一种基于信息熵的子图模糊匹配安全事件识别方法技术

本发明专利技术公开了一种基于信息熵的子图模糊匹配安全事件识别方法，其步骤包括：告警事件语义图模型构建；定义告警事件的基本语义要素，构建告警事件语义图模型；告警事件格式化处理；定义告警事件关联图；将一个告警事件定义为告警事件关联图中一个节点，将告警事件之间的关系作为告警事件关联图中的连接边，构建告警事件关联图的各个节点之间的连接边；将新输入的告警事件添加到告警事件关联图中；构建安全事件语义图模型；基于信息熵的子图模糊匹配安全事件递归识别。本发明专利技术综合应用告警的图关联关系中有价值的关联信息进行联动推断，进一步提升多步攻击和关联告警的挖掘能力以及降低误报率，实现了网络安全事件的快速感知识别。别。别。

【技术实现步骤摘要】
一种基于信息熵的子图模糊匹配安全事件识别方法


[0001]本专利技术属于网络安全
，尤其涉及一种基于信息熵的子图模糊匹配安全事件识别方法。

技术介绍

[0002]安全事件识别主要是从海量、离散、多源的告警事件中，通过对告警事件间的关联分析、隐含关系挖掘等方法，还原复杂的攻击步骤。安全事件的识别主要负责实现对网络攻击事件执行步骤的还原，将能够表示复杂攻击场景的告警事件有序组合到一起。
[0003]目前，网络安全事件识别方法中，第一类方法是关于告警因果关系的挖掘，当前多数方法是基于单一告警进行因果关系的推断研判，针对攻击者日益复杂的攻击手段和多手段协同模式，基于单一来源的告警推断难以应对各类复杂多步攻击场景，并对告警的因果关系无法做出全面挖掘和深度分析；第二类方法是基于攻击图的事件识别方法，由于攻击图内部要素的相关性和攻击图数据规模庞大带来的分析效率低下问题，需要把攻击图拆分成路径集合，来减弱其对匹配知识数据的依赖性，但该类方法会给告警分析带来大量的复制开销，该类方法中告警的漏报和误报会带来大量冗余路径误报，且难以有效应对事件攻击图的局部更新情况。

技术实现思路

[0004]针对网络空间日益复杂的攻击行为、海量告警关系挖掘中告警的漏报和误报，以及攻击行为关联图计算效率低的问题，本专利技术公开了一种基于信息熵的子图模糊匹配安全事件识别方法。
[0005]本专利技术公开了一种基于信息熵的子图模糊匹配安全事件识别方法，其具体步骤包括：
[0006]S1，告警事件语义图模型构建；获取告警事件，定义告警事件的基本语义要素，构建告警事件语义图模型，告警事件语义图模型基于告警事件的六元组来进行构建，告警事件语义图模型包括节点和连接边，每个节点分别表示告警事件的具体六元组的值，连接边表示具体六元组与告警事件的所属关系，告警事件基本语义要素用于告警事件标签的定义和告警事件之间关系权重值的计算；告警事件的基本语义要素为告警事件名称、属性集合、告警事件类型、前提事件、结果事件和告警事件发生时间的集合，告警事件的表达式为六元组Alert＝{Name,ProSet,Type,PreCond,PostEff,Time}，其中，Name表示告警事件名称，Type表示告警事件类型，PreCond和PostEf分别表示告警事件发生的前提事件和结果事件，Time表示告警事件发生时间，属性集合ProSet表示为ProSet＝<S,T,A,V>，其中，S表示攻击源(Source)，T表示攻击目标(Target)，A表示攻击工具(Attacker)，V表示脆弱点(Vulnerability)。告警事件语义图模型中各连接边上的权重值为属性关联时间窗t，属性关联时间窗表示告警事件的发生时间Time与告警事件的其他各属性值的采集时间的时间差。
[0007]S2，告警事件格式化处理；将获取的各类告警事件，通过数据解析处理，转化为告警事件的六元组表达式形式，作为后续告警事件关联图构建的告警事件数据输入。
[0008]S3，定义告警事件关联图；告警事件关联图表达为二元组G＝(V，E)，其中，集合V＝{v1,v2,...,v
n
},集合V表示告警事件关联图中的节点集合，v1,v2,...,v
n
表示告警事件关联图中的节点，n为告警事件关联图中节点的数目，集合E＝{e1,e2,...,e
m
}，集合E表示告警事件关联图中的连接边集合，e1,e2,...,e
m
表示告警事件关联图中的连接边，m为告警事件关联图中连接边的数目。将一个告警事件定义为告警事件关联图中一个节点，将告警事件之间的关系作为告警事件关联图中的连接边，基于告警事件之间的多维相似性关系、前序关系和后续关系，构建告警事件关联图的各个节点之间的连接边。其中，所述的前序关系是指某一告警事件为当前告警事件的前提事件(PreCond)，且该两个告警事件发生时间(Time)属性值的差值在固定的阈值范围内；所述的后续关系是指某一告警事件为当前告警事件的结果事件(PostEf)，且该两个告警事件发生时间(Time)属性值的差值在固定的阈值范围内；所述的多维相似性关系是指两个告警事件的属性集合(ProSet)和告警事件类型Type具体值的相似程度，以及告警事件发生时间(Time)属性值的差值。
[0009]S4，将新输入的告警事件添加到告警事件关联图中；对新输入到告警事件关联图中的告警事件，基于告警事件的前提事件(PreCond)、结果事件(PostEf)和告警事件发生时间(Time)，通过计算当前告警事件与事件关联图中告警事件之间的前序关系和后续关系，得到与该新输入告警事件具有前序关系和后续关系的告警事件；基于告警事件的属性集合(Proset)、告警事件类型(Type)和告警发生时间(Time)，通过计算当前告警事件与事件关联图中告警事件之间的多维相似性关系，得到与该新输入告警事件具有多维相似性关系的告警事件。其中，两件告警事件之间多维相似关系的计算，具体包括两件告警事件的告警事件类型Type、攻击源S、攻击目标T、攻击工具A、脆弱点V的相似程度的计算。
[0010]S5，构建安全事件语义图模型；安全事件语义图模型表示为二元组G'＝(V'，E')，其中，集合V'＝{v'1,v'2,...,v'
n
}，集合V
′
表示安全事件语义图模型中的告警事件节点的集合，集合E'＝{e'1,e'2,...,e'
n
}，集合E
′
表示安全事件语义图模型中的连接边。将告警事件作为安全事件语义图模型中的节点，将各告警事件之间的多维相似性关系、前序关系和后续关系作为安全事件语义图模型中的连接边，完成安全事件语义图模型的构建，利用该安全事件语义图模型表示一次完整的安全事件。根据安全事件语义图模型和告警事件关联图中告警事件之间的关联关系，构建已知典型安全事件的事件语义图模型，作为安全事件识别的种子集合，利用已知典型安全事件的事件语义图模型来构建安全事件语义图模型库；
[0011]S6，基于信息熵的子图模糊匹配安全事件递归识别；利用安全事件语义图模型库中的安全事件语义图模型构成安全事件语义图模型集合，作为从告警事件关联图中识别安全事件的初始种子集合，采用基于信息熵的子图模糊匹配安全事件识别方法，从告警事件关联图中识别安全事件，完成第一轮的安全事件的识别；然后利用新识别的安全事件，构建相应的安全事件语义图模型，将该安全事件语义图模型作为新的安全事件语义图模型集合，完成安全事件语义图模型集合的更新，并将该更新的安全事件语义图模型集合重新作为种子集合，采用基于信息熵的子图模糊匹配安全事件识别方法，继续从告警事件关联图中识别安全事件，重复以上步骤，直至无法从当前的告警事件关联图中识别出新的安全事
件为止。
[0012]步骤S6所述的基于信息熵的子图模糊匹配安全事件识别方法，采用子图匹配方法对已知安全事件的安全事件语义图模型与告警事件关联图所包本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于信息熵的子图模糊匹配安全事件识别方法，其特征在于，其具体步骤包括：S1，告警事件语义图模型构建；获取告警事件，定义告警事件的基本语义要素，构建告警事件语义图模型，告警事件语义图模型基于告警事件的六元组来进行构建，告警事件语义图模型包括节点和连接边，每个节点分别表示告警事件的具体六元组的值，连接边表示具体六元组与告警事件的所属关系，告警事件基本语义要素用于告警事件标签的定义和告警事件之间关系权重值的计算；告警事件的基本语义要素为告警事件名称、属性集合、告警事件类型、前提事件、结果事件和告警事件发生时间的集合，告警事件的表达式为六元组Alert＝{Name,ProSet,Type,PreCond,PostEff,Time}，其中，Name表示告警事件名称，Type表示告警事件类型，PreCond和PostEf分别表示告警事件发生的前提事件和结果事件，Time表示告警事件发生时间，属性集合ProSet表示为ProSet＝<S,T,A,V>，其中，S表示攻击源，T表示攻击目标，A表示攻击工具，V表示脆弱点；告警事件语义图模型中各连接边上的权重值为属性关联时间窗t，属性关联时间窗表示告警事件的发生时间Time与告警事件的其他各属性值的采集时间的时间差；S2，告警事件格式化处理；将获取的各类告警事件，通过数据解析处理，转化为告警事件的六元组表达式形式，作为后续告警事件关联图构建的告警事件数据输入；S3，定义告警事件关联图；告警事件关联图表达为二元组G＝(V，E)，其中，集合V＝{v1,v2,...,v
n
},集合V表示告警事件关联图中的节点集合，v1,v2,...,v
n
表示告警事件关联图中的节点，n为告警事件关联图中节点的数目，集合E＝{e1,e2,...,e
m
}，集合E表示告警事件关联图中的连接边集合，e1,e2,...,e
m
表示告警事件关联图中的连接边，m为告警事件关联图中连接边的数目；将一个告警事件定义为告警事件关联图中一个节点，将告警事件之间的关系作为告警事件关联图中的连接边，基于告警事件之间的多维相似性关系、前序关系和后续关系，构建告警事件关联图的各个节点之间的连接边；所述的前序关系是指某一告警事件为当前告警事件的前提事件，且该两个告警事件发生时间属性值的差值在固定的阈值范围内；所述的后续关系是指某一告警事件为当前告警事件的结果事件，且该两个告警事件发生时间属性值的差值在固定的阈值范围内；所述的多维相似性关系是指两个告警事件的属性集合和告警事件类型Type具体值的相似程度，以及告警事件发生时间属性值的差值；S4，将新输入的告警事件添加到告警事件关联图中；对新输入到告警事件关联图中的告警事件，基于告警事件的前提事件、结果事件和告警事件发生时间，通过计算当前告警事件与事件关联图中告警事件之间的前序关系和后续关系，得到与该新输入告警事件具有前序关系和后续关系的告警事件；基于告警事件的属性集合、告警事件类型和告警发生时间，通过计算当前告警事件与事件关联图中告警事件之间的多维相似性关系，得到与该新输入告警事件具有多维相似性关系的告警事件；两件告警事件之间多维相似关系的计算，具体包括两件告警事件的告警事件类型Type、攻击源S、攻击目标T、攻击工具A、脆弱点V的相似程度的计算；S5，构建安全事件语义图模型；S6，基于信息熵的子图模糊匹配安全事件递归识别。2.如权利要求1所述的基于信息熵的子图模糊匹配安全事件识别方法，其特征在于，所述的步骤S5，其具体包括：
安全事件语义图模型表示为二元组G'＝(V'，E')，其中，集合V'＝{v
′1,v
′2,...,v

【专利技术属性】
技术研发人员：任传伦，郭世泽，乌吉斯古愣，俞赛赛，刘晓影，刘文瀚，谭震，王淮，张先国，
申请(专利权)人：中国电子科技集团公司第三十研究所中电科网络空间安全研究院有限公司，
类型：发明
国别省市：