【技术实现步骤摘要】
一种基于时序有向图的窃取信息线索提取与分段评估方法
本专利技术涉及互联网信息安全
,具体涉及一种基于时序有向图的窃取信息线索提取与分段评估方法。
技术介绍
随着国内信息化建设水平的不断提高,各机关单位逐步建立了单位内部办公网络或者行业专网,因各种原因,很多单位建设的办公网络不能与互联网进行联通。这些与互联网隔离的网络中往往会传输处理一些比较敏感的信息,成为敏感网络。针对这种网络中的信息安全防护就成了一个至关重要的课题。目前,针对内网的信息安全防护解决方案还比较单一,基本上都是基于传统互联网信息安全的防护手段来设计的方案。此类方案主要是针对内网中的病毒、恶意软件、系统漏洞等传统互联网设备的防护要求,对内网中的设备和系统进行安全加固与防护。并没有做到对敏感内网中的信息窃密泄密进行有针对性的加固和防护。这些传统监管手段在运行过程中会生成大量的管理日志、运行日志和告警信息,这些信息往往数据量较大,存在判断信息窃密泄密方面不能提供准确线索的问题。
技术实现思路
为了克服上述现有技术中的不足,本专利技术提供一种基于时序有向图的窃取信息线索提取与分段评估方法,以解决上述技术问...
【技术保护点】
1.一种基于时序有向图的窃取信息线索提取与分段评估方法,其特征在于,包括如下步骤:获取日志信息并在获取过程中对日志信息进行线索提取;将获取的日志线索进行有向串联分段,在确定的时间范围内,将网络内的所有线索形成一个有限的有向图;遍历有向图提取出信息窃取线索链;建立信息窃取评估函数对每一条线索链进行线索评估。
【技术特征摘要】
1.一种基于时序有向图的窃取信息线索提取与分段评估方法,其特征在于,包括如下步骤:获取日志信息并在获取过程中对日志信息进行线索提取;将获取的日志线索进行有向串联分段,在确定的时间范围内,将网络内的所有线索形成一个有限的有向图;遍历有向图提取出信息窃取线索链;建立信息窃取评估函数对每一条线索链进行线索评估。2.根据权利要求1所述的一种基于时序有向图的窃取信息线索提取与分段评估方法,其特征在于,步骤获取整个内网中的日志信息并在获取过程中对日志信息进行线索提取,包括:获取内网中各种防护和监管设备生成的海量日志数据;日志数据获取过程中对日志数据进行清洗和标注,形成范式化线索数据;根据窃密泄密事件的过程特征对获取的日志数据进行阶段划分;其中,按照内网攻击的行为习惯对攻击链模型进行优化,将日志数据划分为:意向阶段(A),准备阶段(B),行动阶段(C),掩盖阶段(D)。3.根据权利要求2所述的一种基于时序有向图的窃取信息线索提取与分段评估方法,其特征在于,步骤日志数据获取过程中对日志数据进行清洗和标注,形成范式化线索数据中,范式化线索数据至少要包含线索主体、关联属性、线索所属阶段和线索时间四方面的信息。4.根据权利要求3所述的一种基于时序有向图的窃取信息线索提取与分段评估方法,其特征在于,步骤日志数据获取过程中对日志数据进行清洗和标注,形成范式化线索数据,具体包括:按照SYSLOG日志传输标准进行日志接收;通过配置解析模板对接收到的日志进行解析和范式化;将范式化后的数据进行存储,形成以事件告警和日志为线索的不同阶段的日志线索集合项其中,事件线索A、B、C、D分别表示属于四个不同阶段的日志线索集合,E表示网络和用户环境中的所有日志线索。5.根据权利要求4所述的一种基于时序有向图的窃取信息线索提取与分段评估方法,其特征在于,步骤将范式化后的数据进行存储,形成以事件告警和日志为线索的不同阶段的日志线索集合中,所述集合中的线索至少应该包含两个关联属性和一个时间属性。6.根据权利要求4所述的一种基于时序有向图的窃取信息线索提取与分段评估方法,其特征在于,步骤将获取的日志线索进行有向串联分段,在确定的时间范围内,将网络内的所有线索形成一个有限的有向图,具体如下:将每个线索数据作为顶点,关联属性作为边,对选定时间内的所有线索数据进行...
【专利技术属性】
技术研发人员:李兴国,苗功勋,郑传义,王蒙,崔新安,张庆亮,
申请(专利权)人:山东中孚安全技术有限公司,中孚信息股份有限公司,北京中孚泰和科技发展股份有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。