面向攻击监测场景的电力安全事件关联分析方法及装置与流程

本发明涉及网络安全，具体涉及面向攻击监测场景的电力安全事件关联分析方法及装置。

背景技术：

1、随着当前外部安全形势严峻，各类型攻击如垃圾邮件事件、网页恶意代码事件、网络仿冒事件、病毒、蠕虫或木马事件、拒绝服务攻击事件、僵尸网络、恶意网站、apt(advanced persistent threat，高级长期威胁)攻击、对internet域名系统的攻击和对路由器攻击或利用路由器的攻击等安全事件层出不穷，并呈现出愈演愈烈的趋势。同时，随着攻击工具的越来越复杂，其反侦破、动态性和成熟型的特点使得攻击模式和行为不断变化，使得安全专家分析新攻击工具和攻击行为耗时很多。另外，很多攻击技术甚至可以绕过防火墙直接进行攻击，如webdav(web-based distributed authoring and versioning，基于http 1.1协议的通信协议)漏洞攻击等，攻击方式和攻击手段呈现越来越广泛的趋势。同时，由于网络攻击的随机性和不确定性，单一通过简单规则匹配得出的异常告警无法实现对网络攻击的合理判断及预测。

2、目前，针对网络攻击的安全防护措施主要还是以被动防御为主，通过规则匹配方式检测网络入侵攻击威胁，并且对众多安全告警事件仅采用存储、事后审计使用，缺乏安全事件综合分析和未知威胁检测能力。

技术实现思路

1、有鉴于此，本发明提供了面向攻击监测场景的电力安全事件关联分析方法及装置，以解决当前针对网络攻击的安全防护措施缺乏安全事件综合分析的问题。

2、第一方面，本发明提供了一种面向攻击监测场景的电力安全事件关联分析方法，方法包括：获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件；采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；基于报警概率和漏洞匹配概率确定有效告警。

3、本发明实施例提供的面向攻击监测场景的电力安全事件关联分析方法，通过获取告警记录和脆弱性信息，通过采用告警融合算法进行融合计算，有效地利用了设备的互补冗余信息来过滤确认报警；同时确定了与告警记录依赖或者说相关联的脆弱性信息的漏洞匹配概率，基于报警概率和漏洞匹配概率共同筛选有效告警，实现了依据环境信息判断攻击成功的可信度，进一步过滤了不成功的攻击报警。使得最终上报的报警得到精简，更为准确充分地反映环境中的攻击行为。

4、在一种可选的实施方式中，当告警记录为多源告警记录时，获取多条告警记录之后，方法还包括：基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果。

5、本实施例中，通过对告警记录进行聚类，合并相似告警，能够降低后续处理的数据量。

6、在一种可选的实施方式中，基于报警概率和漏洞匹配概率确定有效告警之后，方法还包括：根据有效告警聚合得到的超告警之间的关联度进行攻击行为关联。

7、本实施例中，通过基于超告警之间的关联度进行攻击行为的关联，实现了对网络攻击的深度挖掘，以及基于关联的攻击行为对攻击成精的构建，解决了当前只能检测攻击无法重建攻击场景的问题。

8、在一种可选的实施方式中，属性包括ip地址、端口、协议类型和时间，基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果，包括：基于ip地址相近度、端口相近度、协议类型相近度和时间相近度确定任意两条告警记录的相近度，ip地址相近度根据ip地址中每一部分是否相同确定，端口相近度根据端口的距离确定，协议类型相近度根据协议类型是否相同确定，时间相近度根据时间差和预设阈值的关系确定；根据告警记录的相近度将多条告警记录进行关联聚类，得到聚类结果。

9、本实施例中，预先确定告警记录的属性相似度的计算方法，在计算得到单个属性相似程度的基础上计算得到两个告警之间总的相似度。如果这个相似度超过某一个阈值就将它们进行聚合。通过采用相似度计算方法的优点是在对相似告警(来自相同的源或目标地址的告警)进行聚类时非常有效。

10、在一种可选的实施方式中，采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率，包括：基于预设权重，采用d-s证据理论对告警记录进行融合计算，得到告警记录对应的报警概率；采用d-s证据理论对脆弱性信息对应的漏洞列表进行融合计算，得到漏洞概率；基于告警依赖的漏洞和采用漏洞概率对漏洞列表进行过滤后的漏洞确定漏洞匹配概率。

11、本实施例中，采用d-s证据理论对告警记录进行融合计算时，加入了预设权重，由此更符合现实情况，并且在证据严重冲突时能得到更好的效果。

12、在一种可选的实施方式中，根据有效告警聚合得到的超告警之间的关联度进行攻击行为关联，包括：根据预设条件将有效告警聚合，得到超告警；根据超告警属性的关联度计算超告警之间的关联度；根据关联度和关联度阈值的关系进行攻击行为关联。

13、本实施例中，通过超告警属性的关联度的计算，实现了的超告警关联度的计算，同时根据超告警关联度和关联度阈值的关系确定攻击行为是否关联，即通过关联度的计算，判断关联度是否对应同一多步骤攻击的前后攻击行为，从而实现了电网系统三道防线的网络攻击关联监测场景。

14、在一种可选的实施方式中，超告警属性包括源ip地址、目的ip地址、源端口、目的端口、时间、攻击类型和严重度，根据超告警属性的关联度计算超告警之间的关联度，包括：基于超告警属性确定告警关联度属性权值矩阵和属性间关联度函数；基于对属性间关联度函数的分类，确定各分类的关联度，各分类的关联度包括地址间的关联度、端口间的关联度、时间之间的关联度、攻击类型间的关联度、严重度间的关联度以及目的地址和目的端口间的关联度；根据各分类的关联度以及告警关联度属性权值矩阵进行加权计算，确定超告警之间的关联度。

15、在一种可选的实施方式中，地址间的关联度基于ip地址树形结构确定，端口间的关联度基于端口地址树形结构确定，时间之间的关联度基于时间差和误差确定，攻击类型间的关联度基于攻击类型关联度值矩阵确定，严重度间的关联度基于严重度差和严重度范围确定，目的地址和目的端口间的关联度基于目的地址和目的端口间的关联度值矩阵确定。

16、本实施例中，由于超告警是通过对有效告警聚合得到的，因此，引入了树形结构以及关联度值矩阵等，实现了超告警属性关联度的确定。

17、第二方面，本发明提供了一种面向攻击监测场景的电力安全事件关联分析装置，装置包括：数据获取模块，用于获取多条告警记录和脆弱性信息，每条告警记录对应一个告警安全事件；融合模块，用于采用告警融合算法分别对告警记录和脆弱性信息进行融合计算，得到告警记录对应的报警概率和与告警记录依赖的脆弱性信息对应的漏洞匹配概率；筛选模块，用于基于报警概率和漏洞匹配概率确定有效告警。

18、在一种可选的实施方式中，装置还包括：聚类模块，用于基于告警记录中属性的相近度对多条告警记录进行关联聚类，得到聚类结果。

19、在一种可选的实施方式中，装置还包括：关联模块，用于根据有效告警聚合得到的超告警之间的关联度进行攻击行为关联。

20、在一种可选的实施方式中，属性包括ip地址、端口、协议类型和时间，聚类模块具体用于：基于ip地址相近度、端口相近度、协议类型相近度和时间相近度确定任意两条告警记录的相近度，ip地址相近度根据ip地址中每一部分是否相同确定，端口相近度根据端口的距离确定，协议类型相近度根据协议类型是否相同确定，时间相近度根据时间差和预设阈值的关系确定；根据告警记录的相近度将多条告警记录进行关联聚类，得到聚类结果。

21、在一种可选的实施方式中，融合模块具体用于：基于预设权重，采用d-s证据理论对告警记录进行融合计算，得到告警记录对应的报警概率；采用d-s证据理论对脆弱性信息对应的漏洞列表进行融合计算，得到漏洞概率；基于告警依赖的漏洞和采用漏洞概率对漏洞列表进行过滤后的漏洞确定漏洞匹配概率。

22、在一种可选的实施方式中，关联模块包括：聚合模块，用于根据预设条件将有效告警聚合，得到超告警；关联度计算模块，用于根据超告警属性的关联度计算超告警之间的关联度；关联子模块，用于根据关联度和关联度阈值的关系进行攻击行为关联。

23、在一种可选的实施方式中，超告警属性包括源ip地址、目的ip地址、源端口、目的端口、时间、攻击类型和严重度，关联度计算模块具体用于：基于超告警属性确定告警关联度属性权值矩阵和属性间关联度函数；基于对属性间关联度函数的分类，确定各分类的关联度，各分类的关联度包括地址间的关联度、端口间的关联度、时间之间的关联度、攻击类型间的关联度、严重度间的关联度以及目的地址和目的端口间的关联度；根据各分类的关联度以及告警关联度属性权值矩阵进行加权计算，确定超告警之间的关联度。

24、在一种可选的实施方式中，地址间的关联度基于ip地址树形结构确定，端口间的关联度基于端口地址树形结构确定，时间之间的关联度基于时间差和误差确定，攻击类型间的关联度基于攻击类型关联度值矩阵确定，严重度间的关联度基于严重度差和严重度范围确定，目的地址和目的端口间的关联度基于目的地址和目的端口间的关联度值矩阵确定。

25、第三方面，本发明提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的面向攻击监测场景的电力安全事件关联分析方法。

26、第四方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的面向攻击监测场景的电力安全事件关联分析方法。