[發(fā)明專利]一種基于頻繁模式挖掘的安全設(shè)備告警規(guī)則自動(dòng)提取方法有效
| 申請(qǐng)?zhí)枺?/td> | 201710827658.3 | 申請(qǐng)日: | 2017-09-14 |
| 公開(公告)號(hào): | CN107835087B | 公開(公告)日: | 2022-09-02 |
| 發(fā)明(設(shè)計(jì))人: | 李勃;周媛;梁野;邵立嵩;蘇達(dá);張宏杰;施佳峰;賀建偉 | 申請(qǐng)(專利權(quán))人: | 北京科東電力控制系統(tǒng)有限責(zé)任公司;國(guó)網(wǎng)寧夏電力公司 |
| 主分類號(hào): | H04L41/06 | 分類號(hào): | H04L41/06;H04L41/069;H04L41/142 |
| 代理公司: | 北京汲智翼成知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 11381 | 代理人: | 陳曦;陳麗 |
| 地址: | 100192 北京市海淀*** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 頻繁 模式 挖掘 安全設(shè)備 告警 規(guī)則 自動(dòng) 提取 方法 | ||
1.一種基于頻繁模式挖掘的安全設(shè)備告警規(guī)則自動(dòng)提取方法,其特征在于包括如下步驟:
S1,采集電力二次系統(tǒng)中不符合安全策略的告警日志信息;
S2,對(duì)告警日志信息進(jìn)行關(guān)聯(lián)分析挖掘頻繁項(xiàng)集;
S3,判斷挖掘出的頻繁項(xiàng)集組成的頻繁模式與已知的告警規(guī)則是否一致;如果一致則挖掘出的該條頻繁項(xiàng)集組成的頻繁模式不計(jì)分;否則判斷所述頻繁模式是否含有源端口;如果所述頻繁模式含有源端口則挖掘出的所述頻繁項(xiàng)集不計(jì)分;否則判斷所述頻繁模式是否含有源IP、目的IP和目的端口;根據(jù)含有的源IP、目的IP和目的端口的種類個(gè)數(shù),對(duì)挖掘出的頻繁項(xiàng)集組成的頻繁模式進(jìn)行計(jì)分;對(duì)告警日志信息中的特定日志類型標(biāo)識(shí)進(jìn)行統(tǒng)計(jì),確定所述特定日志類型標(biāo)識(shí)的類型:
如果統(tǒng)計(jì)過后的特定日志類型標(biāo)識(shí)僅含源IP,告警規(guī)則為:僅含源IP,源IP發(fā)生端口掃描攻擊;
如果統(tǒng)計(jì)過后的特定日志類型標(biāo)識(shí)僅含目的IP,告警規(guī)則為:僅含目的IP,目的IP發(fā)生DDos攻擊;
如果統(tǒng)計(jì)過后的特定日志類型標(biāo)識(shí)僅含目的端口,告警規(guī)則為:僅含目的端口,存在對(duì)目的端口的掃描或類似攻擊行為,發(fā)生新型攻擊;
如果統(tǒng)計(jì)過后的特定日志類型標(biāo)識(shí)含源IP和目的IP,告警規(guī)則為:含源IP和目的IP,存在源IP正在對(duì)目的IP進(jìn)行攻擊的風(fēng)險(xiǎn);
如果統(tǒng)計(jì)過后的特定日志類型標(biāo)識(shí)含源IP和目的端口,告警規(guī)則為:含源IP和目的端口,源IP正在對(duì)目的端口進(jìn)行掃描或類似攻擊行為,存在發(fā)生新型攻擊的風(fēng)險(xiǎn);
如果統(tǒng)計(jì)過后的特定日志類型標(biāo)識(shí)含目的IP和目的端口,告警規(guī)則為:含目的IP和目的端口,目的IP和目的端口正在被攻擊;
如果統(tǒng)計(jì)過后的特定日志類型標(biāo)識(shí)含源IP目的IP及目的端口,告警規(guī)則為:含源IP目的IP及目的端口,源IP正在對(duì)目的IP和目的端口進(jìn)行攻擊。
2.如權(quán)利要求1所述的基于頻繁模式挖掘的安全設(shè)備告警規(guī)則自動(dòng)提取方法,其特征在于:
在步驟S2中,對(duì)告警日志信息進(jìn)行關(guān)聯(lián)分析挖掘頻繁項(xiàng)集采用FP-Growth算法。
3.如權(quán)利要求2所述的基于頻繁模式挖掘的安全設(shè)備告警規(guī)則自動(dòng)提取方法,其特征在于采用FP-Growth算法對(duì)告警日志信息進(jìn)行關(guān)聯(lián)分析挖掘頻繁項(xiàng)集,包括如下步驟:
S21,從待分析數(shù)據(jù)庫(kù)中讀取待分析數(shù)據(jù),計(jì)算待分析數(shù)據(jù)集中的事務(wù)總數(shù),根據(jù)最小支持度閾值,計(jì)算最小支持度;
S22,統(tǒng)計(jì)每個(gè)事物項(xiàng)的頻次,對(duì)小于最小支持度的事物項(xiàng)進(jìn)行過濾,并按照支持度的大小進(jìn)行降序排列,形成頻繁項(xiàng)表;
S23,建立一個(gè)根節(jié)點(diǎn)為NULL的FP樹和一個(gè)存儲(chǔ)節(jié)點(diǎn)信息的Tab表;
S24,將頻繁項(xiàng)表中的每條處理好的事務(wù)中的數(shù)據(jù)項(xiàng)按降序依次插入到FP樹中,構(gòu)建出FP樹的一條路徑;在將所述數(shù)據(jù)項(xiàng)插入到FP樹的過程中,同時(shí)用Tab指針指向?qū)?yīng)項(xiàng)的節(jié)點(diǎn),并將每個(gè)節(jié)點(diǎn)的計(jì)數(shù)增加1;
S25,從Tab表的尾部的項(xiàng)開始向上遍歷FP樹,每次遍歷得到所述項(xiàng)的條件模式基,將所述條件模式基轉(zhuǎn)化為條件FP樹;
S26,重復(fù)步驟S25,直到FP樹包含一個(gè)元素項(xiàng)為止;
S27,將每一棵條件FP樹生成的所有的從根節(jié)點(diǎn)到葉子節(jié)點(diǎn)的路徑,由路徑中的集合產(chǎn)生頻繁項(xiàng)集。
4.如權(quán)利要求1所述的基于頻繁模式挖掘的安全設(shè)備告警規(guī)則自動(dòng)提取方法,其特征在于:
在步驟S1中,對(duì)采集的所述告警日志信息進(jìn)行過濾,獲取告警日志信息中的特定日志類型標(biāo)識(shí)。
5.如權(quán)利要求4所述的基于頻繁模式挖掘的安全設(shè)備告警規(guī)則自動(dòng)提取方法,其特征在于:
所述特定日志類型標(biāo)識(shí)包括源IP地址、源端口、目的IP地址和目的端口四種類型。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京科東電力控制系統(tǒng)有限責(zé)任公司;國(guó)網(wǎng)寧夏電力公司,未經(jīng)北京科東電力控制系統(tǒng)有限責(zé)任公司;國(guó)網(wǎng)寧夏電力公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710827658.3/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
