m、四分位距iqr、事件间隔k、周期T、和情况,来决定是否选择基于分布的信息安全异常检测方法,并且实时反馈给在线基于分布的异常检测模块。所述在线异常检测模块,采用基于随机概率分布的方法,实时在线地检测实时告警模块所上报告警时间序列的异常,并且,将检测结果上报给相关显示模块或安全分析师作进一步地处理。所述知识库,存储各种统计参数、异常检测方法及其应用场景等。优选地,所述中位数m、四分位距iqr、事件间隔k、周期T、和情况,当满足,而且k1、T!=0和时,则采用基于分布的安全异常检测方法。本专利技术针对异构和动态的IT企业网络设备产生的海量安全告警,能够检测到安全攻击事件,能够溯源或回放事件,能够发现故障的根源或源头,能够帮助IT企业快速恢复业务,保证其正常运营。附图说明图1为本专利技术所述的离线异常检测建模模块内部流程示意图;图2为本专利技术所述的一种基于分布的信息安全异常检测的实际检测告警百分比实施例;图3为本专利技术所述的一种基于分布的信息安全异常检测的3种告警(有线木马、wifi木马和外部木马)的实施例(每小时告警时间序列);图4为本专利技术所述的一种基于分布的信息安全异常检测的告警统计分布盒图实施例;图5为本专利技术所述的一种基于分布的信息安全异常检测的统计方差系数实施例;图6为本专利技术所述的一种基于分布的信息安全异常检测的3种告警时序依赖实施例;图7为本专利技术所述的一种基于分布的信息安全异常检测的描述性统计稳定性示意图;图8为本专利技术所述的一种基于分布的信息安全异常检测的稳定指数值示意图;图9为本专利技术所述的一种基于分布的信息安全异常检测的选择异常检测方法示意图;图10为本专利技术所述的一种基于分布的信息安全异常检测的示意图。具体实施方式下面是根据附图和实例对本专利技术的进一步详细说明:图1为本专利技术所述的离线异常检测建模模块内部流程示意图,包括:①预处理和分组;②基于时间的分割;③描述性统计;④描述性统计分析;⑤可能的重新组合。双圆圈表示离线安全异常检测的输入和输出。原始的输入是来自安全设备的告警(例如,防火墙、入侵检测设备和路由器等设备)。最终输出是选择安全异常检测的算法指南。灰色框是由安全分析师输入的参数,不同的参数能够适应不同的应用场景和安全分析的目的。应用场景决定了安全分析所需的告警数量(例如,1年的告警)、网络拓扑(例如,节点、子网)、节点数量(因为主机和网络设备数量越多,则告警数量越大)。所述①预处理和本文档来自技高网...
【技术保护点】
本专利技术提供了一种基于随机概率分布的信息安全异常检测的方法及系统,包括实时告警模块、历史告警模块、离线异常检测建模模块、在线异常检测模块(基于分布)和知识库;1)所述实时告警模块,实时地接收来自各种安全设备的告警,并分别上报给历史告警模块和在线基于分布的异常检测模块;2) 所述历史告警模块,可以作为告警数据的备份,也可以为离线异常检测建模模块提供告警数据;3)所述离线异常检测建模模块,对告警时间序列建模,并提供基于回归的安全攻击异常检测方法指南;4)所述基于分布的异常检测方法指南,通过实时计算中位数m、四分位距iqr、事件间隔k、周期T、和情况,来决定是否选择基于分布的信息安全异常检测的方法,并且实时反馈给在线基于分布的异常检测模块;5)所述在线异常检测模块,采用基于分布的方法,实时地检测实时告警模块所上报告警的异常,并且,将检测结果上报给相关显示模块或安全分析师做进一步处理;6)所述知识库,存储各种统计参数、异常检测方法及其应用场景等。
【技术特征摘要】
1.本发明提供了一种基于随机概率分布的信息安全异常检测的方法及系统,包括实时
告警模块、历史告警模块、离线异常检测建模模块、在线异常检测模块(基于分布)和知识
库;
1)所述实时告警模块,实时地接收来自各种安全设备的告警,并分别上报给历史告警
模块和在线基于分布的异常检测模块;
2)所述历史告警模块,可以作为告警数据的备份,也可以为离线异常检测建模模块提
供告警数据;
3)所述离线异常检测建模模块,对告警时间序列建模,并提供基于回归的安全攻击异
常检测方法指南;
4)所述基于分布的异常检测方法指南,通过实时计算中位数m、四分位距...
【专利技术属性】
技术研发人员:李木金,凌飞,
申请(专利权)人:南京联成科技发展有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。