一种基于异构模型策略库的安全事件自动化处置方法与流程

本发明涉及网络安全领域，尤其涉及一种基于异构模型策略库的安全事件自动化处置方法。
背景技术：
：随着电信及互联网企业总体网络规模不断扩大，多层面的网络安全威胁和安全风险也在不断增加，网络入侵、网络病毒、ddos攻击等构成的威胁和损失越来越大，网络攻击行为向着分布化、规模化、复杂化等趋势发展，仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术，已不能满足网络安全的需求，迫切需要新的技术，及时发现网络中的异常事件，实时掌握网络安全状况，将之前亡羊补牢式的事中、事后处理，逐步转向事前自动评估预测，事中自动化处置，降低网络安全风险，提高网络安全智能管控能力。技术实现要素：本发明实施例所要解决的提供一种基于异构模型策略库的安全事件自动化处置方法。为了解决上述问题，本发明实施例提供的技术方案如下：一种基于异构模型策略库的安全事件自动化处置方法，包括处置策略库、调度模块及处置模块，所述调度模块包括事件调度及处置调度，所述事件调度接收安全事件并发送至处置策略库，处置策略库判断安全事件特征后发送至处置调度模块，处置调度模块根据安全事件类型及受控资产归属发送至处置模块，处置模块下发处置动作并反馈至调度模块；所述处置策略库为三重异构模型策略库，包括系统策略层、用户策略层和算法策略层，所述匹配处置优先级的高低为：系统策略层高于用户策略层，用户策略层高于算法策略层，所述系统策略层包括特殊事件id，黑白名单ip及域名；所述用户策略层包括事件类型、事件主题、源地址、目的地址；所述算法策略层包括阈值、频次、语义及疑似网站攻击或疑似入侵者的异常行为特征。进一步的，所述系统策略层包括以下步骤：s11获取正常样本及网站攻击样本，对数据进行预处理。所述正常样本是指是否即为安全事件：正常样本就是正常行为的样本数据，本发明网站攻击样本为安全事件。此处的预处理是指数据挖掘中的基本概念，包括数据清理、数据集成、数据规约与变换，是通用的方法和流程等。s12对样本数据进行特征统计及分析。此处分析包括但不限于以下特征：访问url长度分析、访问时长分析、访问频率分析、访问方式等分析。s13利用gbdt构建识别网站攻击的分类模型；s14分类模型生成网站攻击识别动态规则。此处识别规则是模型根据样本来输出的，不同的样本输出的规则不同，不是固定的规则。s15步骤s14中分类模型生成的规则，将定期下发到用户策略层作为个性化策略供选择配置；s16分类模型部署上线，对站点访问流量进行分析。此处部署上线是指模型根据样本在本地训练构建的，上线就是部署到实际生产环境中。s17识别疑似攻击行为；s18将疑似攻击者ip与业务访问ip进行匹配，确认是否为业务访问，若是，则将样本加入到正常访问样本中，若否，则确认为网站攻击；s19对网站攻击的源目的地地址进行分析；s20判断攻击类型为内部攻击、外部攻击、横向攻击，并将已确认为网站攻击的样本加入到供模型训练的网站攻击分类模型的样本中，触发模型新一轮的学习，调整参数。此处内部攻击指内部资产向互联网外部系统发起攻击。外部攻击指外部系统向内部资产发起攻击。横向攻击时资产内部不同系统间横向渗透攻击。s21提取攻击事件中攻击者的ip加入到系统策略层黑名单。进一步的，所述s13利用gbdt构建识别网站攻击的分类模型还包括以下步骤：s131统计分析后得到每一个ip对应的总访问次数，访问时长，访问网站个数等n维特征；s132对特征进行标准化，使每个维度中特征的值分布在-1到1之间；s133利用处理后的数据训练得到第一个cart模型h1(x)，更新gbdt模型f1(x)＝h1(x)，迭代次数t＝t，已知ft-1(x)，可以计算得到模型前一次迭代后得到的预测值yt-1＝ft-1(x)，计算预测值与真实值之间的误差(y-yt-1)，将(y-yt-1)作为输出，训练得到第t个cart模型ht(x)，更新gbdt模型，得到结果：ft(x)＝ft-1(x)+ht(x)即包含t个cart基学习器的gbdt模型，其中，h1(x)为第一次迭代中，有样本数据训练得到的弱分类器，f1(x)为第一次迭代后得到的gbdt模型，t＝t表示第当前为第t次迭代，为第t-1次迭代后的gbdt模型，yt-1为第t-1次迭代后的gbdt模型输出的预测值，ht(x)为由误差y-yt-1计算得到的第t个弱分类器，ft(x)为经过t次迭代后得到的gbdt模型；s134提取每个cart学习器的分类节点，输出对应分类规则。此处分类节点是指，如通过训练样本得到的弱分类器1有以下规则：当每个id发起的访问每小时大于1000次且访问平均时长小于0.5秒，则定义为攻击；其中1000和0.5是通过机器学习得到的分类节点。输出对应分类规则是指将上述通过机器学习得到的规律以正则表达式的方式作为分类规则输出。s135对分类规则进行优化。此处优化是指通过模型迭代次数t和对模型参数的不断调整进行优化。进一步的，所述处置调度包括受控资产库及处置设备库，所述受控资产库用于关联处置对象对应管控的处置设备，所述处置设备库用于在明确处置设备库后进一步获取处置设备的登录信息以及处置能力。进一步的，所述受控资产库包括受控地址、处置设备类型、处置设备地址及归属。进一步的，所述处置设备库包括登录方式、设备类型、设备地址、设备版本、登录账号、登录密码及处置能力。此处处置能力包括源地址封堵、目的地址封堵、黑洞路由、强制解析、url加黑等技术手段。进一步的，所述处置模块的分层逆向反馈处置包括以下步骤：s41系统从外部接收安全分析平台安全事件，获取后进一步解析并入库；s42匹配系统层策略，包括ip黑白名单、域名黑白名单，如果与安全事件匹配则启动事件自动处置，未与安全事件匹配则进入用户层策略匹配；s43如果系统层策略与安全事件没有匹配，则进行安全事件与用户层策略的匹配，匹配用户层策略包括事件类型、事件主题、源地址及目的地址的匹配，如果与安全事件匹配则启动事件自动处置，未与安全事件匹配则进入算法层策略匹配；s44如果用户层策略与安全事件没有匹配，则进行安全事件与算法层策略的匹配，匹配算法层策略包括频度、阈值、异常行为的匹配；如果与安全事件匹配则启动事件自动处置，并将安全事件中处置的攻击者ip加入到系统策略层的黑名单中，若果策略未匹配则进入人工处置流程。采用以上技术方案，本发明具有以下优点：本发明采用三重异构模型设计，既支持系统级策略加载，又能支持用户级策略设置，同时引入机器学习算法，针对网站攻击和apt攻击等安全事件通过gbdt模型提炼规则，分析正常访问及异常访问特征，加载模型并上线验证，精确识别攻击事件。此外，策略库支持分层逆向反馈，经算法级策略层反复学习得到的规则将定期加入到用户级策略层作为个性化策略，经算法级策略层识别的攻击者ip将实时加入到系统级策略层，通过异构模型策略库的分层逆向反馈机制能够有效提升安全事件处置规则的自学习能力，提高策略库的准确性和完整性，最终实现安全事件的自动化处置。附图说明图1是本发明提供的一种基于异构模型策略库的安全事件自动化处置方法系统框架图；图2是本发明提供的一种基于异构模型策略库的安全事件自动化处置方法三重异构模型策略库图。图3是本发明提供的一种基于异构模型策略库的安全事件自动化处置方法算法策略层的算法识别网站攻击流程。图4是本发明提供的一种基于异构模型策略库的安全事件自动化处置方法gbdt算法建模流程.图5是本发明提供的一种基于异构模型策略库的安全事件自动化处置方法分层逆向反馈处置流程图。具体实施方式如图1所示，一种基于异构模型策略库的安全事件自动化处置方法，包括处置策略库、调度模块及处置模块，所述调度模块包括事件调度及处置调度，所述事件调度接收安全事件并发送至处置策略库，处置策略库判断安全事件特征后发送至处置调度模块，处置调度模块根据安全事件类型及受控资产归属发送至处置模块，处置模块下发处置动作并反馈至调度模块。如图2所示，所述处置策略库为三重异构模型策略库，包括系统策略层、用户策略层和算法策略层，所述匹配处置优先级的高低为：系统策略层高于用户策略层，用户策略层高于算法策略层，所述系统策略层包括特殊事件id，黑白名单ip及域名等其他系统规则；所述用户策略层包括事件类型、事件主题、源地址、目的地址等；所述算法策略层包括阈值、频次、语义及疑似网站攻击或疑似入侵者的异常行为特征，即图中所指的其他异常特征。如图3所示，所述系统策略层包括以下步骤：s11获取正常样本及网站攻击样本，对数据进行预处理。所述正常样本是指是否即为安全事件：正常样本就是正常行为的样本数据，本发明网站攻击样本为安全事件。此处的预处理是指数据挖掘中的基本概念，包括数据清理、数据集成、数据规约与变换，是通用的方法和流程等。s12对样本数据进行特征统计及分析。此处分析包括但不限于以下特征：访问url长度分析、访问时长分析、访问频率分析、访问方式等分析。s13利用gbdt构建识别网站攻击的分类模型；s14分类模型生成网站攻击识别动态规则。此处识别规则是模型根据样本来输出的，不同的样本输出的规则不同，不是固定的规则s15步骤s14中分类模型生成的规则，将定期下发到用户策略层作为个性化策略供选择配置；s16分类模型部署上线，对站点访问流量进行分析。此处部署上线是指模型根据样本在本地训练构建的，上线就是部署到实际生产环境中。s17识别疑似攻击行为；s18将疑似攻击者ip与业务访问ip进行匹配，确认是否为业务访问，若是，则将样本加入到正常访问样本中，若否，则确认为网站攻击；s19对网站攻击的源目的地地址进行分析；s20判断攻击类型为内部攻击、外部攻击、横向攻击，并将已确认为网站攻击的样本加入到供模型训练的网站攻击分类模型的样本中，触发模型新一轮的学习，调整参数。此处内部攻击指内部资产向互联网外部系统发起攻击。外部攻击指外部系统向内部资产发起攻击。横向攻击时资产内部不同系统间横向渗透攻击。表一、具体参数调整调包括但不限于以下参数：划分最大特征数max_features最树大深度max_depth内部节点再划分所需最小样本数min_samples_split叶子节点最少样本数min_samples_leaf叶子节点最小的样本权重和min_weight_fraction_leaf最大叶子节点数max_leaf_nodess21提取攻击事件中攻击者的ip加入到系统策略层黑名单。如图4所示，所述s13利用gbdt构建识别网站攻击的分类模型还包括以下步骤：s131统计分析后得到每一个ip对应的总访问次数，访问时长，访问网站个数等n维特征；s132对特征进行标准化，使每个维度中特征的值分布在-1到1之间；s133利用处理后的数据训练得到第一个cart模型h1(x)，更新gbdt模型f1(x)＝h1(x)，迭代次数t＝t，已知ft-1(x)，可以计算得到模型前一次迭代后得到的预测值yt-1＝ft-1(x)，计算预测值与真实值之间的误差(y-yt-1)，将(y-yt-1)作为输出，训练得到第t个cart模型ht(x)，更新gbdt模型，得到结果：ft(x)＝ft-1(x)+ht(x)即包含t个cart基学习器的gbdt模型；其中，h1(x)为第一次迭代中，有样本数据训练得到的弱分类器，f1(x)为第一次迭代后得到的gbdt模型，t＝t表示第当前为第t次迭代，为第t-1次迭代后的gbdt模型，yt-1为第t-1次迭代后的gbdt模型输出的预测值，ht(x)为由误差y-yt-1计算得到的第t个弱分类器，ft(x)为经过t次迭代后得到的gbdt模型。s134提取每个cart学习器的分类节点，输出对应分类规则。此处分类节点是指，如通过训练样本得到的弱分类器1有以下规则：当每个id发起的访问每小时大于1000次且访问平均时长小于0.5秒，则定义为攻击；其中1000和0.5是通过机器学习得到的分类节点。输出对应分类规则是指将上述通过机器学习得到的规律以正则表达式的方式作为分类规则输出。s135对分类规则进行优化。此处优化是指通过模型迭代次数t和对模型参数的不断调整进行优化。为实现安全事件在策略匹配后的自动化处置，需要进一步明确安全事件对应的处置设备及动作。所述处置调度包括受控资产库及处置设备库，所述受控资产库用于关联处置对象对应管控的处置设备，所述处置设备库用于在明确处置设备库后进一步获取处置设备的登录信息以及处置能力。所述受控资产库包括受控地址、处置设备类型、处置设备地址及归属。所述处置设备库包括登录方式、设备类型、设备地址、设备版本、登录账号、登录密码及处置能力。此处处置能力包括源地址封堵、目的地址封堵、黑洞路由、强制解析、url加黑等技术手段。如图5所示，所述处置模块的分层逆向反馈处置包括以下步骤：s41系统从外部接收安全分析平台安全事件，获取后进一步解析并入库；s42匹配系统层策略，包括ip黑白名单、域名黑白名单，如果与安全事件匹配则启动事件自动处置，未与安全事件匹配则进入用户层策略匹配；s43如果系统层策略与安全事件没有匹配，则进行安全事件与用户层策略的匹配，匹配用户层策略包括事件类型、事件主题、源地址及目的地址的匹配，如果与安全事件匹配则启动事件自动处置，未与安全事件匹配则进入算法层策略匹配；s44如果用户层策略与安全事件没有匹配，则进行安全事件与算法层策略的匹配，匹配算法层策略包括频度、阈值、异常行为的匹配；如果与安全事件匹配则启动事件自动处置，并将安全事件中处置的攻击者ip加入到系统策略层的黑名单中，若果策略未匹配则进入人工处置流程。gbdt(gradientboostingdecisiontree)又叫mart(multipleadditiveregressiontree)，是一种迭代的决策树算法，该算法由多棵决策树组成，所有树的结论累加起来做最终答案。它在被提出之初就和svm一起被认为是泛化能力(generalization)较强的算法。近些年更因为被用于搜索排序的机器学习模型而引起大家关注。虽然本发明披露如上，但本发明并非限定于此。任何本领域技术人员，在不脱离本发明的精神和范围内，均可作各种更动与修改，因此本发明的保护范围应当以权利要求所限定的范围为准。当前第1页12