[发明专利]一种基于时序有向图的窃取信息线索提取与分段评估方法

说明书

本发明提供一种基于时序有向图的窃取信息线索提取与分段评估方法，包括如下步骤：获取整个内网中的日志信息，包括内网中各种防护和监管设备生成的海量日志数据，并在获取过程中对日志信息进行清洗和标注，形成范式化（格式化）线索数据。范式化的线索数据，至少要包含线索主体，关联属性，线索所属阶段和线索时间四方面的信息。然后，将每个线索数据作为顶点，关联属性作为边，对选定时间内的所有线索数据进行有向串联，形成一个内网线索和关联属性组成的有向图。之后，遍历有向图提取出信息窃取线索链，建立信息窃取评估函数对每一条线索链进行线索评估，评估主要通过线索点数量和线索阶段完整度评测。对线索链评估风险值较高的线索链进行提取和告警。

技术领域

本发明涉及互联网信息安全技术领域，具体涉及一种基于时序有向图的窃取信息线索提取与分段评估方法。

背景技术

随着国内信息化建设水平的不断提高，各机关单位逐步建立了单位内部办公网络或者行业专网，因各种原因，很多单位建设的办公网络不能与互联网进行联通。这些与互联网隔离的网络中往往会传输处理一些比较敏感的信息，成为敏感网络。针对这种网络中的信息安全防护就成了一个至关重要的课题。

目前，针对内网的信息安全防护解决方案还比较单一，基本上都是基于传统互联网信息安全的防护手段来设计的方案。此类方案主要是针对内网中的病毒、恶意软件、系统漏洞等传统互联网设备的防护要求，对内网中的设备和系统进行安全加固与防护。并没有做到对敏感内网中的信息窃密泄密进行有针对性的加固和防护。这些传统监管手段在运行过程中会生成大量的管理日志、运行日志和告警信息，这些信息往往数据量较大，存在判断信息窃密泄密方面不能提供准确线索的问题。

发明内容

为了克服上述现有技术中的不足，本发明提供一种基于时序有向图的窃取信息线索提取与分段评估方法，以解决上述技术问题。

本发明的技术方案是：

一种基于时序有向图的窃取信息线索提取与分段评估方法，包括如下步骤：

获取日志信息并在获取过程中对日志信息进行线索提取；

将获取的日志线索进行有向串联分段，在确定的时间范围内，将网络内的所有线索形成一个有限的有向图；

遍历有向图提取出信息窃取线索链；

建立信息窃取评估函数对每一条线索链进行线索评估。

优选地，步骤获取整个内网中的日志信息并在获取过程中对日志信息进行线索提取，包括：

获取内网中各种防护和监管设备生成的海量日志数据；

日志数据获取过程中对日志数据进行清洗和标注，形成范式化线索数据；

根据窃密泄密事件的过程特征对获取的日志数据进行阶段划分；其中，按照内网攻击的行为习惯对攻击链模型进行优化，将日志数据划分为：意向阶段A，准备阶段B，行动阶段C，掩盖阶段D。

优选地，步骤日志数据获取过程中对日志数据进行清洗和标注，形成范式化线索数据中，范式化线索数据至少要包含线索主体、关联属性、线索所属阶段和线索时间四方面的信息。

优选地，步骤日志数据获取过程中对日志数据进行清洗和标注，形成范式化线索数据，具体包括：

按照SYSLOG日志传输标准进行日志接收；

通过配置解析模板对接收到的日志进行解析和范式化；

将范式化后的数据进行存储，形成以事件告警和日志为线索的不同阶段的日志线索集合项其中，事件线索A、B、C、D分别表示属于四个不同阶段的日志线索集合，E表示网络和用户环境中的所有日志线索。