[发明专利]基于属性相关性的网络告警信息聚类方法

说明书

本发明公开了一种基于属性相关性的网络告警信息聚类方法，其具体步骤包括：网络告警信息整理；对具有相同攻击源或相同攻击目标的网络告警信息，根据五元组特征对网络告警信息进行聚类；对具有相同数据特征、攻击类型的网络告警信息，根据告警信息的攻击类型特征对该网络告警信息进行聚类，得到网络告警信息类型特征的网络告警信息集合；基于攻击发生时间的网络告警信息聚类；聚类网络告警信息再融合。本发明基于多维属性特征聚类实现时空全局视角的告警信息聚类，与实际攻击事件中攻击者对被攻击目标往往采用多种攻击技战法开展组合式的攻击的情况相吻合，可以涵盖攻击事件的全貌和重要细节，为攻击事件分析和攻击场景还原准备更好的基础条件。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于属性相关性的网络告警信息聚类方法。

背景技术

目前在网络安全攻防领域，随着信息技术的不断发展进步以及网络防御能力的不断进化和丰富，网络攻击技术手段和技术也在与网络安全防御设备的博弈中不断变得复杂化。企业网络的各类网络安全防御设备和安全监测预警设备在面对日益复杂的攻击手段，会产生众多冗余告警信息，不同攻击活动告警信息、无关告警、重复告警以及误告警信息混合在一起，真正的攻击告警信息被海量低质量的告警信息所掩盖，导致告警信息处理的复杂程度和难度亦是不断提升。因此，有必要研究一种高效的告警信息聚类技术，过滤冗余和假告警信息，挖掘出告警信息的相关关系，将具有攻击属性的告警信息聚类在一起，为攻击事件分析提供一个优质数据基础。

针对此告警信息处理需求，现有的网络告警信息聚类技术存在的缺陷包括：

1)依据源到目的地址开展的告警信息聚类方法，可以将单点攻击源到单点攻击目标之间的告警信息聚类在一起，实现将点对点攻击告警信息收敛到一个告警集合内。但是依据源到目的地址开展的告警信息聚类方法，不能很好地将攻击者对单一目标进行的多对一的分散攻击行为以及从单一攻击源对多个攻击目标开展一对多的类扫描探测攻击行为的告警信息进行收敛。

2)依据告警信息类型的告警信息聚类方法，可以将同种攻击类型告警信息聚类在一起，一定程度上可以将同类攻击行为告警信息进行收敛聚类，但考虑到实际攻击事件中攻击者对被攻击目标往往采用多种攻击技战法和运用多种攻击手段开展组合式的攻击。依据告警信息类型的告警信息聚类方法开展的告警信息聚类往往只是聚类了攻击事件的一个片段，不足以涵盖体现攻击事件的全貌。

发明内容

针对目前采用的依据源到目的五元组信息开展的告警信息聚类方法和依据告警信息类型的告警信息聚类方法存在的不足，本发明公开了一种基于属性相关性的网络告警信息聚类方法，融合基于告警信息攻击类型、攻击发生时间、五元组特征等告警信息聚类方法，既可对告警信息开展局部收敛又可对告警信息进行依托时空全局视角进行聚类，实现对告警信息从宏观到微观的多维收敛聚类。

本发明提出基于属性相关性的网络告警信息聚类技术，融合基于告警信息攻击类型、攻击发生时间、攻击源和目的五元组特征等告警信息聚类方法，并对多维关联聚类结果进行再度的融合，确保在时空全局视角的告警信息聚类，且不丢失告警信息局部显著特征。基于属性相关性的告警信息聚类技术首先对告警信息进行格式统一和清洗，并对整理后的告警信息进行基于告警信息类型特征、五元组特征、攻击发生时间的多维聚类，最后对多个聚类结果进行关联分析，将属于同一攻击时间的聚类信息进行进一步的组合归并，更好的从宏观上实现告警信息的聚类，为攻击行为的分析准备优质的数据基础。

本发明公开了一种基于属性相关性的网络告警信息聚类方法，其具体步骤包括：

S1，网络告警信息整理；对包括防火墙、杀毒终端、恶意流量分析、邮件分析在内的安全防御设备和服务产生网络告警信息，利用IDMEF安全事件规范对该信息进行格式统一，实现网络告警信息记录描述的动态可扩展性、兼容性、逻辑统一性。再对网络告警信息进行去重处理，以减少网络告警信息数量。