(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111678291.6 (22)申请日 2021.12.31 (71)申请人 西安交通大 学 地址 710049 陕西省西安市咸宁西路28号 (72)发明人 刘杨　刘烃　王云　姜宝翔　 任泽华　刘慧翔　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 代理人 贺小停 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01) G06F 16/22(2019.01) G06F 16/28(2019.01) G06K 9/62(2022.01) (54)发明名称 一种基于图方法的工业互联网告警日志关 联分析方法及系统 (57)摘要 本发明提供的一种基于图方法的工业互联 网告警日志关联分析方法及系统， 包括以下步 骤： 步骤1， 获取网络攻击告警日志； 步骤2， 对获 取的网络攻击告警日志进行解析， 得到每一条网 络攻击告警对应的特征量； 步骤3， 根据得到的特 征量创建网络安全事件图， 并将网络安全事件图 划分为多个告警簇； 步骤4， 提取每个告警簇对应 的统计特征和拓扑结构特征； 步骤5， 根据得到的 统计特征和拓扑结构特征对每条告警簇进行分 析识别； 本发明避免了告警日志数据多源、 异构 特点的影 响， 能够有效提高常见安全事件告警的 处理效率和高危事件的识别能力， 并且能够提供 对工业互联网整体安全态 势的感知能力。 权利要求书2页 说明书10页 附图3页 CN 114301712 A 2022.04.08 CN 114301712 A 1.一种基于图方法的工业互联网告警日志关联分析 方法， 其特 征在于， 包括以下步骤： 步骤1， 获取网络攻击告警日志； 步骤2， 对获取的网络攻击告警日志进行解析， 得到每一条网络攻击告警对应的特征 量； 步骤3， 根据 得到的特征量创建网络安全事件图， 并将网络安全事件图划分为多个告警 簇； 步骤4， 提取每 个告警簇对应的统计特 征和拓扑 结构特征； 步骤5， 根据得到的统计特 征和拓扑 结构特征对每条告警簇进行分析识别。 2.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法， 其特 征在于， 步骤2中， 每一条网络攻击告警对应的特征量包括警时间、 源IP地址、 目的IP地址和 告警类型。 3.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法， 其特 征在于， 步骤3中， 根据得到的特 征量创建网络安全 事件图， 具体方法是： S301， 根据步骤2中的特 征量获取IP地址集 合； 构建空白有向图； S302， 将IP地址集 合中的元 素作为向空白有向图中的节点； S303， 判断第i条网络攻击告警Ai的源IP地址对应的节点和目的IP地址对应的节点之间 是否存在有向边， 若不存在进入S3 04,否则进入S3 05； S304， 在节点srci和节点desi之间添加一条有向边ej＝(srci,desi)， 并为该边添加最新 告警时间、 类型和告警重复次数； S305， 若节点srci和节点desi之间已存在至少一条边， 且每条边的告警类型均与该第i 条网络攻击告警Ai对应的告警类型不同， 则在节点srci和节点desi之间添加一条新的有向 边ej＝(srci,desi)， 并为该边添加最 新告警时间、 类型和告警重复次数； 若节点srci和节点desi之间已存在至少一条有向边， 且其中任意一条有向边的告警类 型与该第i条网络攻击告警Ai对应的告警类型相同， 则更新该有向边的最新告警时间和告 警重复次数； S306， 重复执行S303至S305， 直至完成设定时间段内每条网络攻击告警， 进而得到 网络 安全事件图。 4.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法， 其特 征在于， 步骤3中， 利用社群发现算法将网络安全 事件图划分为两个告警簇 。 5.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法， 其特 征在于， 步骤4中， 利用统计方法和子图发现方法提取每个告警簇对应的统计特征和拓扑结 构特征。 6.根据权利要求1所述的一种基于图方法的工业互联网告警日志关联分析方法， 其特 征在于， 步骤5中， 根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别， 具体 方法是： 将得到每条告警簇对应的统计特征和拓扑结构特征与预设的高危模式黑名单中高危 告警簇对应的统计特 征和拓扑 结构特征进行匹配， 进 而判断该 条告警簇是否为高危事 件； 若该条告警簇为非高危事件时， 将该条告警簇的统计特征和拓扑结构特征与 预设的告 警簇模式库中的历史告警簇进行匹配， 进 而根据匹配结果对该 条告警簇进行研判；权　利　要　求　书 1/2 页 2 CN 114301712 A 2若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败， 则进行 人工研判。 7.根据权利要求6所述的一种基于图方法的工业互联网告警日志关联分析方法， 其特 征在于， 判断该 条告警簇是否为高危事 件， 具体方法是： 若该告警簇的统计特征和拓扑结构特征与高危模式对应的特征之间的差别小于设定 阈值， 则认定该告警簇为高危事 件。 8.根据权利要求6所述的一种基于图方法的工业互联网告警日志关联分析方法， 其特 征在于， 若该条告警簇与预设的告警簇模式库中的历史告警簇匹配失败后， 则将该告警簇 对应的统计特征、 拓扑结构特征和研判 结果添加至告警簇模式库， 完成告警簇模式库的更 新。 9.一种基于图方法的工业互联网告警日志关联分析系统， 其特 征在于， 包括： 数据采集单 元， 用于获取网络攻击告警日志； 数据提取单元， 用于对获取的网络攻击告警日志进行解析， 得到每一条网络攻击告警 对应的特 征量； 数据划分单元， 用于根据得到的特征量创建网络安全事件图， 并将网络安全事件图划 分为多个告警簇； 特征提取单元， 用于提取每 个告警簇对应的统计特 征和拓扑 结构特征； 分析识别单元， 用于根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识 别。权　利　要　求　书 2/2 页 3 CN 114301712 A 3