本发明专利技术提供一种面向网络安全事件的证据链生成方法及装置,其中,所述方法包括:获取已知网络攻击方式的动静态证据数据并建立证据数据库;对所述证据数据进行特征提取和降维处理,获得证据数据特征库;对证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;提取待分析网络安全事件的特征,并与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。本发明专利技术能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据,经过关联分析实现重构攻击场景,追踪攻击事件源头,构建网络安全事件完整、准确、真实的证据链。
【技术实现步骤摘要】
一种面向网络安全事件的证据链生成方法及装置
本专利技术涉及网络安全
,更具体地,涉及一种面向网络安全事件的证据链生成方法及装置。
技术介绍
当前网络规模急剧增加,各类网络攻击的入侵过程也逐渐向复杂化、多样化和分布式的趋势发展,网络攻击带来的损失越来越严重,而针对各类网络安全事件的追踪溯源以及查处响应也变得日益困难。为了应对目前严峻的网络安全形势,人们在网络上部署了各种网络安全监控和防御系统,例如入侵检测、防火墙、恶意代码防护系统、安全漏洞扫描系统、网络管理监控系统等。这些系统起到了一定的安全防御作用,产生的安全事件信息为网络安全管理提供了基本的决策和行动依据。但这些系统产生的安全事件信息数据量巨大、误报率高、数据缺乏整合,特别是在大规模网络环境中,这一问题更加突出,无法为各类网络安全事件的追踪溯源提供有力依据,因此,面向网络安全事件的证据链生成技术研究显得越来越重要。
技术实现思路
为了解决现有技术中存在的安全事件信息数据量大、误报率高、数据缺乏整合的问题,本专利技术提供一种面向网络安全事件的证据链生成方法及装置。根据本专利技术的一个方面,提供一种面向网络安全事件的证据链生成方法,包括:S1,获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;S2,对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;S3,对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;S4,对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;S5,提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。其中,所述步骤S3进一步包括:S31,基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;S32,构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;S33,基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;S34,基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。其中,S1中所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括:利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。其中,所述步骤S2进一步包括:利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。其中,S5中将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括:采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。根据本专利技术的另一个方面,提供一种面向网络安全事件的证据链生成装置,包括:证据数据库建立模块,用于获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;特征库建立模块,用于对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;关联分析模块,用于对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;特征提取模块,用于对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;证据链生成模块,用于提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。其中,所述关联分析模块具体用于:基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。其中,所述证据数据库建立模块具体用于:利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。其中,所述特征库建立模块具体用于:利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。其中,所述证据链生成模块具体用于:采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。本专利技术提出的一种面向网络安全事件的证据链生成方法及装置,能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据,经过关联分析实现重构攻击场景,追踪攻击事件源头,构建网络安全事件完整、准确、真实的证据链。附图说明图1为根据本专利技术一实施例提供的一种面向网络安全事件的证据链生成方法的流程示意图;图2为根据本专利技术另一实施例提供的一种面向网络安全事件的证据链生成装置的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例,都属于本专利技术保护的范围。如图1所示,为本专利技术一实施例提供的一种面向网络安全事件的证据链生成方法的流程示意图,包括:S1,获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;S2,对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;S3,对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;S4,对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;S5,提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。具体地,S1,针对常见的已知的网络攻击方式,通过密码破解、协议还原、内容解析等方式提取网络流、会话数据、安全日志等本文档来自技高网...
【技术保护点】
1.一种面向网络安全事件的证据链生成方法,其特征在于,包括:S1,获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;S2,对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;S3,对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;S4,对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;S5,提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。
【技术特征摘要】
1.一种面向网络安全事件的证据链生成方法,其特征在于,包括:S1,获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;S2,对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;S3,对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;S4,对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;S5,提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。2.根据权利要求1所述的方法,其特征在于,所述步骤S3进一步包括:S31,基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;S32,构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;S33,基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;S34,基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。3.根据权利要求1所述的方法,其特征在于,S1中所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括:利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。4.根据权利要求1所述的方法,其特征在于,所述步骤S2进一步包括:利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。5.根据权利要求1所述的方法,其特征在于,S5中将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括:采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式...
【专利技术属性】
技术研发人员:刘银龙,吴荻,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。