【技术实现步骤摘要】
本专利技术属于网络安全领域,具体涉及一种基于知识图谱的告警信息处理和响应系统和方法。
技术介绍
1、近年来,网络安全威胁发生了巨大变化,apt(高级持续威胁)攻击事件、新兴威胁日益增加,传统基于人工管理的安全运营方式难以有效整合数据、工具、流程和人的专业知识,实现高效的网络安全防御和响应。2017年,gartner正式提出安全编排、自动化与响应(security orchestration,automation andresponse,简称soar)的定义,表示soar是一系列技术的集合,一种以安全编排和自动化为核心,将人、流程、技术和工具等内容进行整合的智能协作系统,能够收集不同来源的数据和警报信息,统一调度指挥可编排能力单位,实现标准化事件响应,提高网络安全时间响应的准确率和效率。soar主要包括告警管理、安全编排与自动化、案例管理和信息通报四大部分。安全编排与自动化是soar的核心,实现了安全能力的集成、安全流程的编排与自动化执行,包括预案管理、预案执行和应用管理功能。告警管理是soar的基础,帮助用户进一步对各类告警信息进行分析和核实,降低误报错报多报,提升后续安全响应的准确度与有效性。
2、近年来,学术界和工业界围绕soar
开展大量研究,提出诸多安全编排、自动化和相应技术方案和方法。例如,针对物联网领域的安全编排、自动化和处置响应,研究人员提出了一个集检查、响应、阻断、预防于一体的方案,能够基于提前预置的场景化策略,编排可调度安全对象生成剧本,基于态势分析结果触发执行编排预案,调度资源自动执行剧本。
3、目前对于网络安全事件和告警信息分析方法大多侧重于历史告警信息的挖掘与分析,通过对历史告警信息的分析和处理,生成指导模型或者案例,或者通过当前安全事件的逻辑关系预判后续安全事件的概率或类别,从而判断或者匹配新接收告警信息的类别或模式,用于指导启动相应的告警响应流程和预编排策略。然而,对于新接收的告警信息,现有方法缺乏对其进行准确分析和理解,也无法关联组合孤立分散的告警信息,重构获得完善的安全事件关联图,准确反应网络系统的安全状态。另外,现有针对告警信息关联分析和处理的方法相对独立,缺乏与soar整体系统的有机融合,特别是分类分级的思想没有贯穿系统全过程,难以针对不同类型的安全事件进行分等级分类别响应,对多场景保障需求的灵活性支撑不足。
技术实现思路
1、(一)要解决的技术问题
2、本专利技术要解决的技术问题是如何提供一种基于知识图谱的告警信息处理和响应系统和方法,以解决现有针对告警信息关联分析和处理的方法相对独立,缺乏与soar整体系统的有机融合,特别是分类分级的思想没有贯穿系统全过程,难以针对不同类型的安全事件进行分等级分类别响应,对多场景保障需求的灵活性支撑不足的问题。
3、(二)技术方案
4、为了解决上述技术问题,本专利技术提出一种基于知识图谱的告警信息处理和响应系统,该系统包括:告警信息处理模块、告警响应模块和安全编排与自动化模块;
5、告警信息处理模块,用于利用知识图谱技术对告警信息进行知识化处理,一方面,利用知识图谱技术对一段时间内接收的告警信息进行关联分析,挖掘出告警事件的真实特征,并基于告警规则判别该告警事件的类别和级别,以此启动针对性的告警响应流程和预编排应对预案;另一方面从历史告警信息数据集中提取已经发生的告警事件特征,形成告警信息专家知识库,指导整个系统告警规则的制定和生成;告警信息处理模块包括:告警信息采集单元、告警信息数据集、领域型知识图谱、事件型知识图谱、告警规则生成单元和告警信息分类分级单元;
6、告警响应模块,连接到告警信息处理模块,支持基于规则的自动化响应,用于根据需要处理的安全事件及其告警信息的等级和类别,基于规则和策略选择相应的剧本,并自动执行剧本中的操作流程,自动联动相关设备,调用相关服务,实现防护阻断动作;
7、安全编排与自动化模块,连接告警响应模块,用于实现安全能力的集成、安全流程的编排与自动化执行,包括预案管理、预案执行和应用管理;在该模块中,安全人员将应急响应过程编排成剧本,当同类安全事件再次发生后,系统根据预定义的流程和已经接入的安全能力,自动开展应急响应,加快安全事件处置;该模块采用基于告警信息分类分级的安全编排技术策略,即基于告警信息属性特征,对安全剧本进行分类分级设置,当发生具有某种属性的告警信息时,系统会自动根据该属性对应的类别执行相应的剧本逻辑。
8、进一步地,告警信息处理模块基于告警信息生成两个知识图谱:领域型知识图谱和事件型知识图谱;领域型知识图谱用于挖掘分析历史告警信息的特征,形成告警信息专家知识库,指导生成告警信息逻辑规则以及告警响应规则的编排;事件型知识图谱基于当前接收的告警信息,进行知识抽取,获得实体、关系、属性告警信息的知识要素,利用知识融合和语义分歧技术自动化构建而成;在此基础上,利用事件型知识图谱进行知识推理和关联分析,挖掘告警信息中隐含的特征信息,关联合并分散鼓励的告警关联图,进而准确判断该告警信息的类别和等级,指导启动对应的告警响应流程。
9、进一步地,告警信息采集单元,用于接收来自系统平台发出的告警信息,包括第三方安全防御产品、设备系统日志发出的告警信息,或者信息接收系统接收的外部模块的告警信息,提供给告警信息数据集和事件型知识图谱,其中,第三方安全防御产品包括:防火墙、入侵检测系统和态势感知平台。
10、进一步地,告警信息数据集,用于从外部获得开源的告警信息数据集,或者收集系统已经发生并进行处理的告警信息,清洗形成结构化的告警信息数据集,该数据集用于构建领域型知识图谱,形成专家知识库。
11、进一步地,领域型知识图谱,用于利用知识图谱相关技术,从多源告警数据中提取知识,快速构建出领域知识图谱,形成体系化的安全事件专家知识库,用来指导支撑生成告警规则;通过不断将新采集的告警信息经由事件型知识图谱融合到领域型知识图谱,实现领域型知识图谱的自主学习和更新。
12、进一步地,告警规则生成单元,基于告警信息领域型知识图谱,获得告警信息关系图、过程路径信息,从而抽象得到告警信息识别和分类的逻辑规则,指导识本文档来自技高网...
【技术保护点】
1.一种基于知识图谱的告警信息处理和响应系统,其特征在于,该系统包括:告警信息处理模块、告警响应模块和安全编排与自动化模块;
2.如权利要求1所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息处理模块基于告警信息生成两个知识图谱:领域型知识图谱和事件型知识图谱;领域型知识图谱用于挖掘分析历史告警信息的特征,形成告警信息专家知识库,指导生成告警信息逻辑规则以及告警响应规则的编排;事件型知识图谱基于当前接收的告警信息,进行知识抽取,获得实体、关系、属性告警信息的知识要素,利用知识融合和语义分歧技术自动化构建而成;在此基础上,利用事件型知识图谱进行知识推理和关联分析,挖掘告警信息中隐含的特征信息,关联合并分散鼓励的告警关联图,进而准确判断该告警信息的类别和等级,指导启动对应的告警响应流程。
3.如权利要求2所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息采集单元,用于接收来自系统平台发出的告警信息,包括第三方安全防御产品、设备系统日志发出的告警信息,或者信息接收系统接收的外部模块的告警信息,提供给告警信息数据集和事件型知识图谱,其中
4.如权利要求3所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息数据集,用于从外部获得开源的告警信息数据集,或者收集系统已经发生并进行处理的告警信息,清洗形成结构化的告警信息数据集,该数据集用于构建领域型知识图谱,形成专家知识库。
5.如权利要求4所述的基于知识图谱的告警信息处理和响应系统,其特征在于,领域型知识图谱,用于利用知识图谱相关技术,从多源告警数据中提取知识,快速构建出领域知识图谱,形成体系化的安全事件专家知识库,用来指导支撑生成告警规则;通过不断将新采集的告警信息经由事件型知识图谱融合到领域型知识图谱,实现领域型知识图谱的自主学习和更新。
6.如权利要求5所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警规则生成单元,基于告警信息领域型知识图谱,获得告警信息关系图、过程路径信息,从而抽象得到告警信息识别和分类的逻辑规则,指导识别新告警信息的类别和等级。
7.如权利要求3所述的基于知识图谱的告警信息处理和响应系统,其特征在于,事件型知识图谱,用于对当前采集的告警信息进行预处理,识别并抽取信息实体、关系、属性知识要素,以此构建事件型知识图谱;随后通过全连接层、注意力融合层、拼接层对事件型知识图谱进行分析、合并、关联处理,构建更为完善的告警关系图,获得告警信息后面安全事件的全部特征,包括显式特征和隐式特征;根据专家知识库,对告警信息进行识别与分类分级,从而启动相对应的响应流程和编排预案;同时,基于告警信息属性相似度和时序逻辑的关联方法,对待组合的分散关联图进行组合重建,获得完善的事件型知识图谱。
8.如权利要求7所述的基于知识图谱的告警信息处理和响应系统,其特征在于,两个待组合的图具有相同的属性IP,且源或目的IP地址相同,则其相似度为1,如果两者还满足时序关系,则将两个图关联组合成一个知识图,从而获得告警信息更为完善的结构特征;
9.如权利要求7所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息分类分级单元,基于来自告警规则生成单元的告警规则和来自事件型知识图谱的当前告警信息的特征,对当前告警信息进行分级分类,以此选择相应的安全保障等级及预编排策略。
10.一种基于权利要求1-9任一项所述的系统的基于知识图谱的告警信息处理和响应方法,其特征在于,该方法包括如下步骤:
...【技术特征摘要】
1.一种基于知识图谱的告警信息处理和响应系统,其特征在于,该系统包括:告警信息处理模块、告警响应模块和安全编排与自动化模块;
2.如权利要求1所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息处理模块基于告警信息生成两个知识图谱:领域型知识图谱和事件型知识图谱;领域型知识图谱用于挖掘分析历史告警信息的特征,形成告警信息专家知识库,指导生成告警信息逻辑规则以及告警响应规则的编排;事件型知识图谱基于当前接收的告警信息,进行知识抽取,获得实体、关系、属性告警信息的知识要素,利用知识融合和语义分歧技术自动化构建而成;在此基础上,利用事件型知识图谱进行知识推理和关联分析,挖掘告警信息中隐含的特征信息,关联合并分散鼓励的告警关联图,进而准确判断该告警信息的类别和等级,指导启动对应的告警响应流程。
3.如权利要求2所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息采集单元,用于接收来自系统平台发出的告警信息,包括第三方安全防御产品、设备系统日志发出的告警信息,或者信息接收系统接收的外部模块的告警信息,提供给告警信息数据集和事件型知识图谱,其中,第三方安全防御产品包括:防火墙、入侵检测系统和态势感知平台。
4.如权利要求3所述的基于知识图谱的告警信息处理和响应系统,其特征在于,告警信息数据集,用于从外部获得开源的告警信息数据集,或者收集系统已经发生并进行处理的告警信息,清洗形成结构化的告警信息数据集,该数据集用于构建领域型知识图谱,形成专家知识库。
5.如权利要求4所述的基于知识图谱的告警信息处理和响应系统,其特征在于,领域型知识图谱,用于利用知识图谱相关技术,从多源告警数据中提取知识,快速构建出领域知识图谱,形成体系化的安全事件专家知识库,用来指导支撑生成告...
【专利技术属性】
技术研发人员:刘伟,宋焱淼,刘自豪,祝现威,顾泽宇,郑文庆,齐婧,程秋云,徐伟鹏,刘爱明,
申请(专利权)人:中国人民解放军六一六六零部队,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。