基于多源告警的攻击事件分析

为解决多源告警中的复杂攻击难以被发现的问题,提出一种攻击序列模式挖掘算法。利用正则表达式匹配告警,将多源告警规范化为统一格式。对冗余告警信息进行压缩,利用强关联规则训练得到的规则集聚合同一阶段的告警,有效去除冗余告警,精简告警数量。利用滑动窗口对聚合后的告警进行划分得到候选攻击事件数据集,通过改进的PrefixSpan算法挖掘得到多阶段攻击事件的攻击序列模式。实验结果表明,该算法在不依赖专家知识的前提下,能够准确并高效地分析告警相关性,还原攻击事件中的攻击步骤。相比传统PrefixSpan算法,提出的改进算法的攻击模式挖掘效率提升了48.05%。

安全数据的自动化猎捕和多源告警的溯源研究

对网络攻击进行安全数据的自动化猎捕以及追踪和溯源在当今信息社会中具有重要的应用。能准确定位攻击信息源的同时,对网络攻击起到较好的组织或抑制作用,此外所捕获的数据可作为攻击的重要证据,对网络攻击者有着极强的威慑力。安全数据的自动化猎捕和多源告警的溯源研究具有极高的现实意义及安全价值。近几年来,研究人员对网络系统的安全运营和攻击源的多源溯源进行大量的研究和分析,根据实践技术经验提出了多种能够追踪溯源的技术方案。在此主要探讨在目前形势下,国家电网网络系统在受到大规模网络攻击时,对攻击进行溯源所存在的技术性问题,并详细探讨目前多源告警溯源机制的优点和缺点,根据工程实践经验提出了能够融合多种先进技术的多源告警溯源技术思路,并基于该思路提出了信息融合的手段。这种技术方法的扩展性比较强,对于网络攻击有着较好的防范作用,所建立的网络攻击追踪溯源的系统构架有极强的应用意义,能够有效提升国家电网网络环境的安全性和稳定性,减少所受到的网络攻击,给相关研究人员以借鉴和参考。

EHFM:一种面向多源网络攻击告警的高效层级化数据过滤方案

在复杂网络环境中,态势感知技术根据警报数据实时捕捉多种安全要素及其引起的态势变化,对网络安全进行感知和预测,在安全建设中发挥着重大作用。然而,互联网中海量威胁日志和事件信息带来了极高的分析复杂度,甚至造成了评估和感知技术的误判问题,给安全管理带来了极大挑战。因此,警报事件的过滤起到了重要作用,并且过滤的细粒度、准确性是后续可靠安全态势评估的基础。文中提出了一个面向多源网络攻击告警的层次化数据过滤模型EHFM,并将其应用于一个安全态势感知系统中。EHFM包含5层过滤器,为多源告警日志设计了统一格式,提出了联合性能熵之差的概念,并结合模糊层次分析等方法,对大量的警报进行统一、精细、定制化的过滤,从而提升安全态势评估算法的准确性、灵活性,解决了网络攻击告警规模过大导致的安全状态误判问题。通过对上述EHFM过滤模型和态势感知系统的代码实现,该方案的可行性得到了证明。经过大量实验,结果表明,该方案能够对恶意事件进行精细的分类和过滤,有效避免外界环境因素带来的误判,在大规模网络攻击告警的场景下提升安全态势评估算法的准确性。

一种基于多源告警事件关联的分布式入侵检测系统模型

为了提高分布式入侵检测模型中报警的可信性,本文提出了一种基于多源告警事件关联的入侵检测模型。该模型通过对警报数据的过滤、归约、融合和多源告警事件关联,减少重复警报,降低误警报率,提高检测准确度。

基于大数据的能源集团统一运行监测与安全预警平台

能源集团信息化资产近年来急速增长,为有效应对信息安全风险,通过大数据和多源告警数据交叉确认机制等技术,设计了集团型企业中对信息化设备和应用系统进行集中运行监测并实现安全预警和日志审计的平台。提出了通过对全网海量多源异构数据的全局分析,实现信息网络安全风险与态势的实时感知。该平台对于提升信息系统运行和安全管理水平、及时预警信息风险向电力系统传播扩散等方面具有重要的研究意义和应用价值。