基于因果关系的分层报警关联研究
本文选题:报警关联 + 报警聚类 ; 参考:《计算机应用研究》2016年03期
【摘要】:入侵检测系统产生海量报警数据,造成报警关联时间长、关联结果结构复杂、难以理解。针对上述问题,提出一种基于因果关系的分层报警关联模型。该模型先根据攻击目标聚类报警,在因果关系的指导下以单步攻击作为节点构建主机层攻击路径,定义单步攻击相似度和攻击模式相似度,通过拓扑排序合并主机层攻击路径的相似节点得到攻击模式,计算攻击模式相似度实现预警,并以受害主机作为节点从空间上构建更高层面的网络层攻击场景。实验表明,分层关联结果结构简洁,有助于识别攻击策略、指导安全响应,而且先聚类后关联的方法能够有效提高报警关联效率。
[Abstract]:Intrusion detection system (IDS) produces a large amount of alarm data, which results in a long time of alarm association, complex structure and difficult to understand. To solve the above problems, a hierarchical alarm correlation model based on causality is proposed. Under the guidance of causality, the model constructs the host layer attack path based on the attack target clustering alarm, and defines the similarity of single-step attack and attack pattern. The attack pattern is obtained by combining the similar nodes of the host layer attack path by topological sorting, and the attack pattern similarity is calculated to realize the early warning, and the injured host is used as the node to construct a higher level network layer attack scene from the space. The experimental results show that the hierarchical association results are simple in structure, help to identify attack strategies and guide security responses, and the method of clustering before association can effectively improve the efficiency of alarm association.
【作者单位】: 上海交通大学信息安全工程学院;广西财经学院信息与统计学院;广西财经学院管理科学与工程学院;
【基金】:国家自然科学基金资助项目(61431008;61562004) 高等学校博士学科点专项科研基金资助项目(20130073130006) 广西自然科学基金资助项目(2013GXNSFBA019274) 广西高等学校高水平创新团队及卓越学者计划资助项目 广西高校科研项目(2013YB214)
【分类号】:TP393.08
【参考文献】
相关期刊论文 前1条
1 郭帆;叶继华;余敏;;一种分布式IDS报警聚合模型的设计与实现[J];计算机应用研究;2009年01期
【共引文献】
相关期刊论文 前1条
1 程新党;张新刚;王保平;刘志都;;分布式IDS动态可信度反馈调整算法[J];河南科技大学学报(自然科学版);2010年04期
【二级参考文献】
相关期刊论文 前3条
1 穆成坡,黄厚宽,田盛丰,林友芳,秦远辉;基于模糊综合评判的入侵检测报警信息处理[J];计算机研究与发展;2005年10期
2 穆成坡;黄厚宽;田盛丰;;入侵检测系统报警信息聚合与关联技术研究综述[J];计算机研究与发展;2006年01期
3 马恒太,蒋建春,陈伟锋,卿斯汉;基于Agent的分布式入侵检测系统模型[J];软件学报;2000年10期
【相似文献】
相关期刊论文 前10条
1 赵学杰;唐屹;;跨站脚本攻击模式研究[J];信息网络安全;2011年11期
2 荆继武;道平;罗山爱;;美国的“新攻击模式”[J];环球人物;2013年17期
3 曾弘毅;张文铸;徐赞新;王剑;;一种针对IEEE 802.11 MAC子层攻击模式的研究[J];网络安全技术与应用;2007年09期
4 刘龙;陈秀真;李建华;;基于攻击模式的完备攻击图自动生成方法[J];计算机工程;2013年10期
5 肖竟华;王熠;;基于攻击模式的攻击图自动生成方法研究[J];计算机安全;2008年07期
6 刘海东;多层次入侵检测及其攻击树描述[J];黄石高等专科学校学报;2003年05期
7 赵豹;张怡;孟源;;基于攻击模式的反向搜索攻击图生成算法[J];计算机工程与科学;2011年07期
8 李大光;;未来网络攻击模式解码[J];人民论坛;2011年S1期
9 吴淑语;李波;;基于攻击模式的广度搜索攻击图生成算法[J];重庆工商大学学报(自然科学版);2012年12期
10 郭泓,曹元大;入侵检测中攻击模式的挖掘[J];北京理工大学学报;2003年02期
相关会议论文 前3条
1 石磊;王勇军;;面向攻击图的攻击模式研究[A];第十六届全国青年通信学术会议论文集(上)[C];2011年
2 张腾;郭燕慧;;面向IPv6网络的攻击图方法研究与实现[A];2013年中国信息通信研究新进展论文集[C];2014年
3 赵狄;郑康锋;张炎;;一种基于原子攻击模式库的VoIP网络攻击建模方法[A];2011年全国通信安全学术会议论文集[C];2011年
相关重要报纸文章 前1条
1 ;IBM推出最新安全软件帮助客户保护关键数据[N];电脑报;2014年
相关硕士学位论文 前4条
1 刘子乾;基于攻击模式的系统漏洞检测工具的设计与实现[D];天津大学;2008年
2 薄建业;基于攻击模式的攻击图生成技术研究[D];国防科学技术大学;2009年
3 石磊;模式可扩展的攻击图技术研究与实现[D];国防科学技术大学;2011年
4 刘龙;完备攻击图自动生成与分析方法研究[D];上海交通大学;2013年
,本文编号:1945792
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1945792.html
