取到實時安全事件數(shù)據(jù)后��,直接利用該統(tǒng)一推理結構來分析安全數(shù)據(jù)所 屬的攻擊類型�����,進而可以顯著提高分析的效率�。
[0055] 在另一實施例中,利用標準化后的屬性特征值遍歷離線生成的統(tǒng)一推理結構�,以 確定攻擊類別的步驟可以包括:自統(tǒng)一推理結構的根節(jié)點開始將標準化后的屬性特征值與 統(tǒng)一推理結構中的各級節(jié)點的特征規(guī)則進行比對;如果標準化后的屬性特征值與特征規(guī)則 相匹配��,則將根節(jié)點至當前節(jié)點的置信值相疊加�,形成攻擊置信值;在遍歷了統(tǒng)一推理結構 后�,根據(jù)攻擊置信值所處的置信空間確定攻擊類別。
[0056] 在又一實施例中�����,針對一個標準化后的屬性特征值,在自統(tǒng)一推理結構的根節(jié)點 遍歷開始啟動定時器��;如果定時器超時���,則對一個標準化后的屬性特征值的攻擊置信值清 零��。這樣可以防止由于分析某個標準化后的屬性特征值時長期占用置信值資源而破壞正常 的分析過程�。
[0057] 接下來�����,通過一個具體實現(xiàn)詳細說明如果通過離線方式訓練得出統(tǒng)一推理結構����。 具體地��,可以包括以下步驟:
[0058] 步驟一���,匯集攻擊模型庫和原始安全事件樣本�;
[0059] 其中�,安全事件樣本是指具備關聯(lián)分析引擎分析標準格式的安全事件���,由源IP地 址、源端口��、目的IP地址�����、目的端口�����、事件類別�����、事件名稱����、事件等級、事件涉及的設備�、事件 發(fā)生的時間等特征屬性組成。
[0060] 攻擊模型庫是指關聯(lián)分析引擎所能判定的所有攻擊模型的集合�,由先驗知識確 定。攻擊模型是指與某種安全攻擊相關的攻擊場景和安全事件鏈�。其中��,安全事件鏈是指 由一系列單一安全事件組成的��、具備因果��、時間承接先后等邏輯關系的鏈條�。
[0061] 攻擊模型可以包括但不限于可疑掃描活動�、異常訪問、惡意代碼活動�����、網絡異常流 量���、網絡服務攻擊�����、設備運行異常等各類攻擊事件的數(shù)學模型。
[0062] 步驟二�����,將安全事件樣本分解為特征庫��,即,將安全事件樣本中的所有屬性元素打 散�����,形成特征庫��;
[0063] 其中���,特征庫是指安全事件樣本的特征屬性及屬性值組成的集合�����。
[0064] 步驟三�����,依據(jù)攻擊模型庫中的多種攻擊模型將特征庫先驗分類�����,去除攻擊無關特 征����;
[0065] 具體地����,由于安全事件包括源IP地址��、源端口�����、目的IP地址����、目的端口���、事件類別�、 事件名稱�����、事件等級�����、事件涉及的設備�、事件發(fā)生的時間等特征屬性��,因此可以分成這么多 特征庫元素。舉例說明�,如果某攻擊數(shù)學模型要求事件類別為"可疑掃描"的事件發(fā)生后3 分鐘內發(fā)生"網站攻擊"事件,兩事件的目的IP地址一致��,則相關的特征元素都指向了該攻 擊結果���,那么其余特征屬性就為與攻擊無關的特征���,可以被去除。
[0066] 步驟四���,計算特征與攻擊的關聯(lián)概率����,依據(jù)關聯(lián)概率從大到小對特征庫中特征排 序���;
[0067] 舉例說明���,某特征規(guī)則可能對應著多種攻擊。假設總共存在100種攻擊模型�,其中 有20種都具備目標IP地址=XXX的特征規(guī)則,則該特征的關聯(lián)概率就是20%。
[0068] 步驟五�,依據(jù)關聯(lián)概率將特征分級,作為統(tǒng)一推理結構的各級節(jié)點���;
[0069] 其中����,統(tǒng)一推理結構是指基于單樹數(shù)據(jù)結構的推理結構�,由多級節(jié)點組成,上級節(jié) 點與下級節(jié)點相聯(lián)����,每級節(jié)點都具有特征規(guī)則和置信值。
[0070] 特征規(guī)則是指安全事件某一屬性特征所具備的條件����,例如,源IP地址== 1. 1. 1. 1�,即為要求具備的條件,即特征規(guī)則�。
[0071] 置信值是指由多維數(shù)值標識的數(shù)據(jù),代表該節(jié)點與各種攻擊模型的符合度���。
[0072] 具體地����,就是劃定多個區(qū)間���,例如�����,50-60 %���,40-50 %……0-10 %,關聯(lián)概率在某區(qū) 間之內的所有特征規(guī)則都分為一級�����。每級的每個特征規(guī)則都用一個節(jié)點來表示���,所有節(jié)點 組成一個樹結構�,如圖2所示����。
[0073] 步驟六,計算次級節(jié)點與上級節(jié)點分類關聯(lián)度�����,如果關聯(lián)度小于閾值0. 707,則增 加新維度;
[0074] 具體地���,計算次級節(jié)點與上級節(jié)點屬于同種攻擊模型的重合率�����,即�,關聯(lián)度����,假設 上級節(jié)點特征可指向A、B��、C攻擊���,關聯(lián)概率分別為a���、b、c���,次級節(jié)點指向A�����、B攻擊����,關聯(lián)概 率分別為c�����、d�����,則次級節(jié)點與上級節(jié)點之間的分類關聯(lián)度為(c+dV(a+b+c)��。閾值0. 707表 示關聯(lián)度的中位數(shù)��。
[0075] 如果關聯(lián)度小于閾值0.707,就表明這兩者的關聯(lián)度較小��,可以增加一個維度的向 量值���。
[0076] 步驟七���,計算次級節(jié)點與上級節(jié)點分類關聯(lián)度在各維度上的向量值�����;
[0077] 具體地��,每個維度上的向量值等于次級節(jié)點的 s即��, 等于關聯(lián)概率與關聯(lián)度相關角(即�,向量角)的正弦值�。
[0078] 步驟八,依據(jù)公式"置信值=A維度向量值*x+B維度向量值*y+……"(其中����,A維 度向量值、B維度向量值等為步驟七中的計算所得)�����,將未知量x�����、y……從0開始����,以1的梯 度增加�,計算各節(jié)點的置信值�����;
[0079] 具體地��,對各個未知變量從小到大嘗試所有可能的取值���,用各種數(shù)值組合反復計 算分類正確率,以確定最優(yōu)變量值���。
[0080] 例如�,根節(jié)點的(X�����,y��,Z)初始取值為(0,0,0)�����,根節(jié)點的次節(jié)點初始取值為(1�,0���, 0)…,依此類推�,如果直到頁節(jié)點計算出的分類正確率都不滿足判決精度要求,則根節(jié)點的 (X��,y����,z)的取值遞增1。
[0081] 步驟九����,將多種攻擊模型的安全事件鏈經統(tǒng)一推理結構演繹得到的置信值進行疊 加,計算最終置信值結果����。
[0082] 步驟十,根據(jù)各種攻擊模型置信值結果的聚類空間�����,以中值算法確定分類閾值和 分類正確率�����;
[0083] 具體地,在設計分類樹時�,最后會匯聚到各種攻擊類別分明的葉子節(jié)點,在到達葉 子節(jié)點時��,置信值會匯聚到一個范圍��,即聚類空間�。
[0084] 例如,如果兩種攻擊的聚類空間有重合���,就會出現(xiàn)分類錯誤�����。通過中值算法算出閾 值,即取兩種攻擊聚類空間重合部分的數(shù)值的中位數(shù)�����。如果閾值計算為a���,大于a為攻擊1�, 小于a為攻擊2���。攻擊1聚類空間內小于a的數(shù)值范圍就會判錯�����。攻擊1聚類空間內��,小于 a的數(shù)值范圍/聚類空間即為分錯率��,反之為分類正確率�。
[0085] 步驟十一,當分類正確率小于判決精度要求時�����,轉至步驟八�,并重復后續(xù)步驟;當 分類正確率〉判決精度要求時�����,過程結束��,此時各節(jié)點的最終置信值即為統(tǒng)一推理結構各 節(jié)點的置信值��,統(tǒng)一推理結構生成。
[0086] 在訓練出統(tǒng)一推理結構后����,接下來通過一個實例詳細說明如何確定一個安全事件 的攻擊類別。具體地����,可以包括以下步驟:
[0087] 步驟一,對實時采集到的安全事件進行屬性特征的分解與屬性特征值的標準化���;
[0088] 其中�,分解就是將安全事件屬性和屬性值分成:例如�����,攻擊目標=上一事件掃描目 標�����,之類一對一對的特征�����。標準化即將不同來源的安全事件的屬性描述統(tǒng)一成一種標準描 述�����。
[0089] 步驟二����,將標準化后的屬性特征值與統(tǒng)一推理結構中當前層級節(jié)點的特征規(guī)則進 行比對;
[0090] 需要指出的是�����,首次從統(tǒng)一推理結構的根節(jié)點開始進行比對��。如果比對不成功�����,再 與當前層級節(jié)點的次節(jié)點進行比對��。
[0091] 該比對過程即看標準化后的屬性特征值是否滿足特征規(guī)則����。假設特征規(guī)則是:丟 包率>50%,如果當前采集的安全事件的丟包率屬性特征值為66%����,則比對匹配�。
[0092] 步驟三���,如果比對匹配�,則攻擊置信值疊加上當前節(jié)點的置信值���,不匹配則不處 理����,跳至下一層級節(jié)點����,轉入步驟二;需要指出的是���,初始攻擊置信值取0��。
[0093] 步驟四���,在遍歷統(tǒng)一推理結構后,根據(jù)分類閾值可以獲知置信值置于何種攻擊的 置信空間��,則相應做出何種攻擊的判決����,并發(fā)出告警。
[0094] 步驟五�����,如果置信值未置于任何置信空間��,則對下一個屬性特征值進行分析����,轉入 步驟二;
[0095] 步驟六����,當前安全事件的全部屬性特征值分析完畢,則對下一個采集到的安全事 件進行分析����,轉入步驟一。
[0096] 步驟七�����,在步驟二從根節(jié)點開始推理時啟動一定時器���,如果定時器超時����,則置信值 清零,計時器也清零�。用計時器計時,累計一段時間清零置信值��,以防止孤立安全事件長期 占用置信值資源����,破壞正常分析過程。
[0097] 本領域普通技術人員可以理解��,實現(xiàn)上述方法實施例的全部和部分步驟可以通過 程序指令相關的硬件來完成���,前述的程序可以存儲于一計算設備可讀取存儲介質中��,該程 序在執(zhí)行時��,執(zhí)行包括上述方法實施例的步驟���,而前述的存儲介質可以包括ROM、RAM���、磁碟 和光盤等各種可以存儲程序代碼的介質�。
[0098] 圖3是本公開一個實施例的安全事件的