智能關(guān)聯(lián)分析裝置的結(jié)構(gòu)示意圖。
[0099] 如圖3所示���,該實施例中的裝置30可以包括事件采集單元302和類別判斷單元 304��。其中��,
[0100] 事件采集單元302,用于對實時采集到的安全事件進行屬性特征的分解與屬性特 征值的標(biāo)準(zhǔn)化�;
[0101] 類別判斷單元304,用于利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié) 構(gòu)����,以確定攻擊類別。
[0102] 在該實施例中����,通過離線生成的統(tǒng)一推理結(jié)構(gòu)提高了對實時采集的安全事件的關(guān) 聯(lián)分析效率��,節(jié)省了計算空間��、時間代價,實現(xiàn)了精度和效率的平衡��。
[0103] 在一個實施例中��,安全事件的智能關(guān)聯(lián)分析裝置還可以包括統(tǒng)一推理結(jié)構(gòu)生成單 元���,統(tǒng)一推理結(jié)構(gòu)生成單元包括匯集子單元�����、樣本分解子單元���、關(guān)聯(lián)概率計算子單元、結(jié)構(gòu) 形成子單元和置信值確定子單元����。其中,
[0104] 匯集子單元���,用于匯集攻擊模型庫和安全事件訓(xùn)練樣本�;樣本分解子單元���,用于將 安全事件訓(xùn)練樣本分解為特征庫��;關(guān)聯(lián)概率計算子單元�,用于計算特征庫中各特征與攻擊 的關(guān)聯(lián)概率;結(jié)構(gòu)形成子單元���,用于基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進行分級����,形成統(tǒng)一 推理結(jié)構(gòu)的各級節(jié)點��;置信值確定子單元����,用于訓(xùn)練計算滿足判決精度要求的各級節(jié)點的 置信值,并確定分類閾值和分類正確率�����。
[0105] 在另一實施例中����,類別判斷單元包括比對子單元、攻擊置信值計算子單元和類別 確定子單元���。其中����,比對子單元���,用于自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點開始將標(biāo)準(zhǔn)化后的屬性特征 值與統(tǒng)一推理結(jié)構(gòu)中的各級節(jié)點的特征規(guī)則進行比對���;攻擊置信值計算子單元,用于如果 標(biāo)準(zhǔn)化后的屬性特征值與特征規(guī)則相匹配�,則將根節(jié)點至當(dāng)前節(jié)點的置信值相疊加,形成 攻擊置信值���;類別確定子單元��,用于在遍歷了統(tǒng)一推理結(jié)構(gòu)后��,根據(jù)攻擊置信值所處的置信 空間確定攻擊類別�����。
[0106] 在又一實施例中����,安全事件的智能關(guān)聯(lián)分析裝置還包括定時器,用于針對一個標(biāo) 準(zhǔn)化后的屬性特征值����,在自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點遍歷開始啟動定時器,如果定時器超時����, 則對一個標(biāo)準(zhǔn)化后的屬性特征值的攻擊置信值清零。
[0107] 其中�,安全事件的屬性特征可以包括但不限于源IP地址與端口、目的IP地址與端 口���、事件類別��、事件名稱����、事件等級����、事件涉及的設(shè)備以及事件發(fā)生的時間。
[0108] 在另一實施例中�,融合多攻擊模型的基于統(tǒng)一推理結(jié)構(gòu)的關(guān)聯(lián)分析引擎,包括統(tǒng) 一推理結(jié)構(gòu)生成模塊�����、安全事件預(yù)處理模塊、統(tǒng)一推理分析決策模塊和告警模塊�。其中���,
[0109] 統(tǒng)一推理結(jié)構(gòu)生成模塊是指基于安全事件樣本庫和先驗的攻擊模型����,采用多輪訓(xùn) 練方式生成統(tǒng)一推理結(jié)構(gòu)的信息離線處理模塊����。包括:安全事件樣本、攻擊模型庫�����、特征庫 和統(tǒng)一推理結(jié)構(gòu)�。
[0110] 安全事件預(yù)處理模塊、統(tǒng)一推理分析決策模塊和告警模塊為關(guān)聯(lián)分析引擎的在線 處理模塊�����。
[0111] 安全事件預(yù)處理模塊是指對進入關(guān)聯(lián)分析引擎的安全事件進行特征屬性分解與 歸類的信息處理模塊����。
[0112] 統(tǒng)一推理分析決策模塊是指基于統(tǒng)一推理結(jié)構(gòu)對安全事件進行關(guān)聯(lián)分析并決策 是否攻擊發(fā)生的信息處理模塊���。包括統(tǒng)一推理結(jié)構(gòu)、置信值空間和計時器�����。
[0113] 其中����,置信值空間是指統(tǒng)一推理分析決策時當(dāng)前置信值和歷史置信值的存儲空 間;計時器是指用于對統(tǒng)一推理分析決策時間自動計時的寄存器�����。
[0114] 告警模塊是指發(fā)出攻擊告警的系統(tǒng)模塊���。
[0115] 該實施例針對電信網(wǎng)絡(luò)環(huán)境下海量安全事件關(guān)聯(lián)分析效率低的問題�,提出了融合 多攻擊模型的基于模糊決策樹的關(guān)聯(lián)分析方法:不同攻擊模型的攻擊判決條件以多維置信 值標(biāo)識��,訓(xùn)練生成統(tǒng)一的多路徑模糊決策樹����。通過統(tǒng)一推理方法提高了關(guān)聯(lián)分析的效率�、節(jié) 省了計算空間��、時間代價����、實現(xiàn)了精度和效率平衡的多源信息關(guān)聯(lián)分析。
[0116] 本說明書中各個實施例均采用遞進的方式描述���,每個實施例重點說明的都是與其 他實施例的不同之處,各個實施例之間相同和相似的部分可以相互參見�����。對于裝置實施例 而言�,由于其與方法實施例基本相似,所以描述的比較簡單���,相關(guān)之處可以參見方法實施例 部分的說明�����。
[0117] 雖然已參照示例性實施例描述了本公開�����,但應(yīng)理解���,本公開不限于上述的示例性 實施例�。對于本領(lǐng)域技術(shù)人員顯然的是�����,可以在不背離本公開的范圍和精神的條件下修改 上述的示例性實施例����。所附的權(quán)利要求的范圍應(yīng)被賦予最寬的解釋,以包含所有這樣的修 改以及等同的結(jié)構(gòu)和功能��。
【主權(quán)項】
1. 一種安全事件的智能關(guān)聯(lián)分析方法��,其特征在于�,包括: 對實時采集到的安全事件進行屬性特征的分解與屬性特征值的標(biāo)準(zhǔn)化; 利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)����,以確定攻擊類別。2. 根據(jù)權(quán)利要求1所述的安全事件的智能關(guān)聯(lián)分析方法��,其特征在于,通過下述方式 生成統(tǒng)一推理結(jié)構(gòu): 匯集攻擊模型庫和安全事件訓(xùn)練樣本����; 將安全事件訓(xùn)練樣本分解為特征庫; 計算特征庫中各特征與攻擊的關(guān)聯(lián)概率��; 基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進行分級���,形成統(tǒng)一推理結(jié)構(gòu)的各級節(jié)點�����; 訓(xùn)練計算滿足判決精度要求的各級節(jié)點的置信值���,并確定分類閾值和分類正確率�。3.根據(jù)權(quán)利要求1所述的安全事件的智能關(guān)聯(lián)分析方法,其特征在于�����,利用標(biāo)準(zhǔn)化后 的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)�����,以確定攻擊類別包括: 自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點開始將標(biāo)準(zhǔn)化后的屬性特征值與統(tǒng)一推理結(jié)構(gòu)中的各級節(jié) 點的特征規(guī)則進行比對; 如果標(biāo)準(zhǔn)化后的屬性特征值與特征規(guī)則相匹配�����,則將根節(jié)點至當(dāng)前節(jié)點的置信值相疊 加�,形成攻擊置信值; 在遍歷了統(tǒng)一推理結(jié)構(gòu)后����,根據(jù)攻擊置信值所處的置信空間確定攻擊類別。4.根據(jù)權(quán)利要求3所述的安全事件的智能關(guān)聯(lián)分析方法�,其特征在于,所述方法還包 括: 針對一個標(biāo)準(zhǔn)化后的屬性特征值�����,在自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點遍歷開始啟動定時器���; 如果定時器超時�,則對所述一個標(biāo)準(zhǔn)化后的屬性特征值的攻擊置信值清零�����。5.根據(jù)權(quán)利要求1所述的安全事件的智能關(guān)聯(lián)分析方法���,其特征在于��,安全事件的屬 性特征包括源IP地址與端口��、目的IP地址與端口��、事件類別�、事件名稱、事件等級����、事件涉 及的設(shè)備以及事件發(fā)生的時間。6. -種安全事件的智能關(guān)聯(lián)分析裝置����,其特征在于,包括: 事件采集單元�����,用于對實時采集到的安全事件進行屬性特征的分解與屬性特征值的標(biāo) 準(zhǔn)化�; 類別判斷單元���,用于利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)�����,以確 定攻擊類別���。7.根據(jù)權(quán)利要求6所述的安全事件的智能關(guān)聯(lián)分析裝置��,其特征在于����,所述安全事件 的智能關(guān)聯(lián)分析裝置還包括統(tǒng)一推理結(jié)構(gòu)生成單元�,所述統(tǒng)一推理結(jié)構(gòu)生成單元包括: 匯集子單元,用于匯集攻擊模型庫和安全事件訓(xùn)練樣本�����; 樣本分解子單元����,用于將安全事件訓(xùn)練樣本分解為特征庫; 關(guān)聯(lián)概率計算子單元�,用于計算特征庫中各特征與攻擊的關(guān)聯(lián)概率; 結(jié)構(gòu)形成子單元����,用于基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進行分級�����,形成統(tǒng)一推理結(jié) 構(gòu)的各級節(jié)點����; 置信值確定子單元�,用于訓(xùn)練計算滿足判決精度要求的各級節(jié)點的置信值,并確定分 類閾值和分類正確率��。8. 根據(jù)權(quán)利要求6所述的安全事件的智能關(guān)聯(lián)分析裝置���,其特征在于�����,所述類別判斷 單元包括: 比對子單元���,用于自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點開始將標(biāo)準(zhǔn)化后的屬性特征值與統(tǒng)一推理 結(jié)構(gòu)中的各級節(jié)點的特征規(guī)則進行比對; 攻擊置信值計算子單元���,用于如果標(biāo)準(zhǔn)化后的屬性特征值與特征規(guī)則相匹配,則將根 節(jié)點至當(dāng)前節(jié)點的置信值相疊加��,形成攻擊置信值; 類別確定子單元��,用于在遍歷了統(tǒng)一推理結(jié)構(gòu)后��,根據(jù)攻擊置信值所處的置信空間確 定攻擊類別�����。9. 根據(jù)權(quán)利要求8所述的安全事件的智能關(guān)聯(lián)分析裝置����,其特征在于,所述安全事件 的智能關(guān)聯(lián)分析裝置還包括: 定時器����,用于針對一個標(biāo)準(zhǔn)化后的屬性特征值,在自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點遍歷開始 啟動定時器��,如果定時器超時���,則對所述一個標(biāo)準(zhǔn)化后的屬性特征值的攻擊置信值清零���。10. 根據(jù)權(quán)利要求6所述的安全事件的智能關(guān)聯(lián)分析裝置,其特征在于����,安全事件的屬 性特征包括源IP地址與端口���、目的IP地址與端口、事件類別���、事件名稱�����、事件等級�、事件涉 及的設(shè)備以及事件發(fā)生的時間��。
【專利摘要】本公開涉及一種安全事件的智能關(guān)聯(lián)分析方法與裝置���。該方法包括對實時采集到的安全事件進行屬性特征的分解與屬性特征值的標(biāo)準(zhǔn)化�����;利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)����,以確定攻擊類別�����。本公開提高了關(guān)聯(lián)分析的效率����。
【IPC分類】H04L29/06, H04L12/24
【公開號】CN105376193
【申請?zhí)枴緾N201410401184
【發(fā)明人】樊寧, 何明, 沈軍, 金華敏
【申請人】中國電信股份有限公司
【公開日】2016年3月2日
【申請日】2014年8月15日