【技术实现步骤摘要】
本专利技术属于网络空间安全,特别涉及一种基于溯源图电力监控系统网络安全攻击场景智能识别方法。
技术介绍
1、日志是计算机系统、应用程序或服务生成的记录性信息,记录了系统的各种活动、事件和状态。日志分析技术是指对系统日志进行收集、存储、解析和查询等操作,以获取有关系统运行状况、性能监控和安全分析等方面的信息。在电力监控系统运行过程中存在多种业务系统及中间件,攻击者既有可能利用操作系统的漏洞进行入侵,也有可能利用如apache、tomcat、nginx等中间件的漏洞攻击系统。为了完整地还原真实的攻击场景,除了日志的数据以外,还需要基于真实、完整的操作系统日志和中间件的日志,对从信息系统中获取海量日志数据进行必要的处理以进行分析。
2、溯源图是一种有效的信息表达方法,用于追踪数据、信息或事件的来源、传播路径和变化过程,以便进行有效的溯源分析和可信度评估,通过构建攻击溯源图,可以达到攻击检测及溯源的目的。同时,图形化展示技术可以将复杂的溯源关系以直观、易于理解的方式呈现出来,帮助用户更好地理解攻击事件的过程和攻击者的行为模式,进而对告警信息及网络安全攻击场景进行识别。
3、为了识别电力监控网络安全系统中存在的攻击场景,现有的方法利用基于规则、基于特征的机器学习进行检测,但这些方法依赖于详细的规则和特征制定方法,对于电力监控系统中出现的复杂的攻击场景很难面面俱到。同时,目前主流的检测技术仍然停留于入侵检测系统(ids),入侵防御系统(ips),端点检测和响应(edr),网络流量分析等方式,这些方式只能检测短期的,即
技术实现思路
1、为了解决上述问题,本专利技术提供一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,实现了历史告警和横向空间跳跃行为的线索关联追溯,提高了模型的识别准确率和效率,更有效地识别电力监控系统的攻击场景。
2、本专利技术具体为一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,所述电力监控系统网络安全攻击场景智能识别方法分为溯源图收集、子图划分、图嵌入、异常检测四个部分,包括以下步骤:
3、步骤1、针对收集电力监控系统的原始数据集进行整理和标准化处理;
4、步骤2、使用边的时间戳属性进行溯源图的划分,将异常事件定位到具体的时隙中;
5、步骤3、进行子图的全图嵌入,采用节点相似度算法和关系抽取算法,完成线索关联追溯;
6、步骤4、使用自动编码器完成攻击场景智能识别,实现基于告警线索评分的告警排序和告警降噪。
7、进一步地,所述步骤1具体包括如下子步骤:
8、步骤1.1、读取与存储系统日志。使用不同系统自带的审计日志工具,记录电力监控系统中的各类事件(如用户登录和注销、文件访问、系统调用、网络活动、系统启动和关闭等),并通过调用内核模块,捕获各类系统调用和内核事件,将其记录并写入相应日志文件;
9、步骤1.2、溯源图的生成与存储。首先,接收并处理系统审计日志中的事件流,通过解析和提取关键信息(例如,事件类型、时间戳和资源标识符)来构建溯源图的顶点和边;然后,对事件流进行选择、过滤和转换,以符合预先设定的规则和条件。根据事件类型、属性约束或时间窗口等条件,筛选出符合特定需求的事件,并生成精确的溯源图数据;最后,将记录转化为溯源图进行存储;
10、进一步地,所述步骤2具体包括如下子步骤:
11、步骤2.1、以第一个事件为时间基准,得到溯源图中所有事件的相对时间;
12、步骤2.2、以时间戳为基准进行子图划分,将异常事件定位到具体的时隙中;
13、步骤2.3、输出为划分子图后对应的csv文件序列。
14、进一步地,所述步骤3具体包括如下子步骤:
15、步骤3.1、图结构生成,对于子图划分生成的n个子图,使用循环依次从中读取每条边的开始和终止节点编号,节点属性和边属性;
16、步骤3.2、子图嵌入,使用图嵌入算法,其输入为子图序列,输出为子图对应的特征向量。子图嵌入包括三部分,分别为图遍历序列化,序列嵌入学习和图嵌入聚合,其中图遍历序列化是对输入图进行图遍历,并利用节点相似度算法和关系抽取算法生成节点的遍历序列,记录在遍历图时经过的节点顺序;序列嵌入学习是使用词嵌入模型学习节点序列的嵌入表示,得到每个节点的嵌入向量;图嵌入聚合是使用一种聚合函数来将这些节点的向量表示合并成整个图的向量表示,完成告警线索的关联追溯。
17、进一步地,所述步骤4具体包括如下子步骤:
18、步骤4.1、利用自动编码器对子图嵌入向量进行编码;
19、步骤4.2、根据异常分数判定电力监控系统中存在的攻击场景。异常分数描述了一个子图偏离训练数据中的子图的程度。良性溯源图的子图通过自动编码器检测后,异常分数的离群点应是离散分布的,且数量很少,而恶意溯源图的子图通过自动编码器检测后,异常分数的离群点是大量连续分布的,通过检测超过一定阈值的离群点的数目,就可以对攻击场景进行识别。定义告警线索评分asi作为判定告警级别的依据,根据超过异常分数阈值的离群点数,和设定的异常阈值和灵敏度,进行攻击场景识别和告警排序。
20、与现有技术相比,有益效果是:
21、1、采用时间片划分技术,实现了突破告警时间窗口限制的跨时空告警证据线索自动化挖掘方法;
22、2、采用无监督学习,对以往未见过的攻击场景有一定的识别能力;
23、3、检测能力较强,基于时间片,平衡遗忘率和灵敏度,实现了历史告警和横向空间跳跃行为的线索关联追溯,提高了模型的识别准确率和效率,更有效地识别电力监控系统的攻击场景。
本文档来自技高网...【技术保护点】
1.一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,电力监控系统网络安全攻击场景智能识别方法包括如下几个步骤:
2.根据权利要求1所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤1具体包括如下子步骤:
3.根据权利要求2所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤2具体包括如下子步骤:
4.根据权利要求3所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤3具体包括如下子步骤:
5.根据权利要求4所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤3.2中的子图嵌入包括三部分,分别为图遍历序列化,序列嵌入学习和图嵌入聚合,其中图遍历序列化是对输入图进行图遍历,并利用节点相似度算法和关系抽取算法生成节点的遍历序列,记录在遍历图时经过的节点顺序;序列嵌入学习是使用词嵌入模型学习节点序列的嵌入表示,得到每个节点的嵌入向量;图嵌入聚合是使用一种聚合函数来将这些节点的向量表示合并成整个图的向量
6.根据权利要求4或5所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤4具体包括如下子步骤:
7.根据权利要求6所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤4.2中,异常分数描述了一个子图偏离训练数据中的子图的程度;良性溯源图的子图通过自动编码器检测后,异常分数的离群点应是离散分布的,且数量很少,而恶意溯源图的子图通过自动编码器检测后,异常分数的离群点是大量连续分布的,通过检测超过一定阈值的离群点的数目,就能够对攻击场景进行识别;
...【技术特征摘要】
1.一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,电力监控系统网络安全攻击场景智能识别方法包括如下几个步骤:
2.根据权利要求1所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤1具体包括如下子步骤:
3.根据权利要求2所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤2具体包括如下子步骤:
4.根据权利要求3所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤3具体包括如下子步骤:
5.根据权利要求4所述的一种基于溯源图电力监控系统网络安全攻击场景智能识别方法,其特征在于,所述步骤3.2中的子图嵌入包括三部分,分别为图遍历序列化,序列嵌入学习和图嵌入聚合,其中图遍历序列化是对输入图进行图遍历,并利用节点相...
【专利技术属性】
技术研发人员:于磊,王佳宁,薛晓超,叶欣,温啸宇,王亦凡,陈星,傅中兴,余利斌,邹蓉蓉,王磊,
申请(专利权)人:国网江苏省电力有限公司盐城供电分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。