基于自扩展时间窗的告警多级聚合与关联方法
本文选题:攻击检测 切入点:告警聚合 出处:《工程科学与技术》2017年01期 论文类型:期刊论文
【摘要】:针对传统告警聚合与关联方法在合理性和准确性上的不足,提出了基于多级划分思想的告警聚合方法和基于马尔可夫链模型的告警关联方法。首先,使用入侵检测消息交换格式来描述网络告警,利用告警的时序接近关系进行时间窗口的自动扩展,将时间间隔小于预设阈值的告警划分到同一个时间窗内;进而,分别根据攻击类型、时间窗口、子网掩码、IP地址和端口信息依次划分告警,利用属性匹配方法进行子网级、主机级和服务级聚合,有效聚合攻击者利用同一路由器、傀儡主机或服务端口实施攻击而产生的相似告警;在此基础上,利用1阶马尔可夫链模型生成告警关联图,将攻击类型间的条件转移概率作为关联图的有向边,并利用告警的时序紧邻关系计算出攻击类型间的转移概率。实验中,利用入侵检测系统Snort的最严格模式处理DARPA2000流量数据,得到LLDo S1.0攻击场景所对应的入侵告警集合;利用本文方法对集合中的5类告警进行聚合和关联,通过参数寻优得到自扩展时间窗口最理想的间隔阈值,使得告警多级聚合结果能够有效精简告警,并与告警源IP和源端口的分布情况一致;通过比较告警关联结果与攻击场景的官方描述来计算告警关联的准确率。与传统方法进行对比,本文方法的告警关联准确率为97.94%,比传统方法提高了2.29%。
[Abstract]:Aiming at the shortcomings of the traditional alarm aggregation and correlation methods in rationality and accuracy, the alarm aggregation method based on multilevel partitioning and the alarm association method based on Markov chain model are proposed. The intrusion detection message exchange format is used to describe the network alarm, and the timing proximity relation of the alarm is used to extend the time window automatically, and the alarm with the interval less than the preset threshold is divided into the same time window. According to attack type, time window, IP address and port information of subnet mask, alarm is divided in turn, subnet level, host level and service level are aggregated by attribute matching method, and attackers are effectively aggregated by the same router. Based on the similar alarm generated by attacks by puppet hosts or service ports, the alarm correlation graph is generated by using the first-order Markov chain model, and the conditional transfer probability between attack types is regarded as the directed edge of the correlation graph. In the experiment, the intrusion detection system (Snort) is used to process the DARPA2000 traffic data, and the intrusion alarm set corresponding to the LLDo S1.0 attack scene is obtained. In this paper, five kinds of alarms in the set are aggregated and correlated, and the optimal interval threshold of the self-expanding time window is obtained by parameter optimization, so that the alarm multi-level aggregation results can effectively reduce the alarm. It is consistent with the distribution of alarm source IP and source port, and the accuracy of alarm association is calculated by comparing the results of alarm association with the official description of the attack scene. The alarm correlation accuracy of this method is 97.94, which is 2.29% higher than the traditional method.
【作者单位】: 海军工程大学信息安全系;
【基金】:国家自然科学基金资助项目(61672531) 湖北省自然科学基金资助项目(2015CFC867)
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 朱臻;高永明;;地面测控任务规划调度的时间窗口约束研究[J];软件;2012年06期
2 顾中舜;陈英武;;多机调度中时间窗口约束下后移空余时间研究[J];装备指挥技术学院学报;2007年02期
3 李勇;安新颖;赵迎光;;基于动态时间窗口的突发监测研究[J];医学信息学杂志;2014年06期
4 洪联系;;带模糊时间依赖和时间窗口动态路径规划模型[J];系统仿真学报;2011年05期
5 王芳芳;包振强;丁泉勋;汪成;张惠秋;;带时间窗口的任务可分活动网络协作计划模型[J];扬州大学学报(自然科学版);2012年01期
6 李军;万文军;刘志刚;;一种阶跃函数在矩形时间窗口频域特性的分析方法[J];电力自动化设备;2013年11期
7 侯东风;刘青宝;张维明;邓苏;;一种适应性的流式数据聚集计算方法[J];计算机科学;2010年03期
8 雷卫东;车阿大;;带时间窗口的自动化混流生产线调度方法[J];工业工程;2011年05期
9 荆武兴;李罗钢;高长生;;反导拦截飞行方案及时间窗口快速搜索算法[J];系统工程与电子技术;2013年06期
10 贾永基,谷寒雨,席裕庚;单车独占性带时间窗口装卸货问题的分析与算法[J];上海交通大学学报;2005年03期
相关会议论文 前1条
1 刘洋;贺仁杰;陈英武;;基于动态约束满足的一类含时间窗口的多资源动态调度模型与方法[A];中国运筹学会第七届学术交流会论文集(中卷)[C];2004年
相关重要报纸文章 前10条
1 刘庆传;抢抓改革的“时间窗口”[N];新华日报;2014年
2 国家行政学院社会和文化教研部高级经济师 郭全中;时间窗口还能开多久[N];中国出版传媒商报;2014年
3 上海金耕信息运营总监 金学伟;市场进入重要时间窗口[N];中国证券报;2013年
4 广东省体制改革研究会顾问、暨南大学教授 李金亮;抓住“时间窗口” 发动改革攻坚[N];南方日报;2011年
5 任爱青;抓住IC产业转变的时间窗口[N];中国电子报;2012年
6 记者 程亮亮;交易时间窗口重启 多家公司高管疯狂减持[N];第一财经日报;2013年
7 页子;贵州石油利用网络提高工作效率[N];中国石化报;2009年
8 中原证券 李俊;反弹强化还是修正 关注三个时间窗口[N];证券时报;2012年
9 社科院金融重点实验室主任 华泰证券首席经济学家 刘煜辉;债务周期或已进入顶部时间窗口[N];中国证券报;2013年
10 上海外国语大学国际金融贸易学院院长 章玉贵;中国应把握好战略转型的时间窗口[N];中国经济导报;2011年
相关硕士学位论文 前2条
1 何鹏;面向泊位共享的医院配建停车时间窗口优化研究[D];东南大学;2016年
2 宋健;基于主题挖掘和时间窗口划分的兴趣推荐技术研究[D];华东师范大学;2011年
,本文编号:1602990
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1602990.html
