本發(fā)明屬于系統(tǒng)安全監(jiān)測領(lǐng)域，具體而言涉及一種基于告警數(shù)據(jù)分析的安全事件預(yù)警方法及系統(tǒng)。

背景技術(shù)：

1、現(xiàn)有技術(shù)中告警級(jí)別通常分為緊急告警、重要告警、次要告警、提示告警，對(duì)于緊急告警、重要告警能夠及時(shí)引起維護(hù)人員的注意，非重要告警，如次要告警、提示告警通常被維護(hù)人員忽略，但持續(xù)的低優(yōu)先級(jí)告警可能在特定條件下構(gòu)成嚴(yán)重的威脅。

2、例如，某個(gè)ip地址持續(xù)多次嘗試使對(duì)不同的用戶進(jìn)行密碼嘗試，每次嘗試失敗都會(huì)觸發(fā)低優(yōu)先級(jí)的登錄失敗告警。如果攻擊者采用緩慢、分散的暴力破解方法，每次嘗試間隔時(shí)間較長，可能不會(huì)觸發(fā)高優(yōu)先級(jí)的告警。但這種持續(xù)的低優(yōu)先級(jí)告警累計(jì)起來，可能意味著攻擊者正在進(jìn)行有計(jì)劃的暴力破解攻擊。

3、攻擊者在侵入系統(tǒng)后，可能會(huì)嘗試在內(nèi)部網(wǎng)絡(luò)中橫向移動(dòng)，尋找更高權(quán)限的賬戶或更敏感的數(shù)據(jù)。在這個(gè)過程中，可能會(huì)觸發(fā)一些低優(yōu)先級(jí)的告警，如未經(jīng)授權(quán)的嘗試訪問共享文件夾、低優(yōu)先級(jí)的用戶權(quán)限提升嘗試、異常的服務(wù)請求等。這些告警單獨(dú)來看可能不構(gòu)成嚴(yán)重威脅，但當(dāng)攻擊者在多個(gè)節(jié)點(diǎn)或多個(gè)服務(wù)之間橫向移動(dòng)時(shí)，低優(yōu)先級(jí)告警的頻發(fā)可能暗示著攻擊者已經(jīng)突破了初步防線，并正在嘗試擴(kuò)展其控制范圍。

4、雖然單個(gè)非重要告警看似無害，但當(dāng)它們以持續(xù)、集中、或具有某種模式的方式出現(xiàn)時(shí)，可能暗示著攻擊者正在進(jìn)行更大規(guī)模、更隱蔽的攻擊準(zhǔn)備。

5、然而非重要告警的數(shù)量通常較多，并且隨著環(huán)境的變化，告警的數(shù)量波動(dòng)也較大，通常很難通過設(shè)定固定的閾值從大量的告警數(shù)據(jù)中篩選出可能存在異常的數(shù)據(jù)，導(dǎo)致難以識(shí)別隱蔽的攻擊。

技術(shù)實(shí)現(xiàn)思路

1、為了解決現(xiàn)有技術(shù)中的問題，本發(fā)明提供一種基于告警數(shù)據(jù)分析的安全事件預(yù)警方法，所述方法包括如下步驟：

2、為第一類非重要告警以告警觸發(fā)用戶為第一坐標(biāo)軸，以告警觸發(fā)資產(chǎn)為第二坐標(biāo)軸構(gòu)建告警坐標(biāo)系；

3、實(shí)時(shí)獲取第一類非重要告警數(shù)據(jù)；

4、獲取第一時(shí)間窗口內(nèi)每一用戶與每一資產(chǎn)對(duì)應(yīng)的告警數(shù)量；

5、將所述告警數(shù)量轉(zhuǎn)換成灰度值；

6、將所述灰度值標(biāo)注于所述告警坐標(biāo)系；

7、將所述警坐標(biāo)系變換為告警圖像，對(duì)所述告警圖像使用霍夫變換進(jìn)行直線檢測；當(dāng)直線置信度大于預(yù)設(shè)值時(shí)判斷所述第一類非重要告警可能存在異常，將所述告警坐標(biāo)系顯示于第一用戶界面。

8、本發(fā)明另一方面還提供一種基于告警數(shù)據(jù)分析的安全事件預(yù)警系統(tǒng)，所述系統(tǒng)包括如下模塊：

9、設(shè)置模塊，用于為第一類非重要告警以告警觸發(fā)用戶為第一坐標(biāo)軸，以告警觸發(fā)資產(chǎn)為第二坐標(biāo)軸構(gòu)建告警坐標(biāo)系；

10、獲取模塊，用于實(shí)時(shí)獲取第一類非重要告警數(shù)據(jù)；

11、計(jì)算模塊，用于獲取第一時(shí)間窗口內(nèi)每一用戶與每一資產(chǎn)對(duì)應(yīng)的告警數(shù)量；

12、轉(zhuǎn)換模塊，用于將所述告警數(shù)量轉(zhuǎn)換成灰度值；

13、標(biāo)注模塊，用于將所述灰度值標(biāo)注于所述告警坐標(biāo)系；

14、判斷模塊，用于將所述警坐標(biāo)系變換為告警圖像，對(duì)所述告警圖像使用霍夫變換進(jìn)行直線檢測；當(dāng)直線置信度大于預(yù)設(shè)值時(shí)判斷所述第一類非重要告警可能存在異常，將所述告警坐標(biāo)系顯示于第一用戶界面。

15、本發(fā)明通過上述技術(shù)方案，可以產(chǎn)生如下有益效果：

16、與傳統(tǒng)的基于固定閾值的告警系統(tǒng)不同，本發(fā)明通過圖像化的告警數(shù)據(jù)分析方法，不需要預(yù)先設(shè)定基于告警數(shù)量的閾值。傳統(tǒng)方法中，告警數(shù)量的波動(dòng)和環(huán)境變化常常導(dǎo)致設(shè)定的閾值無法有效捕捉異常情況，而本發(fā)明通過霍夫變換等圖像處理技術(shù)，能夠直接從告警圖像中識(shí)別出潛在的異常行為。即使告警數(shù)量發(fā)生顯著變化，系統(tǒng)依然能夠精準(zhǔn)識(shí)別潛在威脅。

17、在本發(fā)明中，當(dāng)系統(tǒng)中出現(xiàn)異常情況時(shí)，告警圖像中會(huì)自動(dòng)顯現(xiàn)出明顯的線性圖像。這種線性模式通常是由多個(gè)相關(guān)的告警事件所引發(fā)的，代表了用戶與資產(chǎn)之間的高度相關(guān)的活動(dòng)或攻擊行為。由于該方法基于圖像模式識(shí)別，無論告警數(shù)據(jù)的數(shù)量如何波動(dòng)或變化，系統(tǒng)都能夠有效地檢測到異常行為，確保安全事件的早期預(yù)警。

18、本發(fā)明不依賴固定的告警數(shù)量閾值，因而能夠適應(yīng)各種動(dòng)態(tài)變化的環(huán)境。無論是在高負(fù)載的網(wǎng)絡(luò)環(huán)境中，還是在告警數(shù)據(jù)波動(dòng)較大的場景中，系統(tǒng)都能夠通過圖像處理手段可靠地識(shí)別異常情況。這種特性使得系統(tǒng)在應(yīng)對(duì)復(fù)雜和多變的安全威脅時(shí)，具有更強(qiáng)的適應(yīng)能力和穩(wěn)定性。

19、由于不再依賴于固定閾值，本發(fā)明有效減少了因閾值設(shè)定不當(dāng)而導(dǎo)致的誤報(bào)和漏報(bào)問題。通過圖像中顯著的線性特征，系統(tǒng)能夠更準(zhǔn)確地識(shí)別出實(shí)際的異常行為，而不會(huì)因?yàn)楦婢瘮?shù)量不足或短暫的波動(dòng)而錯(cuò)過潛在威脅。

20、本發(fā)明能夠應(yīng)用于各種告警類型和系統(tǒng)環(huán)境，無論是金融系統(tǒng)、工業(yè)控制系統(tǒng)，還是企業(yè)網(wǎng)絡(luò)管理平臺(tái)。通過圖像化的告警分析和線性特征檢測，系統(tǒng)在不同的應(yīng)用場景中均能有效發(fā)揮作用，確保在不同環(huán)境下均能及時(shí)預(yù)警安全威脅。

技術(shù)特征：

1.一種基于告警數(shù)據(jù)分析的安全事件預(yù)警方法，其特征在于所述方法包括如下步驟：

2.根據(jù)權(quán)利要求1所述的一種基于告警數(shù)據(jù)分析的安全事件預(yù)警方法，其特征在于：實(shí)時(shí)獲取第一類非重要告警數(shù)據(jù)時(shí)引入流處理框架來處理告警數(shù)據(jù)流。

3.根據(jù)權(quán)利要求1所述的一種基于告警數(shù)據(jù)分析的安全事件預(yù)警方法，其特征在于：將所述告警數(shù)量轉(zhuǎn)換成灰度值將對(duì)所述告警數(shù)量進(jìn)行標(biāo)準(zhǔn)化處理。

4.根據(jù)權(quán)利要求1所述的一種基于告警數(shù)據(jù)分析的安全事件預(yù)警方法，其特征在于：將權(quán)限相同的用戶移動(dòng)到坐標(biāo)系中相鄰的位置，將資產(chǎn)類型相同的資產(chǎn)移動(dòng)到坐標(biāo)系中相鄰的位置。

5.根據(jù)權(quán)利要求1所述的一種基于告警數(shù)據(jù)分析的安全事件預(yù)警方法，其特征在于：當(dāng)直線置信度大于預(yù)設(shè)值時(shí)判斷所述第一類非重要告警可能存在異常后用戶點(diǎn)擊圖像中的直線或標(biāo)注區(qū)域，系統(tǒng)將彈出詳細(xì)的告警信息，包括時(shí)間、涉及的用戶與資產(chǎn)、告警的具體內(nèi)容。

6.一種基于告警數(shù)據(jù)分析的安全事件預(yù)警系統(tǒng)，其特征在于所述系統(tǒng)包括如下模塊：

7.根據(jù)權(quán)利要求6所述的一種基于告警數(shù)據(jù)分析的安全事件預(yù)警系統(tǒng)，其特征在于：實(shí)時(shí)獲取第一類非重要告警數(shù)據(jù)時(shí)引入流處理框架來處理告警數(shù)據(jù)流。

8.根據(jù)權(quán)利要求6所述的一種基于告警數(shù)據(jù)分析的安全事件預(yù)警系統(tǒng)，其特征在于：將所述告警數(shù)量轉(zhuǎn)換成灰度值將對(duì)所述告警數(shù)量進(jìn)行標(biāo)準(zhǔn)化處理。

9.根據(jù)權(quán)利要求6所述的一種基于告警數(shù)據(jù)分析的安全事件預(yù)警系統(tǒng)，其特征在于：將權(quán)限相同的用戶移動(dòng)到坐標(biāo)系中相鄰的位置，將資產(chǎn)類型相同的資產(chǎn)移動(dòng)到坐標(biāo)系中相鄰的位置。

10.根據(jù)權(quán)利要求6所述的一種基于告警數(shù)據(jù)分析的安全事件預(yù)警系統(tǒng)，其特征在于：當(dāng)直線置信度大于預(yù)設(shè)值時(shí)判斷所述第一類非重要告警可能存在異常后用戶點(diǎn)擊圖像中的直線或標(biāo)注區(qū)域，系統(tǒng)將彈出詳細(xì)的告警信息，包括時(shí)間、涉及的用戶與資產(chǎn)、告警的具體內(nèi)容。

技術(shù)總結(jié)
本發(fā)明屬于系統(tǒng)安全監(jiān)測領(lǐng)域，提供一種基于告警數(shù)據(jù)分析的安全事件預(yù)警方法及系統(tǒng)，包括：為第一類非重要告警以告警觸發(fā)用戶為第一坐標(biāo)軸，以告警觸發(fā)資產(chǎn)為第二坐標(biāo)軸構(gòu)建告警坐標(biāo)系；實(shí)時(shí)獲取第一類非重要告警數(shù)據(jù)；獲取第一時(shí)間窗口內(nèi)每一用戶與每一資產(chǎn)對(duì)應(yīng)的告警數(shù)量；將所述告警數(shù)量轉(zhuǎn)換成灰度值；將所述灰度值標(biāo)注于所述告警坐標(biāo)系；將所述警坐標(biāo)系變換為告警圖像，對(duì)所述告警圖像使用霍夫變換進(jìn)行直線檢測；當(dāng)直線置信度大于預(yù)設(shè)值時(shí)判斷所述第一類非重要告警可能存在異常，將所述告警坐標(biāo)系顯示于第一用戶界面。上述方案高效地進(jìn)告警數(shù)據(jù)分析。

技術(shù)研發(fā)人員：馮建濤,鄭桐科,歐俊利,徐霞,王李龍,鮑遠(yuǎn)航,王垚
受保護(hù)的技術(shù)使用者：浙江圖岳控股有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2