【技术实现步骤摘要】
本专利技术属于网络安全领域,具体涉及一种基于知识图谱的告警信息处理和响应系统和方法。
技术介绍
1、近年来,网络安全威胁发生了巨大变化,apt(高级持续威胁)攻击事件、新兴威胁日益增加,传统基于人工管理的安全运营方式难以有效整合数据、工具、流程和人的专业知识,实现高效的网络安全防御和响应。2017年,gartner正式提出安全编排、自动化与响应(security orchestration,automation andresponse,简称soar)的定义,表示soar是一系列技术的集合,一种以安全编排和自动化为核心,将人、流程、技术和工具等内容进行整合的智能协作系统,能够收集不同来源的数据和警报信息,统一调度指挥可编排能力单位,实现标准化事件响应,提高网络安全时间响应的准确率和效率。soar主要包括告警管理、安全编排与自动化、案例管理和信息通报四大部分。安全编排与自动化是soar的核心,实现了安全能力的集成、安全流程的编排与自动化执行,包括预案管理、预案执行和应用管理功能。告警管理是soar的基础,帮助用户进一步对各类告警信息进行分析...
【技术保护点】
1.一种基于知识图谱的告警信息处理和响应系统,其特征在于,该系统包括:告警信息处理模块、告警响应模块和安全编排与自动化模块;
2.如权利要求1所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息处理模块基于告警信息生成两个知识图谱:领域型知识图谱和事件型知识图谱;领域型知识图谱用于挖掘分析历史告警信息的特征,形成告警信息专家知识库,指导生成告警信息逻辑规则以及告警响应规则的编排;事件型知识图谱基于当前接收的告警信息,进行知识抽取,获得实体、关系、属性告警信息的知识要素,利用知识融合和语义分歧技术自动化构建而成;在此基础上,利用事件型知识图谱进行...
【技术特征摘要】
1.一种基于知识图谱的告警信息处理和响应系统,其特征在于,该系统包括:告警信息处理模块、告警响应模块和安全编排与自动化模块;
2.如权利要求1所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息处理模块基于告警信息生成两个知识图谱:领域型知识图谱和事件型知识图谱;领域型知识图谱用于挖掘分析历史告警信息的特征,形成告警信息专家知识库,指导生成告警信息逻辑规则以及告警响应规则的编排;事件型知识图谱基于当前接收的告警信息,进行知识抽取,获得实体、关系、属性告警信息的知识要素,利用知识融合和语义分歧技术自动化构建而成;在此基础上,利用事件型知识图谱进行知识推理和关联分析,挖掘告警信息中隐含的特征信息,关联合并分散鼓励的告警关联图,进而准确判断该告警信息的类别和等级,指导启动对应的告警响应流程。
3.如权利要求2所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息采集单元,用于接收来自系统平台发出的告警信息,包括第三方安全防御产品、设备系统日志发出的告警信息,或者信息接收系统接收的外部模块的告警信息,提供给告警信息数据集和事件型知识图谱,其中,第三方安全防御产品包括:防火墙、入侵检测系统和态势感知平台。
4.如权利要求3所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息数据集,用于从外部获得开源的告警信息数据集,或者收集系统已经发生并进行处理的告警信息,清洗形成结构化的告警信息数据集,该数据集用于构建领域型知识图谱,形成专家知识库。
5.如权利要求4所述的基于知识图谱的告警信息处理和响应系统,其特征在于,领域型知识图谱,用于利用知识图谱相关技术,从多源告警数据中提取知识,快速构建出领域知识图谱,形成体系化的安全事件专家知识库,用来指导支撑生成告...
【专利技术属性】
技术研发人员:刘伟,宋焱淼,刘自豪,祝现威,顾泽宇,郑文庆,齐婧,程秋云,徐伟鹏,刘爱明,
申请(专利权)人:中国人民解放军六一六六零部队,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。