【技术实现步骤摘要】
基于关联图的异常分析方法及装置
[0001]本专利技术涉及数据识别
,具体而言,涉及一种基于关联图的异常分析方法及装置。
技术介绍
[0002]随着网络技术的发展,在网络攻击发生时,系统会产生大量的异常。在系统流量方面,会产生流量分析相关的异常,在系统应用方面,会产生应用日志异常,在系统本身的运行方面,会产生系统审计日志异常。对异常数据的识别是维护网络安全的必要手段,而大多数异常数据存在关联,需要对异常数据关联后进行评估分析确定异常。
[0003]在现有技术中,通过将多个厂家的不同设备产生的异常进行聚合,获得聚合异常,将不同维度的安全信息存储在单独的关系数据库中,根据安全信息对聚合异常行异常分析。由于各个维度之间的协调能力差,无法进行实时,准确的分析。另一种关联方法通过将异常按照规则关系,该方法需要依靠专家知识来构建,其效率以及准确度较低。在异常评估体系的应用方面,由于企业异常数据量大、异常关联复杂,现有的异常评估体系基于单一的分析体系,其分析聚合异常的准确性不高。
技术实现思路
[0004]本...
【技术保护点】
【技术特征摘要】
1.一种基于关联图的异常分析方法,其特征在于,包括:获取不同厂家不同设备的聚合异常;其中,所述聚合异常包括历史聚合异常以及当前聚合异常;根据历史聚合异常生成关联表;其中,所述关联表中存储每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常需要满足的属性约束;根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的当前关联图;其中,所述当前关联图包括多个节点,每个节点携带节点属性,每个节点与其父节点以及子节点存在关联边,每个关联边携带关联边属性,所述节点属性包括:同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离,所述关联边属性包括:关联边的父节点、子节点、节点的关联分数;在所述当前关联图中,按照威胁程度从大到小排序,选择前预设数量个威胁路径;将预设数量个威胁路径合并生成威胁图发送至服务器。2.根据权利要求1所述的异常分析方法,其特征在于,所述根据历史聚合异常生成关联表包括:计算每一个历史聚合异常的前置聚合异常发生后,该历史聚合异常的约束属性取值在其每一个前置聚合异常的约束属性的值域范围内,该历史聚合异常的发生概率;针对每一个历史聚合异常,选择发生概率最大对应的前置聚合异常,作为与历史聚合异常相关联的历史聚合异常;将每个历史聚合异常、每个历史聚合异常的类型、每个历史聚合异常的前置聚合异常、每个历史聚合异常在前置聚合异常发生后的窗口时间、每个历史聚合异常在其前置聚合异常下的发生概率、每个历史聚合异常及其前历史置聚合异常满足的约束属性、历史聚合异常之间的关联关系构成关联表。3.根据权利要求2所述的异常分析方法,其特征在于,所述根据所述关联表、在网络上每个历史聚合异常对应的设备网络拓扑图,构建包含所述当前聚合异常的关联图包括:根据所述关联表构建历史聚合异常的第一关联图;在所述第一关联图中确定是否存在,与所述当前聚合异常类型对应的节点;如果存在与所述当前聚合异常类型对应的节点,更新该节点的节点属性;如果不存在与所述当前聚合异常类型对应的节点,则根据在网络上每个历史聚合异常对应的设备网络拓扑图在所述关联图中创建新节点;确定与新节点关联的父节点,将新节点与父节点关联获得第二关联图;将所述第二关联图,确定为所述当前关联图。4.根据权利要求3所述的异常分析方法,其特征在于,所述根据所述关联表构建历史聚合异常的第一关联图包括:选择每个关联表中的每个历史聚合异常对应的节点;根据历史聚合异常之间的关联关系,将节点之间相连,形成第一关联图。5.根据权利要求4所述的异常分析方法,其特征在于,在根据历史聚合异常之间的关联
关系,将节点之间相连,形成第一关联图之后,所述异常分析方法还包括:将同一类型的历史聚合异常的ID、节点自身的添加时间、节点的每个子节点的添加时间、节点与父节点在网络拓扑图中的距离作为节点属性;将节点之间的连接边作为关联边,将关联边的父节点、子节点、节点的关联分数作为关联边属性。6.根据权利要求3所述的异常分析方法,其特征在于,所...
【专利技术属性】
技术研发人员:周博雅,万海,焦伟,严人宁,王兆阳,赵曦滨,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。