申请/专利权人：中邮科通信技术股份有限公司

申请日：2021-11-02

公开（公告）日：2024-06-21

公开（公告）号：CN114039758B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/16

优先权：

专利状态码：有效-授权

法律状态：2024.06.21#授权;2022.03.01#实质审查的生效;2022.02.11#公开

摘要：本发明涉及一种基于事件检测模式的网络安全威胁识别方法。该方法对网络各节点事件大数据进行特征工程处理，对特征工程处理后的数据按照事件点与事件流的两种模式进行模型学习训练，生成事件点异常检测模型、事件流风险预测模型两类的模型知识。在模型知识的基础上，对于单点事件的威胁识别，计算该事件特征与某类威胁模型异常点特征的匹配值来判断是否存在潜在的威胁；对于类似多步攻击之类多个关联事件的威胁识别，则首先使用关联分析算法得到关联事件的特征序列，再计算该事件流的序列特征与某类威胁模型序列特征的匹配值来预测是否存在潜在的威胁。本发明方法能够实现即时威胁的识别、隐藏威胁的挖掘，极大提高了网络安全运维的水平。

主权项：1.一种基于事件检测模式的网络安全威胁识别方法，其特征在于，包括如下步骤：步骤S1、采集网络各节点的历史原始事件数据；步骤S2、对原始事件数据进行特征工程过程，生成事件的特征数据；步骤S3、对特征数据按单点事件、多个关联事件的模式分别进行模型训练，生成对应的事件点异常检测模型、事件流风险预测模型；步骤S4、对实时采集数据实施特征化工程，并输入到威胁识别模型应用入口；步骤S5、以并行或串行的方式对实时特征数据进行基于事件点威胁模型与基于事件流威胁模型的匹配度计算；步骤S6、当单点特征数据或序列特征数据的匹配度超过某一阈值，则触发威胁处理模块，并视需要，根据确认结果进行威胁模型的反馈、修正、优化；该方法威胁识别分为单点事件即事件点、多个关联事件即事件流识别模式，并将该两种模式运用在威胁识别模型的训练和模型知识的应用过程；该方法在训练数据的准备，或模型训练过程，或模型知识生成，或者威胁识别过程，均按事件点、事件流模式进行；该方法能够灵活地根据包括网络事件数的量级、计算模型的准确度、计算资源性能差异、威胁识别实时性的因素灵活地将基于事件点的威胁识别模式、基于事件流的威胁识别模式以并行或串行的方式进行组合；事件点检测具体实现逻辑如下：采集网络事件数据并完成特征化特征，对单点数据特征数据使用包括基于统计模型的方法、基于邻近度的方法、基于密度的方法、孤立森林算法，计算事件对象与同类事件的差异，获得一个基于距离或基于密度的异常得分，得分越高则代表该事件异常可能性越高；事件流检测具体实现逻辑如下：采集网络事件数据并完成特征化特征，采用包括基于相似度、关联规则、主成分分析、机器推理的方法进行特征数据进行关联分析，生成特征数据序列；在特征数据序列的基础上，通过机器学习在一系列行为事件对应的特征序列中发现规律，并按对安全的友好型、可信度高低生成表示“安全”的或表示“威胁”的不同规则；步骤S5中，以并行或串行的方式对实时特征数据进行基于事件点威胁模型与基于事件流威胁模型的匹配度计算，具体实现如下：威胁识别流程-并行方式，即同时进行事件点、事件流的威胁识别进程：提取某一事件的特征，然后应用事件点异常检测模型对该事件的特征数据进行异常点检测；同时，对该事件进行朔源与关联分析，获取与该事件相关联的完整事件流的序列特征，然后应用事件流风险预测模型对该序列特征进行匹配计算；威胁识别流程-串行方式，即先对时间窗口内的某一事件进行朔源与关联分析，获取与该事件相关联的完整事件流的序列特征；逐个遍历该序列特征中的每个事件特征，然后应用事件点异常检测模型对该事件的特征数据进行异常点检测；如果单点威胁模型匹配度大于某一阈值，则触发包括告警的后处理策略，同时结束该事件流序列的遍历，开始下一个事件流的威胁识别；如果按单点威胁模型匹配遍历完该事件流序列中全部节点，则应用流事件流检测模型对该事件流的序列特征进行匹配计算。

全文数据：

权利要求：

百度查询： 中邮科通信技术股份有限公司 一种基于事件检测模式的网络安全威胁识别方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD