为单位滑动,而水平虚线表示WO. 3为口限来确定告警 序列是否可预测,并且给出了无滤波、?=1和I二5Ξ种配置的结果。
[0054]图4(a)展示了一周24小时周期的有线木马告警,其通过SMA滤波稍微增强,但仍维 持在0.3 口限W下(因此,周期聚=0)。滤波稍微改善了间距k.前预测,特别是《=5,但是,该告 警序列仍保持弱关联。另一方面,WIFI木马告警展示了强24小时周期,运是很明显的,即使 不使用滤波。运意味着,寻找同一个值每一个小时的最高概率是每24个小时。外部木马告警 序列的4〔。展示了一个趋势成分,其由滤波加强的,达到了1.翻距预测高于1^=5的24小时得 值。。
[0055] 所述描述统计的稳定性,每一个告警时间序列咬;,为了表明其分布的描述性统计 的稳定性,考虑中位数(median)和四分位距巍%。在发明中,定义W作为要分析告警时间序列 的时间窗。要验证的是在时间窗口W中分布统计是如何演变的。为了运个目的,考虑两个参 数:滑动窗S的大小(例如,1个月),时移Μ例如,1周);其中,i<S<W。通过赋予运些参数不 同的值,信息安全分析师能够评估描述性统计在不同周期的稳定性。确定异常检测参数如 何重新评估的频率的信息也是有用的。本发明计算中位数(median)和四分位脑蜗;之值,从 时间间隔m:=[0, S]开始,然后1;=[Δ,S巧],然后鸦=[2,1,3+2.Δ]等,直到覆盖整个时间 窗W。运个过程就是描述性统计和:?的历史。
[0056] 图7给出了有关告警数据集的描述性统计。X轴表示时移3,而巧由表示雜^和嘴的 值(告警数量/小时)。在运个例子中,w=5个月,s=l个月,透=1周。例如,X=0,表示第1个月的 麵^和%; X=1,表示第1周的鑛^和囑,等等。运使得能够评估描述性统计在周基础之上如何 演变的。
[0057] 从图7中可W看出,在初始周期里,有线木马白天的统计是不稳定的,而后是稳定 的;另一方面,WIFI木马在晚上几乎没有告警,但在白天,告警睹增。外部木马在整个周期中 一直是稳定的。
[005引运里,给出了自动验证关于告警分布描述性统计是否稳定的准则。假设d是描述性 统计(例如,iqr),并且,描述性统计d是在时移t的值(例如,錢韓在5<Δ的值)。为了评估d的 稳定性,采用一种流行的离散度测量方法:中位绝对偏差MAD。特别地,对于每一个描述性统 计d,通过如下公式计算稳定性指数齡:
其中惠表示mad,分母m(d)=median(鷄淹….典,J),运是要求比较的不同尺度的描 述性统计的一个标准化因子。较小的験(几乎为零)表示描述性统计d是稳定的,反之也真。 特别地,当时间序列辕I前集中趋势和离散度满足如下关系时,则是稳定的:
其中,τ是稳定性口限,它可W由安全分析师根据IT网络环境情况而调整的。在本发明 应用场景中,对于自动地识别描述性统计的稳定性和不稳定性,启发式地验证?=0.2是一个 充分的口限。在上述公式中,考虑啤萍J k常;雨个稳定性指数的最大值,因为一个描述性统计 较大的差别可W足够的考虑分布的不稳定。在图8中,白天的有线木马和无线木马告警均为 不稳定的,而其它四个分布的稳定性指数是低于口限的。
[0059] 基于回归的异常检测方法能够通过某种统计模型进行建模。每当预测残差的值过 高时,则异常就被检测到。
[0060] 对于每一个告警时间序列鶴!,抽取可预测的事件间隔fe和周期IdACF的第一个值 总是等于1,即ACF(1)=1。因此,驗的最小值为1,即使是告警序列没有时序依赖性。通过对輪 值的分析,可w理解回归模型在异常检测中的适用性。
[006。 (1)如果ACF缓慢衰减化六1),那么告警时间序列呈现很强的趋势成分,并且,即 使是采用简单的回归算法,对于信息安全异常检测也很有效。
[0062] (2)如果ACF较快地衰减(餐较小,且k-: >1),那么对时序依赖性,应该适当地考虑更 复杂的回归算法建模。
[0063] (3)如果ACF快速衰减化9 1),那么告警时间序列的时序依赖性是很弱的;并且, 只有当告警事件序列具有较强的周期性裝财,基于回归的异常检测算法才适用。
[0064] 简单回归的算法包括线性回归LR、最小二乘法化S、移动平均MA、加权移动平均 WMA、自回归模型AR。复杂回归算法诸如自回归移动平均ARMA、集成自回归移动平均ARIMA、 稳健回归和基于卡尔曼滤波,或样条插值。
[0065] 假设考虑A 1和裝=0的情况,即该序列没有展示出任何时序依赖性。运种情况可 能由噪音所引起,并且没有被SMA滤波所消除。在运种情况下,采用更复杂的滤波来消除噪 声来挖掘某些可能的时序依赖性,为基于回归的异常检测算法进行建模。特别地,对于某一 个子序列麟,如果||鞍::??,且/或々0,则意味着告警时间序列是高度离散的,为了掲示 可能的时序依赖性,考虑采用更强的滤波。然而,安全分析师必须意识到更强的滤波可能改 变告警时间序列的本质。
[0066] 图6给出了基于回归的异常检测算法对有线木马、无线木马和外部木马告警序列 自动关联的结果。对于有线木马,驗取较小的值,基于回归的异常检测算法对运类告警是无 效的。另一方面,强24小时周期的无线木马告警建议可W应用基于回归的异常检测算法,并 且,在白天和晚上,具有不同的行为。无线木马告警在白天的高度离散性提示该滤波在白天 时间是可用的。最后,对应于较高的餐値,外部木马告警序列展示一个趋势成分,特别当考 虑劳=5和1<; W 24小时的简单平滑滤波的场景。
[0067] 所述决策流程图,如图9所示,第一步评估收敛指数的情况:如果告警序列不是收 敛的,但是,具有时序依赖性,那么基于回归的方法对异常检测也是有效的。
[0068] 图10为本发明所述的一种基于回归的信息安全异常检测的示意图,包括实时告警 模块、历史告警模块、离线异常检测建模模块、在线异常检测模块,W及知识库。
[0069] 所述实时告警模块,实时地接收来自各种安全设备通过挪MP、syslog等协议上报 的告警,并分别发送给历史告警模块和基于回归的异常在线检测模型模块。
[0070] 所述历史告警模块,可W作为告警时间序列的备份,也可W为离线安全攻击异常 检测模型模块提供告警数据。
[0071] 所述离线异常检测建模模块,对所述告警时间序列建模,并提供基于回归的异常 检测方法、基于回归的异常检测方法和基于随机线性分布和随机非线性分布的异常检测方 法的指南。所述基于回归的异常检测方法,通过实时计算中位数m、四分位距iqr、事件间隔k 和周期T情况,来决定是否选择基于回归的信息安全异常检测方法。
[0072] 所述在线异常检测模块,采用基于回归的方法,实时在线地检测实时告警模块所 上报告警时间序列的异常,并且,将检测结果上报给相关显示模块或安全分析师作进一步 地处理。
[0073] 所述知识库,存储各种统计参数、异常检测方法及其应用场景等。
[0074] W上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本 发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。
【主权项】
1. 本发明提供了一种基于回归的信息安全异常检测的方法及系统,包括实时告警模 块、历史告警模块、离线异常检测建模模块、在线异常检测模块(基于回归)和知识库; 1) 所述实时告警模块,实时地接收来自各种安全设备的告警,并分别上报给历史告警 模块和在线基于回归的异常检测模块; 2) 所述历史告警模块,可W作为告警数据的备份,也可W为离线异常检测建模模块提 供告警数据; 3) 所述离线异常检测建模模块,对告警时间序列建模,并提供基于回归的安全攻击异 常检测方法指南; 4) 所述基于回归的异常检测方法指南,通过实时计算中位数m、四分位距iqr、事件间隔 k和周期T情况,来决定是否选择基于回归的信息安全异常检测的方法,并且实时反馈给在 线基于回归的异常检测模块; 5) 所述在线异常检测模块,采用基于回归的方法,实时地检测实时告警模块所上报告 警的异常,并且,将检测结果上报给相关显示模块或安全分析师做进一步处理; 6) 所述知识库,存储各种统计参数、异常检测方法及其应用场景等。2. 如权利要求1所述的一种基于回归的信息安全异常检测的方法及系统,还包括:当中 位数m、四分位距iqr和方差系数》<满足满足^:穿每,而且防1和T!=0时,则采用基于回归的信 饿 息安全异常检测方法。
【专利摘要】本发明公开了一种基于回归的信息安全异常检测的方法及系统,包括:实时告警模块、历史告警模块、离线异常检测建模模块、在线异常检测模块,以及知识库。采用本发明,能够检测到异构的、动态的和复杂的IT企业网络设备产生的海量安全告警中的安全攻击事件,能够溯源或回放事件,能够发现故障的根源或源头,能够帮助IT企业快速恢复业务,保证其正常运营。
【IPC分类】H04L12/24, H04L29/06
【公开号】CN105656693
【申请号】
【发明人】李木金, 凌飞
【申请人】南京联成科技发展有限公司
【公开日】2016年6月8日
【申请日】2016年3月15日