一种隐匿高危行为操作异常评分方法和系统与流程

本发明属于网络安全防护，具体涉及一种隐匿高危行为操作异常评分方法和系统。

背景技术：

1、威胁评分算法是一种定量的网络安全态势分析方法，即对检测发现的潜在威胁进行量化评估，实现对系统安全态势清晰明确的评价，有助于抵御网络安全威胁，尤其是隐匿高危行为威胁。通过用采集来的数据建立数学模型，客观立体地展现出安全威胁的态势，并根据模型计算出的结果，将所有可能出现的安全威胁层次化，对潜在风险的严重程度予以排序和评估，并找出最简单有效、以最低的成本预防风险的办法。

2、现有基于日志信息融合的网络安全威胁评估方法是最早出现的，然而该方法仅评估了单个主机中的威胁，并未考虑网络拓扑即网络渗透攻击的影响，而随着报警数据呈指数级增长，这种方法已难以适应当前的网络环境。基于攻击图的评估方法使用攻击图模型复现攻击路径，并以攻击图为依据评估网络安全态势，但该方法中攻击图节点上可能被攻击的概率受主观因素影响较大，多数攻击图未考虑攻击者的入侵能力及攻击所需条件，随着网络环境的变化，该概率值也会相应的发生改变，而且攻击图的构建依赖于已知的攻击模式，对未知攻击的检测能力较差。

技术实现思路

1、有鉴于此，本发明旨在解决现有威胁评分算法所具有的上述问题，提出一种隐匿高危行为操作异常评分方法和系统，其将攻击过程从系统自身漏洞出发分析多步攻击，更全面的评估漏洞威胁，并给出定性和定量的评估标准，为安全管理人员指定防护措施提供依据。

2、为了解决上述技术问题，本发明提供以下技术方案：

3、第一方面，本发明提供了一种隐匿高危行为操作异常评分方法，包括如下步骤：

4、收集报警日志数据并对其进行格式化统一，得到标准结构化的攻击数据；

5、将标准结构化的攻击数据进行关联分析，以串联离散的报警信息，生成攻击图；

6、基于攻击图，采用结合网络分析法和卷积神经网络的方法进行漏洞评估，得到网络漏洞的评估结果，网络分析法用于对单步攻击得到的漏洞威胁进行评分，卷积神经网络用于在网络分析法的基础上，对多步攻击得到的漏洞威胁进行评分。

7、进一步的，利用网络分析法对单步攻击得到的漏洞威胁进行评分，具体包括：

8、确定漏洞威胁评分的评价目标和评价指标体系，构建层次网络模型；

9、利用超矩阵计算各评估指标的权重；

10、根据评估指标对样本进行打分，并结合评估指标的权重，计算样本的综合得分，综合得分为样本的漏洞威胁评估分数。

11、进一步的，层次网络模型包括控制层和因素层，具体如下：

12、控制层包括评价目标，评价目标为漏洞威胁评分；

13、因素层包括评价指标，评价指标至少包括漏洞基础威胁、漏洞可修复性和漏洞可利用性三个类别，每个类别均包括若干个影响漏洞威胁评分的因素。

14、进一步的，卷积神经网络对多步攻击得到的漏洞威胁进行评分，具体按照下式进行：

15、

16、式中，ti指第i条多步攻击的漏洞威胁值，wij表示在第i条多步攻击中第j个单步攻击所占比重，pj表示第j个单步攻击动作的漏洞威胁值，n为第i条多步攻击的总步数。

17、进一步的，标准结构化的攻击数据具体为包含若干个报警属性的多元组，多元组的元素至少包括：

18、报警类别、报警日期、报警时间戳、源ip、源端口、目的ip和目的端口。

19、第二方面，本发明提供了一种隐匿高危行为操作异常评分系统，包括：

20、数据采集单元，用于收集报警日志数据并对其进行格式化统一，得到标准结构化的攻击数据；

21、关联分析单元，用于将标准结构化的攻击数据进行关联分析，以串联离散的报警信息，生成攻击图；

22、威胁评估单元，用于基于攻击图，采用结合网络分析法和卷积神经网络的方法进行漏洞评估，得到网络漏洞的评估结果，网络分析法用于对单步攻击得到的漏洞威胁进行评分，卷积神经网络用于在网络分析法的基础上，对多步攻击得到的漏洞威胁进行评分。

23、进一步的，在威胁评估单元中，利用网络分析法对单步攻击得到的漏洞威胁进行评分，具体包括：

24、确定漏洞威胁评分的评价目标和评价指标体系，构建层次网络模型；

25、利用超矩阵计算各评估指标的权重；

26、根据评估指标对样本进行打分，并结合评估指标的权重，计算样本的综合得分，综合得分为样本的漏洞威胁评估分数。

27、进一步的，在威胁评估单元中，层次网络模型包括控制层和因素层，具体如下：

28、控制层包括评价目标，评价目标为漏洞威胁评分；

29、因素层包括评价指标，评价指标至少包括漏洞基础威胁、漏洞可修复性和漏洞可利用性三个类别，每个类别均包括若干个影响漏洞威胁评分的因素。

30、进一步的，在威胁评估单元中，卷积神经网络对多步攻击得到的漏洞威胁进行评分，具体按照下式进行：

31、

32、式中，ti指第i条多步攻击的漏洞威胁值，wij表示在第i条多步攻击中第j个单步攻击所占比重，pj表示第j个单步攻击动作的漏洞威胁值，n为第i条多步攻击的总步数。

33、进一步的，在数据采集单元中，标准结构化的攻击数据具体为包含若干个报警属性的多元组，多元组的元素至少包括：

34、报警类别、报警日期、报警时间戳、源ip、源端口、目的ip和目的端口。

35、综上，本发明提供了一种隐匿高危行为操作异常评分方法和系统，包括收集报警日志数据并对其进行格式化统一，得到标准结构化的攻击数据；将标准结构化的攻击数据进行关联分析，以串联离散的报警信息，生成攻击图；基于攻击图，采用结合网络分析法和卷积神经网络的方法进行漏洞评估，得到网络漏洞的评估结果，网络分析法用于对单步攻击得到的漏洞威胁进行评分，卷积神经网络用于在网络分析法的基础上，对多步攻击得到的漏洞威胁进行评分。本发明通过将攻击过程从系统自身漏洞出发分析多步攻击，更全面的评估漏洞威胁，并给出定性和定量的评估标准，为安全管理人员指定防护措施提供依据。

技术特征：

1.一种隐匿高危行为操作异常评分方法，其特征在于，它包括如下步骤：

2.根据权利要求1所述的隐匿高危行为操作异常评分方法，其特征在于，利用网络分析法对单步攻击得到的漏洞威胁进行评分，具体包括：

3.根据权利要求2所述的隐匿高危行为操作异常评分方法，其特征在于，所述层次网络模型包括控制层和因素层，具体如下：

4.根据权利要求1所述的隐匿高危行为操作异常评分方法，其特征在于，所述卷积神经网络对多步攻击得到的漏洞威胁进行评分，具体按照下式进行：

5.根据权利要求1所述的隐匿高危行为操作异常评分方法，其特征在于，所述标准结构化的攻击数据具体为包含若干个报警属性的多元组，所述多元组的元素至少包括：

6.一种隐匿高危行为操作异常评分系统，其特征在于，包括：

7.根据权利要求6所述的隐匿高危行为操作异常评分系统，其特征在于，在所述威胁评估单元中，利用网络分析法对单步攻击得到的漏洞威胁进行评分，具体包括：

8.根据权利要求7所述的隐匿高危行为操作异常评分系统，其特征在于，在所述威胁评估单元中，所述层次网络模型包括控制层和因素层，具体如下：

9.根据权利要求6所述的隐匿高危行为操作异常评分系统，其特征在于，在所述威胁评估单元中，所述卷积神经网络对多步攻击得到的漏洞威胁进行评分，具体按照下式进行：

10.根据权利要求6所述的隐匿高危行为操作异常评分系统，其特征在于，在所述数据采集单元中，所述标准结构化的攻击数据具体为包含若干个报警属性的多元组，所述多元组的元素至少包括：

技术总结
本发明提供了一种隐匿高危行为操作异常评分方法和系统，属于网络安全防护技术领域。包括收集报警日志数据并对其进行格式化统一，得到标准结构化的攻击数据；将标准结构化的攻击数据进行关联分析，以串联离散的报警信息，生成攻击图；基于攻击图，采用结合网络分析法和卷积神经网络的方法进行漏洞评估，得到网络漏洞的评估结果，网络分析法用于对单步攻击得到的漏洞威胁进行评分；卷积神经网络用于在网络分析法的基础上，对多步攻击得到的漏洞威胁进行评分。本发明通过结合攻击过程从系统自身漏洞出发分析多步攻击，更全面的评估漏洞威胁，并给出定性和定量的评估标准，为安全管理人员指定防护措施提供依据。

技术研发人员：刘翠媚,陆庭辉,吴毅良,郭凤婵,凌子文,罗序良,陈泽鸿,林海,梁治华,吕啟尤,许海,王坤明,宋惠宇
受保护的技术使用者：广东电网有限责任公司江门供电局
技术研发日：
技术公布日：2024/1/13