一种基于关联检测的事中实时告警方法和系统技术方案

本发明专利技术提供了一种基于关联检测的事中实时告警方法和系统，包括从报警信息库中根据预先定义的规则选择样本，所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合；对样本进行关联规则的挖掘与筛选，结合报警信息的发生时间得到若干类具有特定关系的报警信息集合；对于每一类具有特定关系的报警信息集合，以提高报警效率为目标进行场景重构，基于场景重构后的报警信息集合进行报警，从而提高报警的效率。本发明专利技术通过关联规则挖掘得到具有不同关系的报警信息集合，并进一步进行场景重构，利用其他报警信息对当前入侵行为进行补充检测，从而提升报警的准确性。性。性。

【技术实现步骤摘要】
一种基于关联检测的事中实时告警方法和系统


[0001]本专利技术属于数据处理
，具体涉及一种基于关联检测的事中实时告警方法和系统。

技术介绍

[0002]随着业务和IT基础设施的规模不断扩大，以及新技术的发展，国内电网电力通信网络的规模越来越大，随之而来的安全问题也层出不穷。作为一种主动保护自己免受攻击的网络安全技术，入侵检测技术能够帮助系统对付网络攻击，但是传统的入侵检测系统往往会产生数量庞大的报警信息，给管理人员分析、防御工作带来了挑战。
[0003]面对日益复杂的网络攻击形势，现有的报警信息关联分析模型能够通过分析报警信息，提取多步骤攻击规则，更好地显示攻击者的意图和攻击方式，进而做出相应的防御措施。但是由于大量的重复报警和误报的存在，大大降低了真实报警的可见性，使得管理员难以从纷繁芜杂的事件中准确识别出真正的攻击和威胁的报警，如何利用报警之间的关系体现有关攻击的信息，从而实现快速高效的网络安全防护显得尤为重要。

技术实现思路

[0004]有鉴于此，本专利技术旨在解决现有报警信息关联分析模型在面对海量的报警信息时，由于大量的重复报警和误报的存在降低了报警的准确性的问题。
[0005]为了解决上述技术问题，本专利技术提供以下技术方案：第一方面，本专利技术提供了一种基于关联检测的事中实时告警方法，包括：从报警信息库中根据预先定义的规则选择样本，所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合；对样本进行关联规则的挖掘与筛选，结合报警信息的发生时间得到若干类具有特定关系的报警信息集合；对于每一类具有特定关系的报警信息集合，以提高报警效率为目标进行场景重构，利用不同攻击类型的报警信息对应的场景对其他具有特定关系的报警信息进行补充检测，基于场景重构后的报警信息集合进行报警，从而提高报警的效率。
[0006]进一步的，若干类具有特定关系的报警信息集合包括具有伴随关系的报警信息集合，对于具有伴随关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，具体包括：将所有具有伴随关系的报警信息所一一对应的检测场景按照聚合的方式进行场景聚合，得到基于伴随关系的新检测场景，记为第一检测场景，在第一检测场景下，原先任意一个检测场景到达警报状态时都会导致在第一检测场景下到达警报状态；当第一检测场景由于其他入侵行为的发生而达到报警状态时，则对所有与其他已发生的入侵行为相伴随的、且还未发生的入侵行为发出紧急报警信号。
[0007]进一步的，若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信
息集合，对于具有向前关联关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，具体包括：对正在监控的入侵行为所对应的检测场景采用连接的方式进行场景连接，得到基于向前关联关系的新检测场景，记为第二检测场景，即在正在监控的入侵行为所对应的检测场景中增加一个状态作为最终的报警状态，并增加一个从原报警状态转移到新的报警状态的转移，转移的生效与否由场景变量数组的值所确定，场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定；在第二检测场景下，若场景变量数组的值满足设定条件，则转移生效，对正在监控的入侵行为发出紧急报警信号。
[0008]进一步的，若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合，对于具有向前关联关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，还包括：对正在监控的入侵行为所对应的检测场景采用补报的方式进行场景补报，得到基于向前关联关系的新检测场景，记为第三检测场景，即将各报警信息所对应的检测场景并联加入到正在监控的入侵行为对应的场景中，并增加一个从初始状态转移到报警状态的转移，转移的生效与否由场景变量数组的值所确定，场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定；在第三检测场景下，若场景变量数组的值满足设定条件，则转移生效，对正在监控的入侵行为进行紧急报警信号补报。
[0009]进一步的，若干类具有特定关系的报警信息集合包括具有向后关联关系的报警信息集合，对于具有向后关联关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，具体包括：对正在监控的入侵行为所对应的检测场景采用预报的方式进行场景预报，得到基于向后关联关系的新检测场景，记为第四检测场景，即将各报警信息所对应的检测场景并联加入到正在监控的入侵行为对应的场景中，并增加一个从初始状态转移到报警状态的转移，转移的生效与否由场景变量数组的值所确定，场景变量数组的值由与正在监控的入侵行为具有向后关联关系的其他报警信息所对应的场景终止状态所确定；在第四检测场景下，若场景变量数组的值满足设定条件，则转移生效，对正在监控的入侵行为进行紧急报警信号预报。
[0010]第二方面，本专利技术提供了一种基于关联检测的事中实时告警系统，包括：样本选择单元，用于从报警信息库中根据预先定义的规则选择样本，所选择的样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合；关联规则挖掘单元，用于对样本进行关联规则的挖掘与筛选，结合报警信息的发生时间得到若干类具有特定关系的报警信息集合；场景重构及告警单元，用于对于每一类具有特定关系的报警信息集合，以提高报警效率为目标进行场景重构，利用不同攻击类型的报警信息对应的场景对其他具有特定关系的报警信息进行补充检测，基于场景重构后的报警信息集合进行报警，从而提高报警的效率。
[0011]进一步的，在场景重构及告警单元中，若干类具有特定关系的报警信息集合包括
具有伴随关系的报警信息集合，对于具有伴随关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，具体包括：将所有具有伴随关系的报警信息所一一对应的检测场景按照聚合的方式进行场景聚合，得到基于伴随关系的新检测场景，记为第一检测场景，在第一检测场景下，原先任意一个检测场景到达警报状态时都会导致在第一检测场景下到达警报状态；当第一检测场景由于其他入侵行为的发生而达到报警状态时，则对所有与其他已发生的入侵行为相伴随的、且还未发生的入侵行为发出紧急报警信号。
[0012]进一步的，在场景重构及告警单元中，若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合，对于具有向前关联关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，具体包括：对正在监控的入侵行为所对应的检测场景采用连接的方式进行场景连接，得到基于向前关联关系的新检测场景，记为第二检测场景，即在正在监控的入侵行为所对应的检测场景中增加一个状态作为最终的报警状态，并增加一个从原报警状态转移到新的报警状态的转移，转移的生效与否由场景变量数组的值所确定，场景变量数组的值由与正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定；在第二检测场景下，若场景变量数组的值满足设定条件，则转移生效，对正在监控的入侵行为发出紧急报警信号。
[0013]进一步的，在场景重构及告警单元中，若干类具有特定关系的报警信息本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于关联检测的事中实时告警方法，其特征在于，包括：从报警信息库中根据预先定义的规则选择样本，所选择的所述样本为同一攻击源对同一攻击目标在一波攻击中的所有报警信息数据项的集合；对所述样本进行关联规则的挖掘与筛选，结合报警信息的发生时间得到若干类具有特定关系的报警信息集合；对于每一类所述具有特定关系的报警信息集合，以提高报警效率为目标进行场景重构，利用不同攻击类型的报警信息对应的场景对其他具有所述特定关系的报警信息进行补充检测，基于场景重构后的所述报警信息集合进行报警，从而提高报警的效率。2.根据权利要求1所述的基于关联检测的事中实时告警方法，其特征在于，所述若干类具有特定关系的报警信息集合包括具有伴随关系的报警信息集合，对于所述具有伴随关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，具体包括：将所有具有伴随关系的报警信息所一一对应的检测场景按照聚合的方式进行场景聚合，得到基于伴随关系的新检测场景，记为第一检测场景，在所述第一检测场景下，原先任意一个所述检测场景到达警报状态时都会导致在所述第一检测场景下到达所述警报状态；当所述第一检测场景由于其他入侵行为的发生而达到报警状态时，则对所有与其他已发生的入侵行为相伴随的、且还未发生的紧急报警行为发出紧急报警信号。3.根据权利要求1所述的基于关联检测的事中实时告警方法，其特征在于，所述若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合，对于所述具有向前关联关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，具体包括：对正在监控的入侵行为所对应的检测场景采用连接的方式进行场景连接，得到基于向前关联关系的新检测场景，记为第二检测场景，即在所述正在监控的入侵行为所对应的检测场景中增加一个状态作为最终的报警状态，并增加一个从原报警状态转移到新的报警状态的转移，转移的生效与否由场景变量数组的值所确定，所述场景变量数组的值由与所述正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定；在所述第二检测场景下，若所述场景变量数组的值满足设定条件，则所述转移生效，对所述正在监控的入侵行为发出紧急报警信号。4.根据权利要求1所述的基于关联检测的事中实时告警方法，其特征在于，所述若干类具有特定关系的报警信息集合包括具有向前关联关系的报警信息集合，对于所述具有向前关联关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，还包括：对正在监控的入侵行为所对应的检测场景采用补报的方式进行场景补报，得到基于向前关联关系的新检测场景，记为第三检测场景，即将各报警信息所对应的检测场景并联加入到所述正在监控的入侵行为对应的场景中，并增加一个从初始状态转移到报警状态的转移，所述转移的生效与否由场景变量数组的值所确定，所述场景变量数组的值由与所述正在监控的入侵行为具有向前关联关系的其他报警信息所对应的场景终止状态所确定；在所述第三检测场景下，若所述场景变量数组的值满足设定条件，则所述转移生效，对所述正在监控的入侵行为进行紧急报警信号补报。5.根据权利要求1所述的基于关联检测的事中实时告警方法，其特征在于，所述若干类具有特定关系的报警信息集合包括具有向后关联关系的报警信息集合，对于所述具有向后关联关系的报警信息集合，以提高报警效率为目标进行场景重构并报警，具体包括：
对正在监控的入侵行为所对应的检测场景采用预报的方式进行场景预报，得到基于向后关联关系的新检测场景，记为第四检测场景，即将各报警信息所对应的检测场景并联加入到所述正在监控的入侵行为对应的场景中，并增加一个从初始状态转移到报警状态的转移，所述转移的生效与否由场景变量数组的值所确定，所述场景变量数组的值由与所述正在监控的入侵行为具有向后关联关系的其他报警信息所对应的场景终止状态所确定；在所述第四检测场景下，若所述场景变量数组的值满足设定条件，则所述转移生效，对所述正在监控的入侵行为进行紧急报警信号预报。6.一种基于关联检测的事中实时告警系统，其特征在于，包括：样本选择单元，用于从报警信息库中根据...

【专利技术属性】
技术研发人员：郭凤婵，陆庭辉，吴毅良，刘翠媚，凌子文，罗序良，陈泽鸿，林海，梁治华，吕啟尤，许海，王坤明，宋惠宇，
申请(专利权)人：广东电网有限责任公司江门供电局，
类型：发明
国别省市：