【大学生创新创业作品投资价值奖】面向SOAR的网络攻击告警分析与智能响应决策系统

作品名称：面向SOAR的网络攻击告警分析与智能响应决策系统

学校名称：中国人民解放军战略支援部队信息工程大学

队伍名称：天启虓勍

指导老师：胡浩

团队成员：赖国平、迟志恒、潘璠

02 作品介绍

      Gartner 指出“到2022年底30%的5人以上安全团队都将考虑采用SOAR解决方案”。然而当前的SOAR解决方案面临以下技术瓶颈：①网络的动态性特点要求响应策略编排必须具备一定的自适应性；②针对不同类型攻击者，剧本编排与防御决策不能有针对性的调整；③多数SOAR产品响应目的比较单一，难以根据用户的实际需求进行变化调整。

      针对上述问题，团队围绕物联网视频监控业务场景，提出一套解决方案，实现了面向SOAR的网络攻击告警分析与智能响应决策系统。重点构建了基于强化学习的智能决策编排引擎，可以根据攻击特征，自学习并优化防御剧本编排，动态构建处置策略知识库，解决当前企业SOAR产品智能化水平低的问题。

      本系统在传统SOAR基础上，借助强化学习技术，通过构建处置策略知识库、实现策略编排、优化、下发、配置流程智能化。利用Neo4j攻防知识图谱构建告警库和剧本库，将对攻击的响应问题转化为寻找最优路径和链路预测问题，为智能决策提供推理引擎，生成的策略覆盖面广，精细化程度高。针对已知攻击，自动调用历史处置剧本；针对未知攻击，通过反复执行基于Softmax算法的响应措施选择和基于Q-learning算法的在线学习，选择收益较大的候选策略集，使得策略编排具有自适应性；并基于投票机制设计了多目的响应策略评估方法，使响应能够满足实际用户的不同响应需求。系统开发基于API的双向集成、支持多种协议接口、支持OpenC2，编排引擎可扩展、剧本可自定义，可实现多设备联动处置及剧本快速编排下发。

      经过测试，本系统在防御具有流量隐匿特征的DDoS攻击、吞噬网络资源的SYN攻击以及浸染网络结构的蠕虫攻击等方面具有显著作用，并且具备了应对未知网络攻击的潜能，对不同攻击事件能够智能编排处置剧本，并实现自动配置，通过算法模拟验证了上千级节点规模网络中8步动作的防御剧本编排时间为分钟级，为降低大规模网络的防御成本提供了可行思路。同时系统也支持自定义剧本，内置了上百个典型攻击事件的应急处置策略知识库，包括勒索病毒、WebShell攻击、挖矿病毒等，通过剧本将人工经验固化与复用，有效降低应急响应技术门槛。

03 图片展示

图3 智能决策模型训练