一种面向网络安全事件的证据链生成方法及装置

摘要

本发明提供一种面向网络安全事件的证据链生成方法及装置，其中，所述方法包括：获取已知网络攻击方式的动静态证据数据并建立证据数据库；对所述证据数据进行特征提取和降维处理，获得证据数据特征库；对证据数据特征进行基于时空因果关系的关联分析，获得多种网络攻击方式组合以及各组合发生的概率；提取待分析网络安全事件的特征，并与所述所有网络攻击方式组合的特征逐一进行相似度的计算，选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。本发明能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据，经过关联分析实现重构攻击场景，追踪攻击事件源头，构建网络安全事件完整、准确、真实的证据链。

说明书

技术领域

本发明涉及网络安全技术领域，更具体地，涉及一种面向网络安全事件的证据链生成方法及装置。

背景技术

当前网络规模急剧增加，各类网络攻击的入侵过程也逐渐向复杂化、多样化和分布式的趋势发展，网络攻击带来的损失越来越严重，而针对各类网络安全事件的追踪溯源以及查处响应也变得日益困难。

为了应对目前严峻的网络安全形势，人们在网络上部署了各种网络安全监控和防御系统，例如入侵检测、防火墙、恶意代码防护系统、安全漏洞扫描系统、网络管理监控系统等。这些系统起到了一定的安全防御作用，产生的安全事件信息为网络安全管理提供了基本的决策和行动依据。

但这些系统产生的安全事件信息数据量巨大、误报率高、数据缺乏整合，特别是在大规模网络环境中，这一问题更加突出，无法为各类网络安全事件的追踪溯源提供有力依据，因此，面向网络安全事件的证据链生成技术研究显得越来越重要。

发明内容

为了解决现有技术中存在的安全事件信息数据量大、误报率高、数据缺乏整合的问题，本发明提供一种面向网络安全事件的证据链生成方法及装置。

根据本发明的一个方面，提供一种面向网络安全事件的证据链生成方法，包括：

S1，获取已知网络攻击方式的动静态证据数据，通过将所述动静态证据数据作为证据数据建立证据数据库；

S2，对所述证据数据库中的证据数据进行特征提取和降维处理，获得所述证据数据库中的证据数据对应的证据数据特征，基于所述证据数据特征建立证据数据特征库；

S3，对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析，获得多种网络攻击方式组合以及各组合发生的概率；

S4，对各所述网络攻击方式组合进行特征分析，提取所有网络攻击方式组合的特征；

S5，提取待分析网络安全事件的特征，并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算，选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。

其中，所述步骤S3进一步包括：

S31，基于已获知完整证据链的网络安全历史事件训练集，获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图；

S32，构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库；

S33，基于所述映射关系数据库和所述证据数据特征库中的证据数据特征，推断网络攻击方式组合；

S34，基于所述关联数据库和攻击组合方式数据库，推断所述网络攻击方式组合发生的概率。

其中，S1中所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括：

利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容，获得动态证据数据；

通过密码破解和内容解析提取网络中各类文件和邮件内容，获得静态证据数据。

其中，所述步骤S2进一步包括：

利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理，获得证据数据特征库。

其中，S5中将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括：

采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。

根据本发明的另一个方面，提供一种面向网络安全事件的证据链生成装置，包括：

证据数据库建立模块，用于获取已知网络攻击方式的动静态证据数据，通过将所述动静态证据数据作为证据数据建立证据数据库；

特征库建立模块，用于对所述证据数据库中的证据数据进行特征提取和降维处理，获得所述证据数据库中的证据数据对应的证据数据特征，基于所述证据数据特征建立证据数据特征库；

关联分析模块，用于对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析，获得多种网络攻击方式组合以及各组合发生的概率；

特征提取模块，用于对各所述网络攻击方式组合进行特征分析，提取所有网络攻击方式组合的特征；

证据链生成模块，用于提取待分析网络安全事件的特征，并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算，选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。

其中，所述关联分析模块具体用于：

基于已获知完整证据链的网络安全历史事件训练集，获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图；

构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库；

基于所述映射关系数据库和所述证据数据特征库中的证据数据特征，推断网络攻击方式组合；

基于所述关联数据库和攻击组合方式数据库，推断所述网络攻击方式组合发生的概率。

其中，所述证据数据库建立模块具体用于：

利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容，获得动态证据数据；

通过密码破解和内容解析提取网络中各类文件和邮件内容，获得静态证据数据。

其中，所述特征库建立模块具体用于：

利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理，获得证据数据特征库。

其中，所述证据链生成模块具体用于：

采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。

本发明提出的一种面向网络安全事件的证据链生成方法及装置，能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据，经过关联分析实现重构攻击场景，追踪攻击事件源头，构建网络安全事件完整、准确、真实的证据链。

附图说明

图1为根据本发明一实施例提供的一种面向网络安全事件的证据链生成方法的流程示意图；

图2为根据本发明另一实施例提供的一种面向网络安全事件的证据链生成装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例，都属于本发明保护的范围。

如图1所示，为本发明一实施例提供的一种面向网络安全事件的证据链生成方法的流程示意图，包括：

S1，获取已知网络攻击方式的动静态证据数据，通过将所述动静态证据数据作为证据数据建立证据数据库；

S2，对所述证据数据库中的证据数据进行特征提取和降维处理，获得所述证据数据库中的证据数据对应的证据数据特征，基于所述证据数据特征建立证据数据特征库；

S3，对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析，获得多种网络攻击方式组合以及各组合发生的概率；

S4，对各所述网络攻击方式组合进行特征分析，提取所有网络攻击方式组合的特征；

S5，提取待分析网络安全事件的特征，并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算，选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。

具体地，S1，针对常见的已知的网络攻击方式，通过密码破解、协议还原、内容解析等方式提取网络流、会话数据、安全日志等中的动静态证据数据，建立包括音视频、图像、文本等格式的证据数据库。

其中，所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括：

利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容，获得动态证据数据；

通过密码破解和内容解析提取网络中各类文件和邮件内容，获得静态证据数据。

S2，获取到证据数据库之后，需要对其中的音视频、图像、文本等格式的证据数据进行特征提取和降维处理之后，才能用于后续的关联分析。

可以采用现有的特征提取和降维方法，优选地，利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理，获得证据数据特征库。

其中，主成分分析是指将n维证据数据特征映射到k维上(k<n)，这k维是全新的正交特征。这k维特征称为主元，是重新构造出来的k维特征。其算法步骤如下：

设有m条n维证据数据，

①将原始数据按列组成n行m列矩阵X；

②将X的每一行(代表一个属性字段)进行零均值化，即减去这一行的均值；

③求出协方差矩阵；

④求出协方差矩阵的特征值及对应的特征向量；

⑤将特征向量按对应特征值大小从上到下按行排列成矩阵，取前k行组成矩阵P；

⑥Y＝PX即为降维到k维后的数据。

S3，从时间、空间等多个维度对证据数据特征进行关联分析，推断该证据数据特征所对应的可能的多种网络攻击方式的组合以及各组合发生的概率。本发明采用基于时空因果关系的关联分析法，能够有效地根据证据数据特征，分析出证据数据特征反映出的多个网络攻击方式组合，并推断各组合发生的概率。

基于时空因果关系的关联分析方法的步骤进一步包括：

S31，基于已获知完整证据链的网络安全历史事件训练集，获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图；

S32，构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库；

S33，基于所述映射关系数据库和所述证据数据特征库中的证据数据特征，推断网络攻击方式组合；

S34，基于所述关联数据库和攻击组合方式数据库，推断所述网络攻击方式组合发生的概率。

S4，获得各种网络攻击方式组合之后，进行特征分析，提取出所有网络攻击方式组合的特征。

S5中，首先提取待分析网络安全事件的特征，然后将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算，选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。

其中，S5中将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括：

采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。

具体地，将网络安全事件的特征与攻击组合的特征进行相似度分析，分析方法可以采用欧氏距离、余弦夹角、相关系数等，选择相似度最高的攻击组合作为网络安全事件的证据链。

对于两个n维向量a(x₁₁,x₁₂,…,x_1n)与b(x₂₁,x₂₂,…,x_2n)，它们之间的欧氏距离、夹角余弦和相关系数的计算方法分别如下。

欧氏距离的计算公式为：

夹角余弦的计算公式为：

相关系数的计算公式为：

其中，cov(a,b)表示a与b的协方差，D(a)和D(b)分别为a和b的方差，E(a)和E(b)分别为a和b的期望值。

本发明提出的一种面向网络安全事件的证据链生成方法，能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据，经过关联分析实现重构攻击场景，追踪攻击事件源头，构建网络安全事件完整、准确、真实的证据链。

如图2所示，为本发明另一实施例提供的一种面向网络安全事件的证据链生成装置的结构示意图，包括：证据数据库建立模块21、特征库建立模块22、关联分析模块23、特征提取模块24和证据链生成模块25，其中，

证据数据库建立模块21，用于获取已知网络攻击方式的动静态证据数据，通过将所述动静态证据数据作为证据数据建立证据数据库；

特征库建立模块22，用于对所述证据数据库中的证据数据进行特征提取和降维处理，获得所述证据数据库中的证据数据对应的证据数据特征，基于所述证据数据特征建立证据数据特征库；

关联分析模块23，用于对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析，获得多种网络攻击方式组合以及各组合发生的概率；

特征提取模块24，用于对各所述网络攻击方式组合进行特征分析，提取所有网络攻击方式组合的特征；

证据链生成模块25，用于提取待分析网络安全事件的特征，并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算，选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。

具体地，证据数据库建立模块21针对常见的已知的网络攻击方式，通过密码破解、协议还原、内容解析等方式提取网络流、会话数据、安全日志等中的动静态证据数据，建立包括音视频、图像、文本等格式的证据数据库。

其中，所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括：

利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容，获得动态证据数据；

通过密码破解和内容解析提取网络中各类文件和邮件内容，获得静态证据数据。

获取到证据数据库之后，需要对其中的音视频、图像、文本等格式的证据数据进行特征提取和降维处理之后，才能用于后续的关联分析。

特征库建立模块22采用现有的特征提取和降维方法，优选地，利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理，获得证据数据特征库。

其中，主成分分析是指将n维证据数据特征映射到k维上(k<n)，这k维是全新的正交特征。这k维特征称为主元，是重新构造出来的k维特征。其算法步骤如下：

设有m条n维证据数据，

①将原始数据按列组成n行m列矩阵X；

②将X的每一行(代表一个属性字段)进行零均值化，即减去这一行的均值；

③求出协方差矩阵；

④求出协方差矩阵的特征值及对应的特征向量；

⑤将特征向量按对应特征值大小从上到下按行排列成矩阵，取前k行组成矩阵P；

⑥Y＝PX即为降维到k维后的数据。

关联分析模块23从时间、空间等多个维度对证据数据特征进行关联分析，推断该证据数据特征所对应的可能的多种网络攻击方式的组合以及各组合发生的概率。本发明采用基于时空因果关系的关联分析法，能够有效地根据证据数据特征，分析出证据数据特征反映出的多个网络攻击方式组合，并推断各组合发生的概率。

基于时空因果关系的关联分析方法的步骤进一步包括：

基于已获知完整证据链的网络安全历史事件训练集，获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图；

构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库；

基于所述映射关系数据库和所述证据数据特征库中的证据数据特征，推断网络攻击方式组合；

基于所述关联数据库和攻击组合方式数据库，推断所述网络攻击方式组合发生的概率。

特征提取模块24用于获得各种网络攻击方式组合之后，进行特征分析，提取出所有网络攻击方式组合的特征。

证据链生成模块25首先提取待分析网络安全事件的特征，然后将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算，选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。

其中，将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括：

采用欧式距离、夹角余弦或相关系数的方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。

具体地，对于两个n维向量a(x11,x12,…,x1n)与b(x21,x22,…,x2n)，它们之间的欧氏距离、夹角余弦和相关系数的计算方法分别如下。

欧氏距离的计算公式为：

夹角余弦的计算公式为：

相关系数的计算公式为：

其中，cov(a,b)表示a与b的协方差，D(a)和D(b)分别为a和b的方差，E(a)和E(b)分别为a和b的期望值。

本发明提出的一种面向网络安全事件的证据链生成装置，能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据，经过关联分析实现重构攻击场景，追踪攻击事件源头，构建网络安全事件完整、准确、真实的证据链。

最后，本发明的方法仅为较佳的实施方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。