本说明书一个或多个实施例提供一种下一步攻击事件预测方法及相关设备,可用来预测电网中的下一步攻击事件,使用发生在电网的告警日志形成的攻击链为源数据,经过数据预处理,特征提取,模型选取与优化等流程,将从攻击链中提取的特征输入预测模型进行下一步攻击事件的预测。同时在攻击链的预处理过程中,针对电网数攻击链不均衡的问题提出了分层抽样的方法,在特征提取的过程中,改进了针对告警内容进行文本特征提取的方法。通过实验表明,该方法及使用该方法的的相关设备,在实际的预测过程中精确率和召回率已经分别达到84.90%和84.91%,达到了有效预测可能发生的攻击事件的效果。
【技术实现步骤摘要】
下一步攻击事件预测方法及相关设备
本专利技术涉及计算机
,特别是指一种下一步攻击事件预测方法及相关设备。
技术介绍
如今存在于互联网上的攻击,绝大部分都属于多步攻击。多步攻击事件的关联分析从冗杂低级的告警信息中提炼出了高级的安全事件,一个完整的多步攻击,步骤之间具有关联性,上一个步骤是下一个步骤发生的原因。一般地,对多步攻击步骤进行划分,可大致分为以下五个阶段:侦查阶段、漏洞扫描与分析阶段、获取权限阶段、保持权限实施攻击、消除痕迹阶段。在多步攻击事件的最初阶段,攻击者往往进行的是危害性较小的攻击行为,在多步攻击事件阶段的后期,攻击者往往进行的是危害性较大的攻击行为。现在常用的传统的入侵检测系统和防火墙系统只能向安全管理员报告一个单独的攻击行为,且缺少主动防御功能,这使得网络上的安全数据庞大冗杂,难以直接解读。由于存在大量的冗余信息且安全数据缺乏统一的标准,容易造成误报率较高的局限性,干扰了对真实攻击事件的有效识别。因此,近年来有关多源异构安全数据融合的研究成为热点,对于复杂的网络攻击来说,建立一个网络安全事件分析模型,对于管理和分析多源异构的网络安全数据至关重要,通过多源异构安全数据的分析和处理,可以反映出攻击事件的发生情况,从而对网络攻击进行预防,实现对整个网络安全态势的有效监控。
技术实现思路
有鉴于此,本说明书一个或多个实施例的目的在于提出一种下一步攻击事件预测方法及相关设备,以解决现有技术中面临的问题。基于上述目的,本说明书一个或多个实施例提供了一种下一步攻击事件预测方法,其步骤如下:分析电网告警日志生成攻击链,其中,使用电网内主机IP节点关联构建所述攻击链;对所述攻击链进行预处理,包括对所述攻击链进行过滤去重和特征提取,其中,通过所述特征提取操作获得所述攻击链的节点特征和事件特征;将提取到的所述节点特征和所述事件特征输入预测模型,由预测模型输出预测结果。可选的,预测模型通过随机森林算法训练得到,从待训练告警日志中分析生成待训练攻击链并进行所述预处理,对所述待训练攻击链进行分层划分,将所述待训练攻击链分为训练集和测试集;将提取的所述训练集的所述节点特征和所述事件特征输入所述随机森林算法进行训练,得到训练模型,将提取的所述测试集的所述节点特征和所述时间特征输入所述训练模型,计算所述训练模型的输出结果准确率,所述准确率达到预设阈值,所述训练模型即为所述预测模型;否则使用所述训练集的所述节点特征和所述事件特征对所述训练模型继续进行训练,调整优化所述训练模型,直至向优化后的所述训练模型输入所述测试集的所述节点特征和所述时间特征时,所述输出结果准确率达到所述预设阈值。基于同一专利技术构思,本说明书一个或多个实施例还提供了一种下一步攻击事件预测装置,包括:攻击链生成模块,分析电网告警日志生成所述攻击链,其中,使用电网内主机IP节点关联构建所述攻击链;特征提取模块,对所述攻击链进行预处理,包括对所述攻击链进行过滤去重和特征提取,其中,通过所述特征提取操作得到所述攻击链的节点特征和事件特征;预测模块,将提取到的所述节点特征和所述事件特征输入预测模型,观察预测模型输出的预测结果。基于同一专利技术构思,本说明书一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述的下一步攻击事件预测方法。基于同一专利技术构思,本说明书一个或多个实施例还提供了一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令在被计算机执行时,使所述计算机实现上述下一步攻击事件预测方法。从上面所述可以看出,本说明书一个或多个实施例提供的下一步攻击事件预测方法及相关设备,能够针对电网中发生的多步攻击事件,提出了针对多步攻击事件的下一步攻击事件预测模型,对电网中有可能发生的重大攻击事件进行预测,电网技术人员可以针对模型输出的预测结果做好防范措施,从而防止电网系统遭受重大损失。本说明书一个或多个实施例提供的下一步攻击事件预测方法及相关设备以发生在电网的告警日志形成的攻击链为源数据,经过数据预处理,特征提取,模型选取与优化等流程,最终形成了泛化性能较好的下一步攻击事件预测模型,将从攻击链中提取的节点特征和时间特征输入预测模型,预测模型处理特征后输出预测结果。同时在攻击链的预处理过程中,针对电网数攻击链不均衡的问题提出了分层抽样的方法,在特征提取的过程中,改进了针对告警内容进行文本特征提取的方法。实验表明,该预测模型的精确率和召回率已经分别达到84.90%和84.91%,达到了有效预测可能发生的攻击事件的效果。附图说明为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本说明书一个或多个实施例提供的下一步攻击事件预测方法步骤图;图2为本说明书一个或多个实施例提供的攻击链生成流程图;图3为本说明书一个或多个实施例提供的预测模型训练步骤图;图4为本说明书一个或多个实施例提供的攻击链示意图;图5为本说明书一个或多个实施例提供的下一步攻击事件预测装置的结构图;图6为本说明书一个或多个实施例提供的能够实现下一步攻击事件预测方法的电子设备示意图。具体实施方式为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。如
技术介绍
部分所述,传统的入侵检测系统和防火墙系统只能向安全管理员报告一个单独的攻击行为,且缺少主动防御功能,这使得网络上的安全数据庞大冗杂,难以直接解读。由于存在大量的冗余信息且安全数据缺乏统一的标准,容易造成误报率较高的局限性,干扰了对真实攻击事件的有效识别。对多步攻击事件的预测达不到很好的效果。为了解决现有技术面临的问题,本说明书一个或多个实施例提供了一种下一步攻击事件预测方法及相关设备。通过对电网告警日志分析的分析结果生成攻击链,对攻击链去重后进行特征提取,获得攻击链的节点特征和事件特征,将两种特征输入优化好的预测模型进行预测,并根据模型得出的预测结果进行分析判断。其中,预测模型为使用从待训练的告警日志中的攻击链提取的特征采用随机森林算法训练得到的,这种方法能够较好的预测多步攻击事件中的下一步攻击事件,为技术人员提供帮助。参考图1,本说明书一个或多个实施本文档来自技高网...
【技术保护点】
1.一种下一步攻击事件预测方法,其特征在于,包括:/n分析电网告警日志生成攻击链;其中,使用电网内主机IP节点关联构建所述攻击链;/n对所述攻击链进行过滤去重和特征提取;其中,通过所述特征提取操作获得所述攻击链的节点特征和事件特征;/n将提取到的所述节点特征和所述事件特征输入预测模型,由预测模型输出预测结果。/n
【技术特征摘要】
1.一种下一步攻击事件预测方法,其特征在于,包括:
分析电网告警日志生成攻击链;其中,使用电网内主机IP节点关联构建所述攻击链;
对所述攻击链进行过滤去重和特征提取;其中,通过所述特征提取操作获得所述攻击链的节点特征和事件特征;
将提取到的所述节点特征和所述事件特征输入预测模型,由预测模型输出预测结果。
2.根据权利要求1所述的方法,其特征在于,所述分析电网告警日志生成攻击链,包括:
分析所述告警日志,由主机的IP节点关联构建攻击树;
对所述攻击树进行聚合处理得到初始攻击链;
对所述初始攻击链进行剪枝和降噪得到所述攻击链。
3.根据权利要求2所述的方法,其特征在于,对所述攻击链过滤去重,包括:
循环遍历每一条所述攻击链并记录每一条所述攻击链中第一个告警事件的发生时间;
将所述发生时间分别与其对应的每一条所述攻击链的生产窗口开始时间进行比较,若不相等,则去除该条所述攻击链。
4.根据权利要求3所述的方法,其特征在于,对所述攻击链特征提取,包括:
将所述攻击链抽象为向量集,采用文本特征提取函数将所述向量集抽象为独热编码,将所述独热编码作为所述节点特征;
记录在所述电网告警日志中的重点事件和重点主机,作为所述事件特征。
5.根据权利要求4所述的方法,其特征在于,所述预测模型通过随机森林算法训练得到,包括:
从待训练告警日志中分析生成待训练攻击链并进行所述预处理,对所述待训练攻击链进行分层划分,将所述待训练攻击链分为训练集和测试集;
将提取的所述训练集的所述节点特征和所述事件特征输入所述随机森林算法进行训练,...
【专利技术属性】
技术研发人员:李泽科,多志林,陈泽文,王森淼,赵梓伦,涂腾飞,林静怀,金正平,梁野,张华,徐志光,肖飞,秦素娟,
申请(专利权)人:国网福建省电力有限公司,国网电力科学研究院有限公司,北京科东电力控制系统有限责任公司,国网上海市电力公司,北京邮电大学,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。