本發(fā)明涉及信息安全�、人工智能技術(shù)領(lǐng)域,尤其涉及到構(gòu)建智能�����、快速和高效的新型安全智慧平臺的框架����。
背景技術(shù):
本發(fā)明中包含的英文簡稱如下:
lof:localoutlierfactor局部異常因子
soc:securityoperationcenter安全管理中心
id:identifier身份識別唯一編號
ids:intrusiondetectionsystems入侵檢測系統(tǒng)
snmp:simplenetworkmanagementprotocol簡單網(wǎng)絡(luò)管理協(xié)議
安全生產(chǎn)歷來是保障各項(xiàng)工作有序開展的前提,也是考核各級領(lǐng)導(dǎo)干部的否決指標(biāo)��。企業(yè)it網(wǎng)絡(luò)及信息安全運(yùn)維體系是各類工廠與企業(yè)安全生產(chǎn)工作的重要組成部分���。保障企業(yè)it系統(tǒng)和工業(yè)網(wǎng)絡(luò)及信息系統(tǒng)高效穩(wěn)定地運(yùn)行�����,是工廠和企業(yè)一切市場經(jīng)營活動和正常運(yùn)作的基礎(chǔ)�。
當(dāng)前,工廠和企業(yè)的it網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)都不同程度地部署了各種不同的智能管理控制系統(tǒng)和安全設(shè)備���,有效地提高了勞動生產(chǎn)率�����,降低了運(yùn)營成本�,已經(jīng)成為工廠和企業(yè)高效運(yùn)營的重要支撐和生產(chǎn)環(huán)節(jié)中不可缺少的一環(huán)���。一方面�����,因?yàn)橐坏┕I(yè)網(wǎng)絡(luò)及各控制系統(tǒng)出現(xiàn)安全事件或故障��,如果不能及時(shí)發(fā)現(xiàn)���、及時(shí)處理、及時(shí)恢復(fù)�����,這勢必會影響工廠和企業(yè)的正常經(jīng)營秩序��,甚至導(dǎo)致工廠停產(chǎn)���,影響到工廠和企業(yè)的生存����,對于企業(yè)it系統(tǒng)和工業(yè)網(wǎng)絡(luò)的安全保障就顯得格外重要����;另一方面,由于各種網(wǎng)絡(luò)攻擊技術(shù)也變得越來越先進(jìn)�����,越來越普及化�����,工廠和企業(yè)的工業(yè)網(wǎng)絡(luò)系統(tǒng)面臨著隨時(shí)被攻擊的危險(xiǎn)�,甚至經(jīng)常遭受不同程度的入侵和破壞,嚴(yán)重干擾了企業(yè)辦公系統(tǒng)和工廠工業(yè)網(wǎng)絡(luò)的正常運(yùn)行����,嚴(yán)重干擾了企業(yè)運(yùn)營和正常生產(chǎn)秩序��;日益嚴(yán)峻的安全威脅迫使企業(yè)不得不加強(qiáng)對it系統(tǒng)和工業(yè)網(wǎng)絡(luò)的安全防護(hù)���,不斷追求多層次、立體化的安全防御體系���,建設(shè)新型安全智慧平臺��,實(shí)時(shí)跟蹤系統(tǒng)事件���、實(shí)時(shí)檢測和預(yù)測各種安全攻擊、及時(shí)采取相應(yīng)的控制動作�,消除或縮減攻擊所造成的損失或危害,盡一切可能來保護(hù)企業(yè)it系統(tǒng)和工業(yè)網(wǎng)絡(luò)的正常運(yùn)營���。
已部署的信息安全運(yùn)維設(shè)備��,例如:安全管理����、soc�、網(wǎng)管、omc等��,通過采集諸如設(shè)備ids、防火墻��、ips��、堡壘機(jī)����、4a等的日志�����,進(jìn)行關(guān)聯(lián)分析���,然后發(fā)出告警�����。然而���,這些安全運(yùn)維設(shè)備的智能化程度不高,尤其是像ids這樣設(shè)備產(chǎn)生的大量告警中��,有很大一部分是誤報(bào)��,但是使用已有的安全智能平臺不能降低誤報(bào)率。另一方面��,已有的安全智能平臺�,關(guān)聯(lián)規(guī)則不能自動化生成。
為此����,如何利用信息化手段提高工廠和企業(yè)的運(yùn)營效益,優(yōu)化工廠和企業(yè)的it和工業(yè)控制系統(tǒng)�����,使得它能夠?yàn)楦黝惞S和企業(yè)提供專業(yè)的和高性價(jià)比的信息安全運(yùn)維服務(wù)��,即成為尤其是信息安全運(yùn)維管理設(shè)計(jì)上必須要解決的一個(gè)重要課題�。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明提供了一種新型安全智慧平臺的實(shí)現(xiàn)架構(gòu),能夠自動生成告警關(guān)聯(lián)規(guī)則��,全智能化的安全日志分析�,做到無人值守的安全運(yùn)維。
本發(fā)明的一種新型安全智慧平臺的實(shí)現(xiàn)架構(gòu)���,應(yīng)用于能夠?yàn)槎鄠€(gè)工廠和企業(yè)提供各種安全服務(wù)和運(yùn)維監(jiān)控服務(wù)的智能化的安全運(yùn)維監(jiān)控服務(wù)平臺中�。
所述安全服務(wù)包括配置管理/基線管理��、安全風(fēng)險(xiǎn)評估、威脅檢測�����、漏洞掃描����、防病毒等����。
所述運(yùn)維監(jiān)控服務(wù)包括配置管理、故障管理�、性能管理、問題管理��、變更管理等�。
所述架構(gòu)包括告警關(guān)聯(lián)規(guī)則自動生成模塊、告警在線關(guān)聯(lián)模塊���、告警關(guān)聯(lián)圖優(yōu)先級劃分模塊��、告警上報(bào)和分發(fā)模塊��、工單派發(fā)模塊�����。
所述告警關(guān)聯(lián)規(guī)則自動生成模塊����,就是利用歷史告警信息構(gòu)建相關(guān)性模型,自動生成告警關(guān)聯(lián)規(guī)則��,由所述告警在線關(guān)聯(lián)模塊來使用和周期性地更新(或?qū)崟r(shí)地更新)��。該告警相關(guān)性模型由兩個(gè)知識庫所組成:(i)告警關(guān)聯(lián)強(qiáng)度(ii)告警關(guān)聯(lián)規(guī)則����。告警關(guān)聯(lián)強(qiáng)度即表示兩個(gè)告警類型和的相關(guān)性程度。更具體地說���,它表示類型的告警發(fā)生在告警之后的概率的大小�。
所述告警在線關(guān)聯(lián)模塊����,在告警之前的秒時(shí)間之內(nèi)發(fā)生的告警為s=,對每一實(shí)時(shí)收到的告警進(jìn)行相關(guān)性分析��。為了確定和s里的告警是否相關(guān),可以查詢地所述告警關(guān)聯(lián)規(guī)則自動生成模塊里的兩個(gè)知識庫�,獲得告警類型的告警關(guān)聯(lián)強(qiáng)度和告警關(guān)聯(lián)規(guī)則。如果兩個(gè)告警滿足如下條件���,則意味著相關(guān):
(1)和兩個(gè)告警類型的關(guān)聯(lián)強(qiáng)度
(2)和兩個(gè)告警類型的規(guī)則�,和至少同時(shí)滿足它們之中的一個(gè)規(guī)則��。
每一個(gè)被分析的告警存儲在內(nèi)存數(shù)據(jù)庫里��。如果該告警與相關(guān)�����,則被添加到����。因此�,一條邊被添加到告警關(guān)聯(lián)圖里,以此來描述相關(guān)性���。
所述告警關(guān)聯(lián)圖優(yōu)先級劃分模塊��,基于告警關(guān)聯(lián)圖之間的差異性�����,本模塊為每一個(gè)告警關(guān)聯(lián)圖分配一個(gè)優(yōu)先級�����。優(yōu)先級總共分為4級��。第4級為最高告警級別(或最嚴(yán)重的告警)�,第1級為最低告警級別(或最不重要的告警)。
告警關(guān)聯(lián)圖優(yōu)先級是基于lof計(jì)算的�。如下是優(yōu)先級之值和元告警的lof之間的映射:
p(g)=
在上式中,g是一個(gè)告警關(guān)聯(lián)圖����,是lof值的權(quán)重。采用了告警關(guān)聯(lián)圖的鄰居����、可達(dá)距離和局部密度。
所述告警上報(bào)和分發(fā)模塊����,將高優(yōu)先級的告警及時(shí)地轉(zhuǎn)發(fā)到工單派發(fā)系統(tǒng)、或發(fā)送到可視化界面進(jìn)行顯示��、或轉(zhuǎn)發(fā)到安全運(yùn)維管理人員進(jìn)行確認(rèn)再發(fā)送到工單派發(fā)系統(tǒng)、或轉(zhuǎn)發(fā)到其它接口等��。
所述工單派發(fā)模塊��,將經(jīng)過系統(tǒng)確認(rèn)的告警派發(fā)到相關(guān)的安全運(yùn)維人員�。
告警相關(guān)性分析是一種廣泛使用的技術(shù),用于理解告警日志和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊��。然而��,由于當(dāng)今網(wǎng)絡(luò)與攻擊的規(guī)模和復(fù)雜性����,由這些網(wǎng)絡(luò)產(chǎn)生的告警日志數(shù)量非常大,以致于難以分析����。本發(fā)明的一種新型安全智慧平臺的實(shí)現(xiàn)架構(gòu)�,能夠自動生成告警關(guān)聯(lián)規(guī)則,大大地簡化了告警日志的分析,提升了所述平臺的核心競爭力���。
附圖說明
圖1為本發(fā)明所述的一種新型安全智慧平臺的實(shí)現(xiàn)架構(gòu)的結(jié)構(gòu)示意圖�����;
具體實(shí)施方式
下面是根據(jù)附圖和實(shí)例對本發(fā)明的進(jìn)一步詳細(xì)說明:
圖1為本發(fā)明所述的一種新型安全智慧平臺的實(shí)現(xiàn)架構(gòu)的結(jié)構(gòu)示意圖����。
所述架構(gòu)包括告警關(guān)聯(lián)規(guī)則自動生成模塊、告警在線關(guān)聯(lián)模塊�����、告警關(guān)聯(lián)圖優(yōu)先級劃分模塊�����、告警上報(bào)和分發(fā)模塊���、工單派發(fā)模塊��。
所述告警關(guān)聯(lián)規(guī)則自動生成模塊�����,就是利用歷史告警信息構(gòu)建相關(guān)性模型���,自動生成告警關(guān)聯(lián)規(guī)則和關(guān)聯(lián)強(qiáng)度參數(shù),由所述告警在線關(guān)聯(lián)模塊來使用和周期性地更新(或?qū)崟r(shí)地更新)��。該告警相關(guān)性模型由兩個(gè)知識庫所組成:(i)告警關(guān)聯(lián)強(qiáng)度(ii)告警關(guān)聯(lián)規(guī)則。告警關(guān)聯(lián)強(qiáng)度即表示兩個(gè)告警類型和的相關(guān)性程度�。更具體地說,它表示類型的告警發(fā)生在告警之后的概率的大小�����。
當(dāng)兩個(gè)告警類型之間有n:n>1的關(guān)聯(lián)規(guī)則關(guān)系時(shí)��,則這兩個(gè)告警類型之間的關(guān)聯(lián)強(qiáng)度就是n個(gè)關(guān)聯(lián)規(guī)則的最小的關(guān)聯(lián)強(qiáng)度:
l(,)=min{p()(1)
其中����,
p()=(2)
在方程(2)里,對于已給定的歷史告警�����,p()是指在同一個(gè)時(shí)間窗w之內(nèi)�����,每當(dāng)發(fā)生時(shí)���,之后發(fā)生的次數(shù)。p()指的是之后發(fā)生的次數(shù)��,這些數(shù)據(jù)均存儲在兩個(gè)知識庫中,供在線關(guān)聯(lián)時(shí)查詢��。最后�,p(︱)就是在給定的兩類告警和在相同時(shí)間窗之內(nèi)發(fā)生的概率。
算法1描述了所述告警關(guān)聯(lián)規(guī)則自動生成模塊計(jì)算關(guān)聯(lián)強(qiáng)度和關(guān)聯(lián)規(guī)則的兩個(gè)知識庫的過程����。
第1~5行初始化。a表示告警屬性���,包括:告警發(fā)生時(shí)間(timestamp)���、源ip(sourceip)、源端口(sourceport)�����、目標(biāo)ip(destinationip)���、目標(biāo)ip(destinationport)�����、告警類型(intrusiontype)���。h表示歷史告警�����,用來訓(xùn)練相關(guān)性模型的���;t表示所有歷史告警的告警類型。表示t中的所有的告警類型對(1對含有2個(gè)告警類型)�,其中表示第i對告警類型和對。
對于每一對告警��,getconstraints通過計(jì)算所有可能k組合屬性����,生成了一些關(guān)聯(lián)規(guī)則,其采用方法諸如aprioriapproach的數(shù)據(jù)挖掘的人工智能方法��。首先��,當(dāng)k=1時(shí)�����,就生成長度為1的關(guān)聯(lián)規(guī)則�,其中,對每一條關(guān)聯(lián)規(guī)則c����,只包含一個(gè)告警屬性aa。對于每一條關(guān)聯(lián)規(guī)則c�,我們將計(jì)算在條件c之下,發(fā)送在之前的概率�����。如果這個(gè)概率沒有超過���,則���、被視為不相關(guān)。
例1就是由所述告警關(guān)聯(lián)規(guī)則自動生成模塊所生成的關(guān)聯(lián)規(guī)則:
所述告警在線關(guān)聯(lián)模塊�,在告警之前的秒時(shí)間之內(nèi)發(fā)生的告警為s=,對每一實(shí)時(shí)收到的告警進(jìn)行相關(guān)性分析�����。為了確定和s里的告警是否相關(guān)���,可以實(shí)時(shí)地查詢告警關(guān)聯(lián)規(guī)則自動生成模塊里的兩個(gè)知識庫���,獲得告警類型的告警關(guān)聯(lián)強(qiáng)度和告警關(guān)聯(lián)規(guī)則�����。如果兩個(gè)告警滿足如下條件�,則意味著相關(guān):
(1)和兩個(gè)告警類型的關(guān)聯(lián)強(qiáng)度
(2)和兩個(gè)告警類型的規(guī)則���,和至少同時(shí)滿足它們之中的一個(gè)規(guī)則���。
每一個(gè)被分析的告警存儲在內(nèi)存數(shù)據(jù)庫里。如果該告警與相關(guān)�,則被添加到。因此�,一條邊被添加到告警關(guān)聯(lián)圖里,以此來描述相關(guān)性���。
所述告警關(guān)聯(lián)圖優(yōu)先級劃分模塊�,基于告警關(guān)聯(lián)圖之間的差異性�,本模塊為每一個(gè)告警關(guān)聯(lián)圖分配一個(gè)優(yōu)先級。優(yōu)先級總共分為4級���。第4級為最高告警級別(或最嚴(yán)重的告警)����,第1級為最低告警級別(或最不重要的告警)��。
告警關(guān)聯(lián)圖優(yōu)先級是基于lof計(jì)算的�����。如下是優(yōu)先級之值和元告警的lof之間的映射:
p(g)=
在上式中�����,g是一個(gè)告警關(guān)聯(lián)圖���,是lof值的權(quán)重����。采用了告警關(guān)聯(lián)圖的鄰居�、可達(dá)距離和局部密度。
(1)k-鄰居和k-距離:一個(gè)告警關(guān)聯(lián)圖的k-鄰居采用()表示�����,()是一些其它的告警關(guān)聯(lián)圖,其與之間的差小于或等于該k-距離��。一個(gè)的k-距離就是與第k個(gè)最近的告警關(guān)聯(lián)圖的距離�����。k是所述算法所提供的一個(gè)可配置的參數(shù)��。
(2)可達(dá)距離:取這2個(gè)值的最大值:一個(gè)值是兩個(gè)告警關(guān)聯(lián)圖之間的距離����,另一個(gè)值是的k-距離。如下是所示:
r(g,)=max
(3)局部可達(dá)密度:一個(gè)告警關(guān)聯(lián)圖的局部可達(dá)密度就是它與它的k-鄰居之間的平均可達(dá)距離的倒數(shù):
ir=(
(4)局部異常因子:對于每一個(gè)告警關(guān)聯(lián)圖g�����,它的lof由以下公式計(jì)算:
=
(5)lof優(yōu)先級劃分:考慮到lof值的范圍在0~之間���,本專利利用了權(quán)重技術(shù)����,將lof之值映射到0~之間��。
nlof(g)=
告警關(guān)聯(lián)圖的每一個(gè)優(yōu)先級的劃分�����,本模塊使用它作為過濾,將門限大于的所有告警關(guān)聯(lián)圖轉(zhuǎn)發(fā)到告警上報(bào)和分發(fā)模塊做進(jìn)一步處理等����,例如,將2級以上的告警關(guān)聯(lián)圖轉(zhuǎn)發(fā)給所述告警上報(bào)和分發(fā)模塊�����,最終目的就是讓不重要的告警不轉(zhuǎn)發(fā)到告警上報(bào)和分發(fā)模塊����。
所述告警上報(bào)和分發(fā)模塊��,將高優(yōu)先級的告警及時(shí)地轉(zhuǎn)發(fā)到工單派發(fā)系統(tǒng)�����、或發(fā)送到可視化界面進(jìn)行顯示�、或轉(zhuǎn)發(fā)到安全運(yùn)維管理人員進(jìn)行確認(rèn)再發(fā)送到工單派發(fā)系統(tǒng)、或轉(zhuǎn)發(fā)到其它接口等����。
所述工單派發(fā)模塊����,將經(jīng)過系統(tǒng)確認(rèn)的告警派發(fā)到相關(guān)的安全運(yùn)維人員�����。
以上所述僅為本發(fā)明的較佳實(shí)施例�����,并非用來限定本發(fā)明的實(shí)施范圍��;凡是依本發(fā)明所作的等效變化與修改��,都被視為本發(fā)明的專利范圍所涵蓋��。