本申请实施例公开了一种网络安全报警归并方法、装置及存储介质,其中网络安全报警归并方法包括步骤:获取安全报警的请求头,请求头包括请求头字段和请求头内容,从请求头字段中抽取顶级布局特征;对请求头内容进行预解码,以使请求头内容统一化;将预解码后的请求头内容进行分词,对得到的第一单词按照对应的第一单词词向量的顺序进行混编,得到二级布局特征;获取安全报警的请求体,对请求体进行处理,得到请求体布局特征;将请求头的顶级布局特征、二级布局特征和/或请求体布局特征与对应的历史安全报警特征数据进行距离计算,得到相似度,根据相似度和预设相似度阈值对安全报警进行归并。警进行归并。警进行归并。
【技术实现步骤摘要】
一种网络安全报警归并方法、装置及存储介质
[0001]本申请涉及网络安全
,具体涉及一种网络安全报警归并方法、装置及存储介质。
技术介绍
[0002]在信息安全防护领域中,用户会部署各类异构的安全产品,以应对和互相印证各类攻击,以免导致仅使用单一设备而带来的误报或漏洞,比较常用的安全产品包括第二代网络防火墙、Web应用防火墙(Web Application Firewall,简称为WAF)、入侵检测/防护系统(IDS/IPS)、流量分析系统(Network Traffic Analysis,简称NTA)等网络攻击检测或防护系统,它们或多或少地会内嵌一些常见或针对0
‑
Day/N
‑
Day漏洞攻击的特征规则;这会带来的问题是,针对同一网络攻击,这些设备可能会报出不同名称甚至类型的告警,这为安全管理人员或安全监控人员带来困惑。
[0003]安全态势感知系统或安全态势感知平台统一会收集上述产品或设备的安全攻击告警并进行统一的规格化,在可能的情况下,安全态势感知系统还会进行某种方式的归并以缓解告警风暴,但这些归并的规则一般被预置为比较简单的形式,主要就是通过网络会话的五元组(源地址、目的地址、源端口、目的端口以及网络传输层协议,虽然源端口是随机的,但在一定时间范围内它们是相同的),再加上安全报警的名称。
[0004]上述的简单安全报警归并方法,在大多数情况下一般只能将同种设备的同种告警进行合并,但仅能起到减少报警数量的目的,但无法真正跨不同产品的报警进行合并,也无法区分在同一报警名称的情况下,攻击手法存在较大差异的问题,如安全告警都是“可能的SQL注入攻击”,但在不同的情形下使用的SQL注入手法完全不同(如使用不同的SQL语句组合甚至使用一些内置的存储过程等),而识别这些不同的攻击手法,对于甄别黑客所用工具或黑客组织存在重要意义,尤其针对在日常安全运维的场景下,Web攻击的种类归并处理是我们亟需解决的问题。
技术实现思路
[0005]本申请实施例的目的在于提供一种网络安全报警归并方法、装置及存储介质,用以解决现有技术中的安全报警归并方法只能将同种设备的同种告警进行合并,仅能起到减少报警数量的目的,无法真正跨不同产品的报警进行合并,也无法区分在同一报警名称的情况下,攻击手法存在较大差异的问题。
[0006]为实现上述目的,本申请实施例提供一种网络安全报警归并方法,包括步骤:获取安全报警的请求头,所述请求头包括请求头字段和请求头内容,从所述请求头字段中抽取顶级布局特征;对所述请求头内容进行预解码,以使所述请求头内容统一化;将预解码后的所述请求头内容进行分词,对得到的第一单词按照对应的第一单词词向量的顺序进行混编,得到二级布局特征;
获取所述安全报警的请求体,对所述请求体进行处理,得到请求体布局特征;将所述请求头的所述顶级布局特征、所述二级布局特征和/或所述请求体布局特征与对应的历史安全报警特征数据进行距离计算,得到相似度,根据所述相似度和预设相似度阈值对所述安全报警进行归并。
[0007]可选地,从所述请求头字段中抽取所述顶级布局特征的方法包括:对所述请求头字段的类型进行分截,按照分截后的所述请求头字段的顺序进行编码,得到所述顶级布局特征。
[0008]可选地,所述二级布局特征包括第一二级布局特征和/或第二二级布局特征,所述第一二级布局特征根据攻击特征简约指纹库的编码顺序对所述第一单词进行排列后得到,所述第二二级布局特征根据不在所述攻击特征简约指纹库中的所述第一单词词向量的编码顺序进行排序后得到。
[0009]可选地,还包括:建立所述攻击特征简约指纹库,建立所述攻击特征简约指纹库的方法包括:根据基础的攻击特征建立若干攻击指纹,针对所述攻击指纹的类型建立对应的第二单词词向量,得到所述攻击特征简约指纹库。
[0010]可选地,所述攻击指纹包括针对目标系统的弱点进行渗透的指令、命令或代码片段;所述第二单词词向量的组织方式为:signature={<c,w>}其中,signature为所述攻击指纹,c为第二单词词向量类型,而w为所述攻击指纹所对应的第二单词的对应编码,采用独热(One
‑
hot)方式编码。
[0011]可选地,对所述请求体进行处理,得到所述请求体布局特征的方法包括:判断所述请求体的类型,所述请求体的类型包括数据、命令和程序片段;若所述请求体的类型为所述数据,则进行标识后得到所述请求体布局特征;若所述请求体的类型为所述命令,则根据所述攻击特征简约指纹库将所述命令变换为第三单词词向量,得到所述请求体布局特征;若所述请求体的类型为所述程序片段,则将所述程序片段中的代码转换成抽象语法树形成代码片段比较单元,得到所述请求体布局特征。
[0012]可选地,根据所述相似度通过计算获取整体相似度,所述整体相似度的公式为:Simularity(a1,a2)=其中,Simularity为整体相似度,a1和a2分别为所述历史安全报警和当前的所述安全警报,w
i
为所述请求头的所述顶级布局特征、所述第一二级布局特或第二二级布局特征对应的所述相似度的权重,s
i
为所述请求头的所述顶级布局特征、所述第一二级布局特或第二二级布局特征对应的所述相似度的值,为控制参数,0<<1,w4为所述请求体布局特征对应的所述相似度的权重,为所述请求体布局特征对应的所述相似度的值;将所述整体相似度与所述预设相似度阈值进行比较,超过所述预设相似度阈值的所述整体相似度所对应的所述安全报警归并为一类。
[0013]可选地,还包括:获取所述安全报警的元数据,所述元数据包括网络五元组信息、
报警名称、报警分类、严重程度、初步分类信息。
[0014]为实现上述目的,本申请还提供一种网络安全报警归并装置,包括:存储器;以及与所述存储器连接的处理器,所述处理器被配置成:获取安全报警的请求头,所述请求头包括请求头字段和请求头内容,从所述请求头字段中抽取顶级布局特征;对所述请求头内容进行预解码,以使所述请求头内容统一化;将预解码后的所述请求头内容进行分词,对得到的第一单词按照对应的第一单词词向量的顺序进行混编,得到二级布局特征;获取所述安全报警的请求体,对所述请求体进行处理,得到请求体布局特征;将所述请求头的所述顶级布局特征、所述二级布局特征和/或所述请求体布局特征与对应的历史安全报警特征数据进行距离计算,得到相似度,根据所述相似度和预设相似度阈值对所述安全报警进行归并。
[0015]为实现上述目的,本申请还提供一种计算机存储介质,其上存储有计算机程序,其中所述计算机程序被机器执行时实现如上所述的方法的步骤。
[0016]本申请实施例具有如下优点:1.本申请实施例提供一种网络安全报警归并方法,包括步骤:获取安全报警的请求头,所述请求头包括请求头字段和请求头内容,从所述请求头字段中抽取顶级布局特征;对所述请求头内容进行预解码,以使所述请求头内容统一化;将预解码后的所述本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全报警归并方法,其特征在于,包括以下步骤:获取安全报警的请求头,所述请求头包括请求头字段和请求头内容,从所述请求头字段中抽取顶级布局特征;对所述请求头内容进行预解码,以使所述请求头内容统一化;将预解码后的所述请求头内容进行分词,对得到的第一单词按照对应的第一单词词向量的顺序进行混编,得到二级布局特征;获取所述安全报警的请求体,对所述请求体进行处理,得到请求体布局特征;将所述请求头的所述顶级布局特征、所述二级布局特征和/或所述请求体布局特征与对应的历史安全报警特征数据进行距离计算,得到相似度,根据所述相似度和预设相似度阈值对所述安全报警进行归并。2.根据权利要求1所述的网络安全报警归并方法,其特征在于,从所述请求头字段中抽取所述顶级布局特征的方法包括:对所述请求头字段的类型进行分截,按照分截后的所述请求头字段的顺序进行编码,得到所述顶级布局特征。3.根据权利要求1所述的网络安全报警归并方法,其特征在于,所述二级布局特征包括第一二级布局特征和/或第二二级布局特征,所述第一二级布局特征根据攻击特征简约指纹库的编码顺序对所述第一单词进行排列后得到,所述第二二级布局特征根据不在所述攻击特征简约指纹库中的所述第一单词词向量的编码顺序进行排序后得到。4.根据权利要求3所述的网络安全报警归并方法,其特征在于,还包括:建立所述攻击特征简约指纹库,建立所述攻击特征简约指纹库的方法包括:根据基础的攻击特征建立若干攻击指纹,针对所述攻击指纹的类型建立对应的第二单词词向量,得到所述攻击特征简约指纹库。5.根据权利要求4所述的网络安全报警归并方法,其特征在于,所述攻击指纹包括针对目标系统的弱点进行渗透的指令、命令或代码片段;所述第二单词词向量的组织方式为:signature={<c,w>}其中,signature为所述攻击指纹,c为第二单词词向量类型,而w为所述攻击指纹所对应的第二单词的对应编码,采用独热方式编码。6.根据权利要求3所述的网络安全报警归并方法,其特征在于,对所述请求体进行处理,得到所述请求体布局特征的方法包括:判断所述请求体的类型,所述请求体的类型包括数据、命令和程序片段;若所述请求体的类型为所述数据,则进行标识后得到所述请求体布局特征;若所述请求体的类型为所述命令,则根...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:南京聚铭网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。