本發(fā)明涉及信息安全����、人工智能技術(shù)領(lǐng)域,尤其涉及到構(gòu)建智能�、快速和高效的新型安全智慧平臺的框架。
背景技術(shù):
本發(fā)明中包含的英文簡稱如下:
lof:localoutlierfactor局部異常因子
soc:securityoperationcenter安全管理中心
id:identifier身份識別唯一編號
ids:intrusiondetectionsystems入侵檢測系統(tǒng)
snmp:simplenetworkmanagementprotocol簡單網(wǎng)絡(luò)管理協(xié)議
安全生產(chǎn)歷來是保障各項工作有序開展的前提���,也是考核各級領(lǐng)導(dǎo)干部的否決指標(biāo)���。企業(yè)it網(wǎng)絡(luò)及信息安全運維體系是各類工廠與企業(yè)安全生產(chǎn)工作的重要組成部分��。保障企業(yè)it系統(tǒng)和工業(yè)網(wǎng)絡(luò)及信息系統(tǒng)高效穩(wěn)定地運行�����,是工廠和企業(yè)一切市場經(jīng)營活動和正常運作的基礎(chǔ)�����。
當(dāng)前��,工廠和企業(yè)的it網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)都不同程度地部署了各種不同的智能管理控制系統(tǒng)和安全設(shè)備�����,有效地提高了勞動生產(chǎn)率�,降低了運營成本���,已經(jīng)成為工廠和企業(yè)高效運營的重要支撐和生產(chǎn)環(huán)節(jié)中不可缺少的一環(huán)��。一方面����,因為一旦工業(yè)網(wǎng)絡(luò)及各控制系統(tǒng)出現(xiàn)安全事件或故障,如果不能及時發(fā)現(xiàn)����、及時處理、及時恢復(fù)��,這勢必會影響工廠和企業(yè)的正常經(jīng)營秩序���,甚至導(dǎo)致工廠停產(chǎn),影響到工廠和企業(yè)的生存����,對于企業(yè)it系統(tǒng)和工業(yè)網(wǎng)絡(luò)的安全保障就顯得格外重要;另一方面���,由于各種網(wǎng)絡(luò)攻擊技術(shù)也變得越來越先進�,越來越普及化����,工廠和企業(yè)的工業(yè)網(wǎng)絡(luò)系統(tǒng)面臨著隨時被攻擊的危險,甚至經(jīng)常遭受不同程度的入侵和破壞�����,嚴(yán)重干擾了企業(yè)辦公系統(tǒng)和工廠工業(yè)網(wǎng)絡(luò)的正常運行,嚴(yán)重干擾了企業(yè)運營和正常生產(chǎn)秩序�;日益嚴(yán)峻的安全威脅迫使企業(yè)不得不加強對it系統(tǒng)和工業(yè)網(wǎng)絡(luò)的安全防護,不斷追求多層次����、立體化的安全防御體系,建設(shè)新型安全智慧平臺�����,實時跟蹤系統(tǒng)事件����、實時檢測和預(yù)測各種安全攻擊、及時采取相應(yīng)的控制動作��,消除或縮減攻擊所造成的損失或危害�����,盡一切可能來保護企業(yè)it系統(tǒng)和工業(yè)網(wǎng)絡(luò)的正常運營��。
已部署的信息安全運維設(shè)備����,例如:安全管理����、soc�、網(wǎng)管、omc等����,通過采集諸如設(shè)備ids、防火墻�����、ips����、堡壘機����、4a等的日志,進行關(guān)聯(lián)分析�����,然后發(fā)出告警。然而�����,這些安全運維設(shè)備的智能化程度不高����,尤其是像ids這樣設(shè)備產(chǎn)生的大量告警中,有很大一部分是誤報�����,但是使用已有的安全智能平臺不能降低誤報率��。另一方面�����,已有的安全智能平臺����,關(guān)聯(lián)規(guī)則不能自動化生成。
為此�,如何利用信息化手段提高工廠和企業(yè)的運營效益,優(yōu)化工廠和企業(yè)的it和工業(yè)控制系統(tǒng)�����,使得它能夠為各類工廠和企業(yè)提供專業(yè)的和高性價比的信息安全運維服務(wù),即成為尤其是信息安全運維管理設(shè)計上必須要解決的一個重要課題�。
技術(shù)實現(xiàn)要素:
本發(fā)明提供了一種新型安全智慧平臺的實現(xiàn)架構(gòu),能夠自動生成告警關(guān)聯(lián)規(guī)則���,全智能化的安全日志分析����,做到無人值守的安全運維�。
本發(fā)明的一種新型安全智慧平臺的實現(xiàn)架構(gòu),應(yīng)用于能夠為多個工廠和企業(yè)提供各種安全服務(wù)和運維監(jiān)控服務(wù)的智能化的安全運維監(jiān)控服務(wù)平臺中�。
所述安全服務(wù)包括配置管理/基線管理、安全風(fēng)險評估����、威脅檢測�����、漏洞掃描�����、防病毒等。
所述運維監(jiān)控服務(wù)包括配置管理��、故障管理�、性能管理、問題管理��、變更管理等��。
所述架構(gòu)包括告警關(guān)聯(lián)規(guī)則自動生成模塊�����、告警在線關(guān)聯(lián)模塊�、告警關(guān)聯(lián)圖優(yōu)先級劃分模塊、告警上報和分發(fā)模塊����、工單派發(fā)模塊。
所述告警關(guān)聯(lián)規(guī)則自動生成模塊�����,就是利用歷史告警信息構(gòu)建相關(guān)性模型�����,自動生成告警關(guān)聯(lián)規(guī)則,由所述告警在線關(guān)聯(lián)模塊來使用和周期性地更新(或?qū)崟r地更新)�。該告警相關(guān)性模型由兩個知識庫所組成:(i)告警關(guān)聯(lián)強度(ii)告警關(guān)聯(lián)規(guī)則。告警關(guān)聯(lián)強度即表示兩個告警類型和的相關(guān)性程度�。更具體地說,它表示類型的告警發(fā)生在告警之后的概率的大小����。
所述告警在線關(guān)聯(lián)模塊,在告警之前的秒時間之內(nèi)發(fā)生的告警為s=��,對每一實時收到的告警進行相關(guān)性分析�����。為了確定和s里的告警是否相關(guān)�����,可以查詢地所述告警關(guān)聯(lián)規(guī)則自動生成模塊里的兩個知識庫���,獲得告警類型的告警關(guān)聯(lián)強度和告警關(guān)聯(lián)規(guī)則����。如果兩個告警滿足如下條件���,則意味著相關(guān):
(1)和兩個告警類型的關(guān)聯(lián)強度
(2)和兩個告警類型的規(guī)則����,和至少同時滿足它們之中的一個規(guī)則�。
每一個被分析的告警存儲在內(nèi)存數(shù)據(jù)庫里。如果該告警與相關(guān)����,則被添加到。因此��,一條邊被添加到告警關(guān)聯(lián)圖里����,以此來描述相關(guān)性。
所述告警關(guān)聯(lián)圖優(yōu)先級劃分模塊����,基于告警關(guān)聯(lián)圖之間的差異性,本模塊為每一個告警關(guān)聯(lián)圖分配一個優(yōu)先級����。優(yōu)先級總共分為4級。第4級為最高告警級別(或最嚴(yán)重的告警),第1級為最低告警級別(或最不重要的告警)����。
告警關(guān)聯(lián)圖優(yōu)先級是基于lof計算的。如下是優(yōu)先級之值和元告警的lof之間的映射:
p(g)=
在上式中�,g是一個告警關(guān)聯(lián)圖,是lof值的權(quán)重��。采用了告警關(guān)聯(lián)圖的鄰居��、可達距離和局部密度����。
所述告警上報和分發(fā)模塊,將高優(yōu)先級的告警及時地轉(zhuǎn)發(fā)到工單派發(fā)系統(tǒng)���、或發(fā)送到可視化界面進行顯示��、或轉(zhuǎn)發(fā)到安全運維管理人員進行確認再發(fā)送到工單派發(fā)系統(tǒng)���、或轉(zhuǎn)發(fā)到其它接口等。
所述工單派發(fā)模塊��,將經(jīng)過系統(tǒng)確認的告警派發(fā)到相關(guān)的安全運維人員�����。
告警相關(guān)性分析是一種廣泛使用的技術(shù)��,用于理解告警日志和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊����。然而,由于當(dāng)今網(wǎng)絡(luò)與攻擊的規(guī)模和復(fù)雜性���,由這些網(wǎng)絡(luò)產(chǎn)生的告警日志數(shù)量非常大�,以致于難以分析�。本發(fā)明的一種新型安全智慧平臺的實現(xiàn)架構(gòu),能夠自動生成告警關(guān)聯(lián)規(guī)則�,大大地簡化了告警日志的分析,提升了所述平臺的核心競爭力。
附圖說明
圖1為本發(fā)明所述的一種新型安全智慧平臺的實現(xiàn)架構(gòu)的結(jié)構(gòu)示意圖��;
具體實施方式
下面是根據(jù)附圖和實例對本發(fā)明的進一步詳細說明:
圖1為本發(fā)明所述的一種新型安全智慧平臺的實現(xiàn)架構(gòu)的結(jié)構(gòu)示意圖�����。
所述架構(gòu)包括告警關(guān)聯(lián)規(guī)則自動生成模塊���、告警在線關(guān)聯(lián)模塊�����、告警關(guān)聯(lián)圖優(yōu)先級劃分模塊���、告警上報和分發(fā)模塊����、工單派發(fā)模塊�����。
所述告警關(guān)聯(lián)規(guī)則自動生成模塊���,就是利用歷史告警信息構(gòu)建相關(guān)性模型�,自動生成告警關(guān)聯(lián)規(guī)則和關(guān)聯(lián)強度參數(shù)���,由所述告警在線關(guān)聯(lián)模塊來使用和周期性地更新(或?qū)崟r地更新)���。該告警相關(guān)性模型由兩個知識庫所組成:(i)告警關(guān)聯(lián)強度(ii)告警關(guān)聯(lián)規(guī)則。告警關(guān)聯(lián)強度即表示兩個告警類型和的相關(guān)性程度���。更具體地說����,它表示類型的告警發(fā)生在告警之后的概率的大小。
當(dāng)兩個告警類型之間有n:n>1的關(guān)聯(lián)規(guī)則關(guān)系時��,則這兩個告警類型之間的關(guān)聯(lián)強度就是n個關(guān)聯(lián)規(guī)則的最小的關(guān)聯(lián)強度:
l(,)=min{p()(1)
其中����,
p()=(2)
在方程(2)里��,對于已給定的歷史告警����,p()是指在同一個時間窗w之內(nèi),每當(dāng)發(fā)生時����,之后發(fā)生的次數(shù)。p()指的是之后發(fā)生的次數(shù)�����,這些數(shù)據(jù)均存儲在兩個知識庫中�,供在線關(guān)聯(lián)時查詢。最后��,p(︱)就是在給定的兩類告警和在相同時間窗之內(nèi)發(fā)生的概率。
算法1描述了所述告警關(guān)聯(lián)規(guī)則自動生成模塊計算關(guān)聯(lián)強度和關(guān)聯(lián)規(guī)則的兩個知識庫的過程����。
第1~5行初始化。a表示告警屬性�,包括:告警發(fā)生時間(timestamp)、源ip(sourceip)����、源端口(sourceport)、目標(biāo)ip(destinationip)��、目標(biāo)ip(destinationport)�����、告警類型(intrusiontype)�����。h表示歷史告警����,用來訓(xùn)練相關(guān)性模型的;t表示所有歷史告警的告警類型��。表示t中的所有的告警類型對(1對含有2個告警類型),其中表示第i對告警類型和對�。
對于每一對告警,getconstraints通過計算所有可能k組合屬性�,生成了一些關(guān)聯(lián)規(guī)則,其采用方法諸如aprioriapproach的數(shù)據(jù)挖掘的人工智能方法�。首先,當(dāng)k=1時����,就生成長度為1的關(guān)聯(lián)規(guī)則,其中�����,對每一條關(guān)聯(lián)規(guī)則c����,只包含一個告警屬性aa�。對于每一條關(guān)聯(lián)規(guī)則c,我們將計算在條件c之下�����,發(fā)送在之前的概率�。如果這個概率沒有超過��,則��、被視為不相關(guān)����。
例1就是由所述告警關(guān)聯(lián)規(guī)則自動生成模塊所生成的關(guān)聯(lián)規(guī)則:
所述告警在線關(guān)聯(lián)模塊�����,在告警之前的秒時間之內(nèi)發(fā)生的告警為s=�����,對每一實時收到的告警進行相關(guān)性分析���。為了確定和s里的告警是否相關(guān)�����,可以實時地查詢告警關(guān)聯(lián)規(guī)則自動生成模塊里的兩個知識庫�,獲得告警類型的告警關(guān)聯(lián)強度和告警關(guān)聯(lián)規(guī)則��。如果兩個告警滿足如下條件,則意味著相關(guān):
(1)和兩個告警類型的關(guān)聯(lián)強度
(2)和兩個告警類型的規(guī)則�,和至少同時滿足它們之中的一個規(guī)則。
每一個被分析的告警存儲在內(nèi)存數(shù)據(jù)庫里����。如果該告警與相關(guān),則被添加到�。因此,一條邊被添加到告警關(guān)聯(lián)圖里�����,以此來描述相關(guān)性����。
所述告警關(guān)聯(lián)圖優(yōu)先級劃分模塊,基于告警關(guān)聯(lián)圖之間的差異性�����,本模塊為每一個告警關(guān)聯(lián)圖分配一個優(yōu)先級����。優(yōu)先級總共分為4級���。第4級為最高告警級別(或最嚴(yán)重的告警)�����,第1級為最低告警級別(或最不重要的告警)�。
告警關(guān)聯(lián)圖優(yōu)先級是基于lof計算的。如下是優(yōu)先級之值和元告警的lof之間的映射:
p(g)=
在上式中���,g是一個告警關(guān)聯(lián)圖���,是lof值的權(quán)重。采用了告警關(guān)聯(lián)圖的鄰居�、可達距離和局部密度。
(1)k-鄰居和k-距離:一個告警關(guān)聯(lián)圖的k-鄰居采用()表示�����,()是一些其它的告警關(guān)聯(lián)圖�,其與之間的差小于或等于該k-距離。一個的k-距離就是與第k個最近的告警關(guān)聯(lián)圖的距離�����。k是所述算法所提供的一個可配置的參數(shù)��。
(2)可達距離:取這2個值的最大值:一個值是兩個告警關(guān)聯(lián)圖之間的距離,另一個值是的k-距離�。如下是所示:
r(g,)=max
(3)局部可達密度:一個告警關(guān)聯(lián)圖的局部可達密度就是它與它的k-鄰居之間的平均可達距離的倒數(shù):
ir=(
(4)局部異常因子:對于每一個告警關(guān)聯(lián)圖g,它的lof由以下公式計算:
=
(5)lof優(yōu)先級劃分:考慮到lof值的范圍在0~之間����,本專利利用了權(quán)重技術(shù),將lof之值映射到0~之間����。
nlof(g)=
告警關(guān)聯(lián)圖的每一個優(yōu)先級的劃分,本模塊使用它作為過濾��,將門限大于的所有告警關(guān)聯(lián)圖轉(zhuǎn)發(fā)到告警上報和分發(fā)模塊做進一步處理等�,例如,將2級以上的告警關(guān)聯(lián)圖轉(zhuǎn)發(fā)給所述告警上報和分發(fā)模塊�,最終目的就是讓不重要的告警不轉(zhuǎn)發(fā)到告警上報和分發(fā)模塊。
所述告警上報和分發(fā)模塊�����,將高優(yōu)先級的告警及時地轉(zhuǎn)發(fā)到工單派發(fā)系統(tǒng)���、或發(fā)送到可視化界面進行顯示、或轉(zhuǎn)發(fā)到安全運維管理人員進行確認再發(fā)送到工單派發(fā)系統(tǒng)����、或轉(zhuǎn)發(fā)到其它接口等����。
所述工單派發(fā)模塊��,將經(jīng)過系統(tǒng)確認的告警派發(fā)到相關(guān)的安全運維人員��。
以上所述僅為本發(fā)明的較佳實施例���,并非用來限定本發(fā)明的實施范圍�;凡是依本發(fā)明所作的等效變化與修改����,都被視為本發(fā)明的專利范圍所涵蓋。