《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 高噪声日志攻击源识别方法研究及实现
高噪声日志攻击源识别方法研究及实现
网络安全与数据治理
高原1,2, 汪辰瑞1,3
1.安徽省水科学与智慧水利重点实验室;2.安徽省大禹水利工程科技有限公司; 3.安徽省建筑工程质量监督检测站有限公司
摘要: 随着信息系统规模的扩大与网络攻击手段的多样化,网络安全态势感知平台及其他运营保障平台在面对海量异构日志时,普遍存在告警疲劳、误报率高、攻击溯源困难等问题。针对高噪声日志环境下的攻击源识别与威胁溯源难题,提出一种高噪声日志攻击源识别方法,该方法使用了基于多维规则的攻击源IP动态评分模型,实现攻击源威胁等级的动态评估与更新。同时,系统利用知识图谱完成攻击链重构与可视化分析,提升安全事件的可解释性与处置效率。实验结果表明,该方法在水利行业真实日志数据上实现了99.6%的日志浓缩率,误报率降低至8.3%,显著提升安全运营效率与响应能力。研究成果为行业级网络安全智能化运营提供了可行技术路径。
中圖分類號:TP393文獻(xiàn)標(biāo)志碼:ADOI:10.19358/j.issn.2097-1788.2026.01.003
中文引用格式:高原, 汪辰瑞. 高噪聲日志攻擊源識別方法研究及實現(xiàn)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2026,45(1):14-19.
英文引用格式:Gao Yuan, Wang Chenrui. Research on methods and systems for identifying highnoise log attack sources[J].Cyber Security and Data Governance,2026,45(1):14-19.
Research on methods and systems for identifying high-noise log attack sources
Gao Yuan1,2, Wang Chenrui1,3
1. Anhui Provincial Key Laboratory of Water Science and Smart Water Conservancy; 2. Anhui Dayu Water Conservancy Engineering Technology Co., Ltd.; 3. Anhui Provincial Construction Engineering Quality Supervision and Testing Station Co., Ltd.
Abstract: With the expansion of information system scale and the diversification of network attack methods, network security situation awareness platforms and other operation and support platforms generally suffer from problems such as alarm fatigue, high false alarm rates, and difficulty in attack attribution when facing massive heterogeneous logs. To address the challenges of attack source identification and threat attribution in highnoise log environments, this paper proposes a method for identifying attack sources in highnoise logs. This method uses a dynamic scoring model of attack source IPs based on multidimensional rules to achieve dynamic assessment and updating of the threat level of attack sources. Simultaneously, the system utilizes knowledge graphs to complete attack chain reconstruction and visualization analysis, improving the interpretability and handling efficiency of security incidents. Experimental results show that this method achieves a log compression rate of 99.6% on real log data in the water conservancy industry, reducing the false alarm rate to 8.3%, significantly improving security operation efficiency and response capabilities. The research results provide a feasible technical path for intelligent operation of industrylevel network security.
Key words : cybersecurity; log denoising; dynamic scoring model; knowledge graph; threat attribution

引言

隨著“數(shù)字孿生流域”“智慧水利”等國家工程的全面推進(jìn),水利行業(yè)已構(gòu)建起涵蓋水情測報、工控調(diào)度、視頻監(jiān)控、政務(wù)云等多業(yè)務(wù)融合的大型信息基礎(chǔ)設(shè)施。各類傳感器、PLC、邊緣網(wǎng)關(guān)每日產(chǎn)生億級日志數(shù)據(jù),成為掌握全網(wǎng)安全態(tài)勢的關(guān)鍵戰(zhàn)略資源。然而,日志的多源異構(gòu)、高噪聲、高重復(fù)特性,導(dǎo)致基于傳統(tǒng)SOC/SIEM平臺告警疲勞嚴(yán)重,平臺日均新增待研判安全事件超過8萬條,基層安全人員疲于處置,真正的APT級攻擊反而被淹沒在海量誤報之中。水利系統(tǒng)一旦遭受入侵,不僅可能造成工控設(shè)備誤動作、水質(zhì)監(jiān)測數(shù)據(jù)被篡改,甚至引發(fā)城市供水癱瘓或下游洪災(zāi)誤判,社會影響和生命財產(chǎn)損失不可估量。因此,研究面向水利業(yè)務(wù)場景的高精度日志降噪與攻擊源評分方法,實現(xiàn)百萬條安全事件到幾十條高置信度攻擊IP的躍遷,是提升行業(yè)級安全運營效率、保障國家水安全的迫切現(xiàn)實需求。水利網(wǎng)絡(luò)中已經(jīng)部署了網(wǎng)絡(luò)安全一體化運營保障平臺,該平臺能夠接收APT檢測系統(tǒng)、日志審計系統(tǒng)、應(yīng)用系統(tǒng)、堡壘機等多種安全產(chǎn)品的日志數(shù)據(jù),經(jīng)過多源異構(gòu)信息處理,形成統(tǒng)一格式的包括SQL注入、XSS攻擊、病毒傳播、系統(tǒng)漏洞利用等共168種類型的攻擊日志,日均日志量超過500萬條。平臺以大規(guī)模日志智能處理及安全事件溯源分析為核心目標(biāo),構(gòu)建了從數(shù)據(jù)采集、實時處理到威脅識別與聯(lián)動防御的閉環(huán)體系,為水利行業(yè)網(wǎng)絡(luò)安全運營提供了基礎(chǔ)支撐。但是在實際應(yīng)用中,其在集中分析與智能研判能力方面仍面臨提升瓶頸,亟待進(jìn)一步優(yōu)化。針對目前日志規(guī)模的急劇增長,大量冗余、誤報及噪聲數(shù)據(jù)的存在,安全分析人員面臨高負(fù)載與高誤判率雙重挑戰(zhàn)。本文提出了一種高噪聲日志攻擊源識別方法,該方法利用基于多維規(guī)則的攻擊源IP動態(tài)評分模型完成攻擊源IP的識別,然后針對識別的攻擊源IP,映射為“攻擊源IP-事件類型-目標(biāo)資產(chǎn)IP-時間戳”四元語義網(wǎng)絡(luò),構(gòu)建攻擊事件圖譜,還原完整攻擊鏈,在水利場景實現(xiàn)跨區(qū)域、跨業(yè)務(wù)系統(tǒng)的圖譜化溯源。該系統(tǒng)可融合到網(wǎng)絡(luò)安全一體化運營保障平臺或SOC/SIEM等平臺,大幅降低人工研判工作量,提高關(guān)鍵業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力和防御能力。


本文詳細(xì)內(nèi)容請下載:

http://www.ihrv.cn/resource/share/2000006928


作者信息:

高原1,2, 汪辰瑞1,3

(1.安徽省水科學(xué)與智慧水利重點實驗室,安徽合肥230091;

2.安徽省大禹水利工程科技有限公司,安徽合肥230088;

3.安徽省建筑工程質(zhì)量監(jiān)督檢測站有限公司,安徽合肥230088)

2.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。