【技术实现步骤摘要】
本专利技术属于工业互联网告警日志关联分析领域,特别涉及一种基于复杂子图拆分的告警社群划分方法、系统及设备。
技术介绍
1、随着信息化时代的飞速发展,工业互联网的智能化、信息化、自动化水平越来越高,大量的用户和智能终端设备加入到工业互联网中,极大地提高了工作效率。然而由于工业互联网边界的延伸,其面临的安全威胁层出不穷。尽管大多数工业互联网系统已经部署了安全防护设备,但是由于安全防护设备存在误报率高、冗余度高的固有缺陷,系统中的安全告警呈现出数量过大、误报率高、多源异构等特点。恶意攻击行为与系统误报混在一起,工作人员难以快速识别真实的告警信息,工作量大大增加,且无法及时对系统威胁做出有效应对,安全事件发生的概率大大增加,面临的问题主要有以下三点:
2、(1)告警数量过大,分析成本高,远超安全工作人员的处理能力。
3、(2)有效告警数据少,误报率高,工作人员很难及时的发现并处理真实的恶意告警,很可能造成真实攻击逃逸。
4、(3)各厂商的入侵检测系统互相独立,信息的关联性较差,工作人员无法进行关联分析,导致部分高危事件难以被发现。
5、针对上述问题,大量基于社群划分的告警分析方法被提出。然而现有的社群划分方法主要考虑网络的拓扑特征和紧密型结构,缺少业务场景的可扩展性,划分结果的可解释性较差,无法满足工业互联网告警日志关联分析的需求。
技术实现思路
1、本专利技术的目的在于提供一种基于复杂子图拆分的告警社群划分方法、系统及设备,解决了现有的工业
2、为了达到上述目的,本专利技术采用的技术方案是:
3、本专利技术提供的一种基于复杂子图拆分的告警社群划分方法,包括以下步骤:
4、步骤1,将输入的多源异构网络告警日志进行预处理,得到告警数据集;
5、步骤2,根据得到的告警数据集构建告警日志关联图;
6、步骤3,将得到的告警日志关联图进行聚类划分,得到简单告警子图和复杂告警子图;
7、步骤4,利用简单告警子图对复杂告警子图进行初步拆分,得到拆分后的复杂告警子图;
8、步骤5,利用简单告警子图的定义对拆分后的复杂告警子图进行二次拆分,得到多个拆分后的简单告警子图;
9、步骤6,将得到的多个拆分后的简单告警子图进行合并,得到新的复杂告警子图。
10、优选地,步骤1中,将输入的多源异构网络告警日志进行预处理,得到告警数据集,具体方法是:
11、从输入的多源异构网络告警日志中每条网络告警日志对应的告警时间、告警源ip地址、源端口号、告警目的ip地址、目的端口号和告警攻击类型,得到每条网络告警日志对应的告警数据,进而得到告警数据集。
12、优选地,步骤2中,根据得到的告警数据集构建告警日志关联图,具体方法是:利用得到的告警数据集中告警源ip地址与告警目的ip地址之间的关联关系,将每条告警数据转化为一条有向边,进而构建得到告警日志关联图。
13、优选地,步骤3中,将得到的告警日志关联图进行聚类划分,得到简单告警子图和复杂告警子图,具体方法是:
14、利用集成聚类算法对得到的告警日志关联图进行聚类,得到多个告警子图;
15、根据告警子图的拓扑结构,将得到的多个告警子图划分为简单告警子图和复杂告警子图。
16、优选地,步骤4中,利用简单告警子图对复杂告警子图进行初步拆分,得到拆分后的复杂告警子图,具体方法是:
17、利用fp-tree算法对每个简单告警子图进行知识挖掘,得到每个简单告警子图对应的频繁项集;
18、从多个频繁项集中选取置信度大于预设置信度阈值的频繁项集,得到备用频繁项集;
19、将每个复杂告警子图的攻击类型与备用频繁项集进行相匹配,其中:
20、若匹配到已有的频繁项集,则按照频繁项集中的拓扑结构,将符合该拓扑结构的复杂告警子图重新划分为对应的拆分后的简单告警子图;
21、将匹配不到已有的频繁相集的复杂告警子图作为拆分后的复杂告警子图。
22、优选地,步骤5中,利用简单告警子图的定义对拆分后的复杂告警子图集进行二次拆分,得到多个拆分后的简单告警子图,具体方法是:
23、s501,遍历拆分后所有的复杂告警子图,任意选取一个复杂告警子图,分别按照该复杂告警子图的入度和出度大小对其所有节点进行排序,得到入度排序节点和出度排序节点;
24、s502,分别取入度排序节点和出度排序节点中度数最高的节点作为中心节点;
25、s503,判断该中心节点的度数是否大于预设阈值,其中,若该中心节点的度数大于预设阈值,则执行s504,否则执行s505;
26、s504,统计该中心节点所有的入度或出度对应的攻击类型,将出现次数最高的攻击类型对应的告警数据按照简单告警子图的定义划分为对应的拆分后的简单告警子图,并从复杂告警子图删除对应的告警数据,得到新复杂告警子图;
27、s505,判断新复杂告警子图中是否有剩余告警数据,若有,则将剩余的每条告警按照简单告警子图的定义为对应的拆分后的简单告警子图。
28、优选地,步骤6中,将得到的多个拆分后的简单告警子图进行合并,得到新的复杂告警子图,具体方法是:
29、将得到的多个拆分后的简单告警子图中的中心节点ip地址相同的简单告警子图进行合并;
30、将得到的多个拆分后的简单告警子图中的中心节点ip地址不相同,且至少一节点的ip地址重合度大于等于预设阈值的简单告警子图进行合并;
31、选取多个拆分后的简单告警子图中仅包含单条告警的简单告警子图,将得到的该类简单告警子图中节点ip地址相同的简单告警子图进行合并。
32、一种基于复杂子图拆分的告警社群划分系统,包括:
33、数据集获取单元,用于将输入的多源异构网络告警日志进行预处理,得到告警数据集;
34、关联图构建单元,用于根据得到的告警数据集构建告警日志关联图;
35、聚类划分单元,用于将得到的告警日志关联图进行聚类划分,得到简单告警子图和复杂告警子图;
36、初步拆分单元,用于利用简单告警子图对复杂告警子图进行初步拆分,得到拆分后的复杂告警子图;
37、二次拆分单元,用于利用简单告警子图的定义对拆分后的复杂告警子图进行二次拆分,得到多个拆分后的简单告警子图;
38、合并单元,用于将得到的多个拆分后的简单告警子图进行合并,得到新的复杂告警子图。
39、一种基于复杂子图拆分的告警社群划分设备,包括处理器、以及能够在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述方法的步骤。
40、与现有技术相比,本专利技术的有益效果是:
41、本专利技术提供的一种基于复杂子图拆分的告警社群划分方法,以单中心同攻击类型社群的简本文档来自技高网...
【技术保护点】
1.一种基于复杂子图拆分的告警社群划分方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤1中,将输入的多源异构网络告警日志进行预处理,得到告警数据集,具体方法是:
3.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤2中,根据得到的告警数据集构建告警日志关联图,具体方法是:利用得到的告警数据集中告警源IP地址与告警目的IP地址之间的关联关系,将每条告警数据转化为一条有向边,进而构建得到告警日志关联图。
4.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤3中,将得到的告警日志关联图进行聚类划分,得到简单告警子图和复杂告警子图,具体方法是:
5.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤4中,利用简单告警子图对复杂告警子图进行初步拆分,得到拆分后的复杂告警子图,具体方法是:
6.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤5中,利用简单告警
7.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤6中,将得到的多个拆分后的简单告警子图进行合并,得到新的复杂告警子图,具体方法是:
8.一种基于复杂子图拆分的告警社群划分系统,其特征在于,包括:
9.一种基于复杂子图拆分的告警社群划分设备,包括处理器、以及能够在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-7中任一项所述方法的步骤。
...【技术特征摘要】
1.一种基于复杂子图拆分的告警社群划分方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤1中,将输入的多源异构网络告警日志进行预处理,得到告警数据集,具体方法是:
3.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤2中,根据得到的告警数据集构建告警日志关联图,具体方法是:利用得到的告警数据集中告警源ip地址与告警目的ip地址之间的关联关系,将每条告警数据转化为一条有向边,进而构建得到告警日志关联图。
4.根据权利要求1所述的一种基于复杂子图拆分的告警社群划分方法,其特征在于,步骤3中,将得到的告警日志关联图进行聚类划分,得到简单告警子图和复杂告警子图,具体方法是:
5.根据权利要求1所述的一种基于复杂子图拆分的告警社...
【专利技术属性】
技术研发人员:刘杨,罗子安,任泽华,阮高飞,张世龙,徐子森,姜宝翔,刘慧翔,杨欣雨,鲍远义,贺彤,刘烃,王云,
申请(专利权)人:西安交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。