[发明专利]一种基于机器学习的工控态势感知系统及方法

说明书

本发明提供了一种基于机器学习的工控态势感知方法及系统，感知方法包括：对不同的网络安全设备的告警数据集进行收集；对收集到的告警数据集进行规范化处理，并通过采用正则表达式，以字符串匹配的方式从告警日志中提取的属性信息，构建原始告警数据库；然后采用经典的关联规则挖掘算法Apriori，来实现告警聚合，并根据窗口大小完成将全局攻击序列划分为多个候选序列集，最后，通过改进PrefixSpan算法挖掘出最大攻击模式。本发明相较于PrefixSpan算法，准确率和有效性大大提升，且减少了开销。

技术领域

本发明涉及工控安全领域，具体为解决多源告警中蕴含的复杂攻击难发现 的问题，提出了一种基于机器学习的工控态势感知系统及方法。

背景技术

随着互联网的普及以及飞速发展，计算机网络在造福人类生产生活同时， 也造成了网络安全问题不断升级恶化，网络信息系统安全面临严峻挑战，利用 单一的安全设备来对网络进行安全防护已经远远无法满足安全需求。为了应对 在企业内网和互联网中潜在的安全威胁和隐蔽攻击，越来越多的安全设备例如 防火墙、入侵检测系统(IntrusionDetection Systems，IDS)、入侵诱捕系统(简 称蜜罐，Honeypot)和漏洞扫描系统等得以部署，共同构建防御体系来进行网 络安全防护。然而，它们也产生了大量质量低、误警率高、重复率高的异构告 警信息，这导致通过分析多源告警信息来发现真正有威胁的攻击事件变得十分 困难，几乎超越了人力处理的能力极限。此外，网络攻击者发起网络攻击的针 对性越来越强，采用的攻击手段也越来越复杂且隐蔽，一个攻击事件中可能包 含多个攻击步骤，且不同的攻击步骤可能由不同的攻击者使用不同的主机实施。

针对以上问题，在现有的解决方案中，越来越多的研究者逐渐将其应用于 告警关联性研究之中。彭梦停等[9]采用Apriori算法实现关联分析进而完成提取 攻击场景，李之棠等[10]、OO Bamasak等[11]则将序列模式挖掘应用于对告警 信息的关联分析中，但两者所选用的方法均是基于R Agrawal[12]所提出的 AprioriAll算法。作为Apriori类算法，AprioriAll存在着候选项集庞大，且需要 多次扫描数据库的固有缺陷，这在数据量级很大时对于算法效率的影响将是致 命的。因此，设计出一种算法不仅能够去除冗余无效告警数据、且能够发现隐 藏在原始告警中的攻击步骤，对于实现网络安全态势的深度感知，是非常有必 要的。

发明内容

本发明所要解决的技术问题是提供一种基于机器学习的工控态势感知系统 及方法，能够解决多源告警中蕴含的复杂攻击难发现的问题。

为了解决上述问题，本发明的实施例提供一种基于机器学习的工控态势感 知方法，所述方法包括如下步骤：

S1：数据收集：在企业内网和互联网部署了预设数量的防火墙、入侵检测 系统(Intrusion Detection Systems，IDS)、入侵诱捕系统(简称蜜罐，Honeypot) 和漏洞扫描系统，对不同的网络安全设备的告警数据集进行收集；

S2：构建原始告警数据库：首先需要对不同种类的安全设备所产生告警信 息的格式进行规范化处理，然后，通过采用正则表达式，以字符串匹配的方式 从告警日志中提取的属性信息，构建原始告警数据库；

S3：聚类同一阶段告警：首先对原始冗余告警数据进行提炼压缩，减少处 理数据的规模，然后以告警类型为单位进行研究，构建告警类型与攻击阶段的 映射关系，并采用关联规则挖掘算法Apriori实现告警聚合；

S4：形成候选攻击序列库：首先，引入滑动窗口的概念对全局告警序列进 行划分，得到候选序列集，窗口大小即一个攻击事件中包含的最大攻击阶段数； 然后，根据滑动窗口大小对攻击序列进行划分，得到的候选攻击序列集；