高噪声日志攻击源识别方法研究及实现-AET-电子技术应用

高噪声日志攻击源识别方法研究及实现

网络安全与数据治理

高原1，2，汪辰瑞1，3

1.安徽省水科学与智慧水利重点实验室;2.安徽省大禹水利工程科技有限公司; 3.安徽省建筑工程质量监督检测站有限公司

摘要： 随着信息系统规模的扩大与网络攻击手段的多样化，网络安全态势感知平台及其他运营保障平台在面对海量异构日志时，普遍存在告警疲劳、误报率高、攻击溯源困难等问题。针对高噪声日志环境下的攻击源识别与威胁溯源难题，提出一种高噪声日志攻击源识别方法，该方法使用了基于多维规则的攻击源IP动态评分模型，实现攻击源威胁等级的动态评估与更新。同时，系统利用知识图谱完成攻击链重构与可视化分析，提升安全事件的可解释性与处置效率。实验结果表明，该方法在水利行业真实日志数据上实现了99.6%的日志浓缩率，误报率降低至8.3%，显著提升安全运营效率与响应能力。研究成果为行业级网络安全智能化运营提供了可行技术路径。

关键词： 网络安全日志降噪动态评分模型知识图谱威胁溯源

中图分类号：TP393文献标志码：ADOI:10.19358/j.issn.2097-1788.2026.01.003
中文引用格式：高原，汪辰瑞. 高噪声日志攻击源识别方法研究及实现［J］.网络安全与数据治理，2026，45（1）：14-19.
英文引用格式：Gao Yuan， Wang Chenrui. Research on methods and systems for identifying highnoise log attack sources［J］.Cyber Security and Data Governance，2026，45（1）：14-19.

Research on methods and systems for identifying high-noise log attack sources

Gao Yuan1，2， Wang Chenrui1，3

1. Anhui Provincial Key Laboratory of Water Science and Smart Water Conservancy; 2. Anhui Dayu Water Conservancy Engineering Technology Co., Ltd.; 3. Anhui Provincial Construction Engineering Quality Supervision and Testing Station Co., Ltd.

Abstract： With the expansion of information system scale and the diversification of network attack methods, network security situation awareness platforms and other operation and support platforms generally suffer from problems such as alarm fatigue, high false alarm rates, and difficulty in attack attribution when facing massive heterogeneous logs. To address the challenges of attack source identification and threat attribution in highnoise log environments, this paper proposes a method for identifying attack sources in highnoise logs. This method uses a dynamic scoring model of attack source IPs based on multidimensional rules to achieve dynamic assessment and updating of the threat level of attack sources. Simultaneously, the system utilizes knowledge graphs to complete attack chain reconstruction and visualization analysis, improving the interpretability and handling efficiency of security incidents. Experimental results show that this method achieves a log compression rate of 99.6% on real log data in the water conservancy industry, reducing the false alarm rate to 8.3%, significantly improving security operation efficiency and response capabilities. The research results provide a feasible technical path for intelligent operation of industrylevel network security.

Key words : cybersecurity; log denoising; dynamic scoring model; knowledge graph; threat attribution

引言

随着“数字孪生流域”“智慧水利”等国家工程的全面推进，水利行业已构建起涵盖水情测报、工控调度、视频监控、政务云等多业务融合的大型信息基础设施。各类传感器、PLC、边缘网关每日产生亿级日志数据，成为掌握全网安全态势的关键战略资源。然而，日志的多源异构、高噪声、高重复特性，导致基于传统SOC/SIEM平台告警疲劳严重，平台日均新增待研判安全事件超过8万条，基层安全人员疲于处置，真正的APT级攻击反而被淹没在海量误报之中。水利系统一旦遭受入侵，不仅可能造成工控设备误动作、水质监测数据被篡改，甚至引发城市供水瘫痪或下游洪灾误判，社会影响和生命财产损失不可估量。因此，研究面向水利业务场景的高精度日志降噪与攻击源评分方法，实现百万条安全事件到几十条高置信度攻击IP的跃迁，是提升行业级安全运营效率、保障国家水安全的迫切现实需求。水利网络中已经部署了网络安全一体化运营保障平台，该平台能够接收APT检测系统、日志审计系统、应用系统、堡垒机等多种安全产品的日志数据，经过多源异构信息处理，形成统一格式的包括SQL注入、XSS攻击、病毒传播、系统漏洞利用等共168种类型的攻击日志，日均日志量超过500万条。平台以大规模日志智能处理及安全事件溯源分析为核心目标，构建了从数据采集、实时处理到威胁识别与联动防御的闭环体系，为水利行业网络安全运营提供了基础支撑。但是在实际应用中，其在集中分析与智能研判能力方面仍面临提升瓶颈，亟待进一步优化。针对目前日志规模的急剧增长，大量冗余、误报及噪声数据的存在，安全分析人员面临高负载与高误判率双重挑战。本文提出了一种高噪声日志攻击源识别方法，该方法利用基于多维规则的攻击源IP动态评分模型完成攻击源IP的识别，然后针对识别的攻击源IP，映射为“攻击源IP-事件类型-目标资产IP-时间戳”四元语义网络，构建攻击事件图谱，还原完整攻击链，在水利场景实现跨区域、跨业务系统的图谱化溯源。该系统可融合到网络安全一体化运营保障平台或SOC/SIEM等平台，大幅降低人工研判工作量，提高关键业务系统的网络安全应急响应能力和防御能力。

本文详细内容请下载：

http://www.chinaaet.com/resource/share/2000006928

作者信息：

高原1，2，汪辰瑞1，3

(1.安徽省水科学与智慧水利重点实验室，安徽合肥230091;

2.安徽省大禹水利工程科技有限公司，安徽合肥230088;

3.安徽省建筑工程质量监督检测站有限公司，安徽合肥230088)

原创声明：此内容为AET网站原创，未经授权禁止转载。

相关内容