權(quán)重的設(shè)置���,需要在實(shí)際運(yùn)行環(huán)境中去不斷訓(xùn)練模糊場(chǎng)景關(guān)聯(lián)分析的模型���,以 達(dá)到更好的效果���,最終將權(quán)值的分配變?yōu)榭墒止づ渲玫摹0踩珗?bào)警等級(jí)的模擬權(quán)重如下表 所示(表中高����、中級(jí)數(shù)據(jù)為假設(shè)數(shù)據(jù)):
[0054] 表2報(bào)警級(jí)別模擬權(quán)重表
[0056]二、計(jì)算事件疑似度:
[0057] -個(gè)IP的事件疑似度是由數(shù)據(jù)源種類(lèi)�、安全報(bào)警數(shù)量和安全報(bào)警等級(jí)決定的,所 以在計(jì)算得出報(bào)警來(lái)源權(quán)重�、報(bào)警數(shù)量權(quán)重和報(bào)警級(jí)別權(quán)重之后,可以利用它們來(lái)計(jì)算事 件疑似度��,計(jì)算公式為:
[0058]其中DoubtC表示源IP(或目的IP)作為攻擊源(或攻擊目的)的疑似度�����。η表示時(shí)間 范圍內(nèi)參加計(jì)算的安全報(bào)警數(shù)量����。Tsi表示報(bào)警來(lái)源權(quán)重�����,Tci表示報(bào)警數(shù)量權(quán)重,Tdi表示報(bào) 警等級(jí)權(quán)重�。Fa為疑似度調(diào)整系數(shù),是一個(gè)常量值����,設(shè)置是一個(gè)將疑似度作整體調(diào)整的 人性化設(shè)計(jì),更能符合用戶(hù)對(duì)于疑似度的感念意識(shí)����。需要注意的是,F(xiàn) a的設(shè)置�����,需要在實(shí)際 運(yùn)行環(huán)境中去不斷訓(xùn)練模糊場(chǎng)景關(guān)聯(lián)分析的模型����,以達(dá)到更好的效果。最終���,將權(quán)值的分配 變?yōu)榭墒止づ渲玫摹?br>[0059]在計(jì)算報(bào)警聚合數(shù)量權(quán)重和某IP對(duì)應(yīng)的事件疑似度時(shí)�����,都使用了雙曲正切函數(shù)y = th(x) = (e~x-e~(-x))/(e~x+e~(_x))��,如圖4所示���。在使用雙曲正切函數(shù)計(jì)算聚合數(shù)量權(quán) 重Tc時(shí)�����,能保證聚合數(shù)量的大小變化對(duì)權(quán)重值影響不成比例�。在計(jì)算事件疑似度時(shí)�����,不論數(shù) 值有多大(如:疑似度原值可以是無(wú)限大)����,最終計(jì)算出的結(jié)果都是在0-1之間的,而其他函 數(shù)則沒(méi)有此性質(zhì)����。雙曲函數(shù)這樣的性質(zhì)正符合要求一一用百分比定性表示疑似度。由此分 值限制計(jì)算公式中利用雙曲正切函數(shù)將疑似度值控制在0-100%之間�,從而最終得到疑似 度。
[0060]本發(fā)明模糊場(chǎng)景關(guān)聯(lián)分析算法實(shí)施例:時(shí)間范圍10分鐘,取源IP為192.168.10.1 的10條數(shù)據(jù)為例;數(shù)量權(quán)重計(jì)算公式中的Fn值為200�����,a系數(shù)值為10;安全報(bào)警等級(jí)權(quán)值高中 低分別為:Td = 6�、Td = 4�、Td = l;疑似度計(jì)算公式中的Fa值為1000。
[0062] DoubtC = th( 9982 · 400/10000) = 0 · 7609�,則時(shí)間范圍 10分鐘,源IP為 192 · 168 · 10 · 1的攻擊者疑似度為76 · 09%��。
[0063] 最后應(yīng)當(dāng)說(shuō)明的是�����,以上內(nèi)容僅用以說(shuō)明本發(fā)明的技術(shù)方案�,而非對(duì)本發(fā)明保護(hù) 范圍的限制,本領(lǐng)域的普通技術(shù)人員對(duì)本發(fā)明的技術(shù)方案進(jìn)行的簡(jiǎn)單修改或者等同替換���, 均不脫離本發(fā)明技術(shù)方案的實(shí)質(zhì)和范圍����。
【主權(quán)項(xiàng)】
1. 一種基于模糊場(chǎng)景的關(guān)鍵IP地址安全報(bào)警關(guān)聯(lián)分析方法�,其特征在于:所述關(guān)聯(lián)分 析方法包括如下步驟:首先利用統(tǒng)計(jì)方法對(duì)報(bào)警進(jìn)行聚合,然后利用策略對(duì)報(bào)警進(jìn)行忽略 和過(guò)濾,最后利用基于模糊場(chǎng)景的關(guān)聯(lián)分析算法計(jì)算出與源IP對(duì)應(yīng)的事件疑似度�,并采用 大數(shù)據(jù)分析方法對(duì)與嫌疑IP有關(guān)的報(bào)警日志進(jìn)行統(tǒng)計(jì)查詢(xún);根據(jù)疑似度的大小和排序,管 理人員能夠?qū)Ξ?dāng)前的網(wǎng)絡(luò)狀況有個(gè)直觀(guān)的認(rèn)識(shí)����,并基于關(guān)聯(lián)分析的結(jié)果進(jìn)行與安全事件相 關(guān)的展示以及進(jìn)行安全態(tài)勢(shì)評(píng)估;所述關(guān)聯(lián)分析算法影響事件疑似度的因素有報(bào)警來(lái)源、 聚合數(shù)量和報(bào)警等級(jí)三個(gè)因素���,在計(jì)算事件疑似度時(shí)首先分別計(jì)算出所述三個(gè)因素對(duì)應(yīng)的 權(quán)重�����,最后將三個(gè)權(quán)重進(jìn)行融合�。2. 根據(jù)權(quán)利要求1所述的基于模糊場(chǎng)景的關(guān)鍵IP地址安全報(bào)警關(guān)聯(lián)分析方法��,其特征 在于:所述報(bào)警來(lái)源權(quán)重Ts的計(jì)算方法為:由于四個(gè)數(shù)據(jù)源產(chǎn)生的安全報(bào)警的影響是不同 的�����,已用于生成安全事件的安全報(bào)警最高����,未人工處理的安全報(bào)警次之,聚合失敗或被策略 忽略的安全報(bào)警和人為忽略的安全報(bào)警均屬于忽略狀態(tài)的報(bào)警�,所以此兩者的影響最低����, 其對(duì)應(yīng)在計(jì)算方法中的權(quán)值也是依次降低��,已用于生成安全事件的安全報(bào)警權(quán)重 > 未人工 處理的安全報(bào)警權(quán)重>聚合失敗或被策略忽略的安全報(bào)警=人為忽略的安全報(bào)警權(quán)重;數(shù) 據(jù)源權(quán)重Ts的范圍為1-100,對(duì)于每個(gè)具體的權(quán)值如何設(shè)置需要在實(shí)際運(yùn)行環(huán)境中不斷訓(xùn) 練模糊場(chǎng)景關(guān)聯(lián)分析的模型�,最終將權(quán)值的分配變?yōu)榭墒止づ渲玫摹?. 根據(jù)權(quán)利要求1所述的基于模糊場(chǎng)景的關(guān)鍵IP地址安全報(bào)警關(guān)聯(lián)分析方法,其特征 在于:所述聚合數(shù)量權(quán)重Tc的計(jì)算方法為:在模糊場(chǎng)景關(guān)聯(lián)分析方法中���,每個(gè)報(bào)警的聚合數(shù) 量存在較大差異,為了避免聚合數(shù)量對(duì)計(jì)算結(jié)果誤導(dǎo)性影響�,聚合數(shù)量權(quán)重采用非線(xiàn)性的 計(jì)算方式獲得,具體計(jì)算公式為:Tc = a*th(x/Fn)���,聚合數(shù)量權(quán)重Tc的計(jì)算公式為雙曲正切 函數(shù)���,使用雙曲正切函數(shù)能保證數(shù)量的大小變化對(duì)權(quán)重值影響不成比例。4. 根據(jù)權(quán)利要求1所述的基于模糊場(chǎng)景的關(guān)鍵IP地址安全報(bào)警關(guān)聯(lián)分析方法�����,其特征 在于:所述報(bào)警等級(jí)權(quán)重Td的計(jì)算方法為:安全報(bào)警一共分為三個(gè)等級(jí):高����、中���、低;報(bào)警等 級(jí)的權(quán)重Td的范圍為1-10,由于低等級(jí)的安全報(bào)警對(duì)于疑似度的影響較小,系統(tǒng)默認(rèn)定義 低級(jí)別安全報(bào)警的權(quán)值為1;報(bào)警等級(jí)權(quán)重Td的設(shè)置需要在實(shí)際運(yùn)行環(huán)境中不斷訓(xùn)練模糊 場(chǎng)景關(guān)聯(lián)分析的模型�,最終將權(quán)值的分配變?yōu)榭墒止づ渲玫摹?. 根據(jù)權(quán)利要求1所述的基于模糊場(chǎng)景的關(guān)鍵IP地址安全報(bào)警關(guān)聯(lián)分析方法,其特征 在于:所述計(jì)算事件疑似度的方法為:一個(gè)IP的事件疑似度是由數(shù)據(jù)源種類(lèi)����、安全報(bào)警數(shù)量 和安全報(bào)警等級(jí)決定的,所以在計(jì)算得出報(bào)警來(lái)源權(quán)重Ts�、聚合數(shù)量權(quán)重Tc和報(bào)警等級(jí)權(quán) 重Td之后,可以利用它們來(lái)計(jì)算事件疑似度����,具體計(jì)算公式為:D°ubte = #Te#Tm) ; 在計(jì)算報(bào)警聚合數(shù)量權(quán)重和某IP對(duì)應(yīng)的事件疑似度時(shí)�,都使用了雙曲正切函數(shù)y = th(x) = (6、-^(1))/(6���、+^(1))�����,在使用雙曲正切函數(shù)計(jì)算聚合數(shù)量權(quán)重1^時(shí)�����,能保證聚合數(shù) 量的大小變化對(duì)權(quán)重值影響不成比例;在計(jì)算事件疑似度時(shí)�,不論數(shù)值有多大,最終計(jì)算出 的結(jié)果都是在0-1之間的��,而其他函數(shù)則沒(méi)有此性質(zhì)�;由此分值限制計(jì)算公式中利用雙曲正 切函數(shù)將疑似度值控制在0-100%之間,從而最終得到疑似度���。
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種基于模糊場(chǎng)景的關(guān)鍵IP地址安全報(bào)警關(guān)聯(lián)分析方法��,其首先利用統(tǒng)計(jì)方法對(duì)報(bào)警進(jìn)行聚合����,然后利用策略對(duì)報(bào)警進(jìn)行忽略和過(guò)濾���,最后利用基于模糊場(chǎng)景的關(guān)聯(lián)分析算法計(jì)算出與源IP對(duì)應(yīng)的事件疑似度,并采用大數(shù)據(jù)分析方法對(duì)與嫌疑IP有關(guān)的報(bào)警日志進(jìn)行統(tǒng)計(jì)查詢(xún)�����。本發(fā)明創(chuàng)新性的提出了模糊場(chǎng)景的概念�����,打破傳統(tǒng)的構(gòu)建攻擊場(chǎng)景進(jìn)行分析的方式,其中模糊場(chǎng)景的關(guān)聯(lián)分析方式是以IP地址為核心進(jìn)行相關(guān)的海量安全報(bào)警事件的深度挖掘和關(guān)聯(lián)分析的方式�����。本發(fā)明通過(guò)分析可能影響IP安全的報(bào)警的相關(guān)因素��,對(duì)該因素進(jìn)行整合分析����,最后由事件疑似度計(jì)算公式得出反映IP安全情況的疑似度數(shù)值。
【IPC分類(lèi)】H04L12/24
【公開(kāi)號(hào)】CN105471623
【申請(qǐng)?zhí)枴緾N201510776357
【發(fā)明人】曲光學(xué), 胡勇, 李曉蓉, 劉水生, 曹鵬
【申請(qǐng)人】中國(guó)煙草總公司江蘇省公司
【公開(kāi)日】2016年4月6日
【申請(qǐng)日】2015年11月16日