【技术实现步骤摘要】
一种基于多源告警日志压缩的攻击路径建模方法及系统
[0001]本专利技术涉及网络安全领域,具体涉及一种基于多源告警日志压缩的攻击路径建模方法及系统。
技术介绍
[0002]为了监测可能发生的网络攻击事件,当前技术在通讯网络中部署多种网络安全引擎获取告警日志。网络维护人员可以通过分析多种类型的告警日志,查找其中存在的网络攻击事件及攻击路径,以便完成对通讯网络的维护管理。然而,随着通讯网络中网络安全引擎的种类和数量不断增加,同时大量开源漏洞利用代码以及自动化攻击工具广泛利用,网络安全引擎每天都会产生海量的告警日志。其次,多网络安全引擎源由于检测原理的不同,所产生的告警日志的属性结构也存在这一定的差异性。海量的多源告警日志会对网络攻击事件及攻击路径分析过程产生巨大的软硬件资源消耗,日志中异构化属性和冗余属性也无疑加大了分析的难度。
[0003]多网络安全引擎源产生告警日志的压缩筛选对整个攻击路径分析过程来说是必不可少的。但是,由于攻击路径分析高度依赖前后关系,如果某一个或几个攻击阶段被丢弃,那么对于这条攻击路径整体攻击的连...
【技术保护点】
【技术特征摘要】
1.一种基于多源告警日志压缩的攻击路径建模方法,其特征在于,包括:步骤S1:收集多个网络安全引擎源产生的告警日志,并对其进行预处理操作,得到预处理后告警日志,其中,所述网络安全引擎源包括:受控流量检测引擎、CVE漏洞流量检测引擎和恶意DNS流量检测引擎;步骤S2:分别计算同源安全引擎产生的所述预处理后告警日志间的相似度,将高于阈值的所述预处理后告警日志聚类合并到同一个簇,形成网络攻击事件;步骤S3:对多源安全引擎聚合产生的所述网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据所述网络攻击事件发生的状态以及攻击威胁程度,对所述压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件;步骤S4:对所述压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径;步骤S5:利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分,根据打分情况对攻击路径的全链路进行推荐评估。2.根据权利要求1所述的基于多源告警日志压缩的攻击路径建模方法,其特征在于,所述步骤S2:分别计算同源安全引擎产生的所述预处理后告警日志间的相似度,将高于阈值的所述预处理后告警日志聚类合并到同一个簇,形成网络攻击事件,具体包括:步骤S21:利用下述公式计算同源安全引擎产生的所述预处理后告警日志间的各个属性的相似度,所述属性包括:IP地址、端口、日志编号、设备类型、事件相关信息以及时间;其中,w
i
为第i个属性的权重,n为属性个数,X
i
为日志X的第i个属性,Y
i
为日志Y的第i个属性;步骤S22:确定相似度阈值,将高于所述相似度阈值的所述预处理后告警日志聚类合并到同一个簇;步骤S23:对簇内的所述预处理后告警日志进行合并生成网络攻击事件。3.根据权利要求2所述的基于多源告警日志压缩的攻击路径建模方法,其特征在于,所述步骤S3:对多源安全引擎聚合产生的所述网络攻击事件,基于时间连续性及攻击连续性进行关联压缩,得到压缩后网络攻击事件;并根据所述网络攻击事件发生的状态以及攻击威胁程度,对所述压缩后网络攻击事件进行置信打分,得到压缩打分后的网络攻击事件,具体包括:步骤S31:根据同类型所述网络攻击事件的时间状态进行压缩,基于攻击在时间连续性上进行关联分析,当攻击IP、被攻击IP、攻击类型相同,攻击时间间隔小于系统规定的时间间隔Δt,进行合并压缩;步骤S32:根据不同攻击类型所述网络攻击事件的连续性的状态进行压缩,基于攻击在攻击连续性上的关联分析,当攻击IP、被攻击IP相同,攻击时间间隔小于系统规定的时间间隔Δt,攻击类型前者对后者构成包含时,进行合并压缩;步骤S33:对于压缩后网络攻击事件基于改进的D
‑
S证据理论进行置信打分,得到压缩打分后的网络攻击事件。
4.根据权利要求3所述的基于多源告警日志压缩的攻击路径建模方法,其特征在于,所述步骤S4:对所述压缩打分后的网络攻击事件,使用时间Petri网络进行攻击图构建,通过节点状态表进行攻击建模,还原输出攻击节点到目标节点所有可能的攻击路径,具体包括:步骤S41:按照时间对所述压缩打分后的网络攻击事件进行排序;步骤S42:初始化主时间Petri网络;步骤S43:按时间输入攻击IP和被攻击IP作为节点进行迭代;步骤S44:当所述节点发生状态变迁...
【专利技术属性】
技术研发人员:桑亚飞,李想,吕坤,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。