基于数据挖掘的告警关联关键技术研究

发布时间：2020-04-23 12:15

【摘要】：信息技术在给人们的生产、生活带来巨大改变的同时,也带来了许多的安全问题,网络安全形势日益严峻。入侵检测系统(Intrusion Detection System,IDS)作为保护网络安全的重要工具已被广泛投入使用;然而,IDS产生的告警冗余度高、误报率高且不能反映出攻击者的多步攻击策略。因此,应用告警关联技术分析IDS告警信息以重构多步攻击场景显得非常重要。数据挖掘作为一种数据智能分析技术,能自动地从大量数据中提取出有用信息。本文以基于数据挖掘的告警关联技术为研究内容,对IDS告警预处理方法、IDS告警关联方法进行了研究,主要内容可归纳如下:(1)研究了数据挖掘技术在告警预处理方面的应用,提出了一种面向IDS告警的预处理方法。IDS产生大量冗余度高、误报率高的告警,若不去除这些大量存在的误报及冗余告警,将会对后续多步场景挖掘的有效性提出巨大挑战。为此,提出了一种面向IDS告警的预处理方法。通过分析告警样本,提出了四个用于区分误报与真实告警的群体特征,结合决策树等分类算法训练误报判定模型对IDS告警进行误报判定,降低了误报带来的影响;将滑动时间窗口用于冗余去除,降低IDS告警的冗余度。实验结果表明,本文所提出的IDS告警预处理框架能大大降低误报和冗余告警,为后续的关联分析提供数据质量保证。(2)研究了面向IDS告警的多步攻击场景重构技术,提出了一种基于多因素的告警关联方法。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多的告警关联方法通过在原始告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出了一种基于多因素的告警关联方法。通过聚合原始告警以得到超级告警,降低了冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大量误报带来的负面影响、有效地挖掘出多步攻击链。
【图文】：

多步,告警关联,攻击行为,告警信息

17(e)图 3.1 Snort 对某次多步攻击产生的告警告警关联分析的主要目标在于如何从仅能反映单步攻击行为的、混乱的告警信息中找到告警之间的关系，发现对应的多步攻击策略并重构出攻击场景。若直接使用未经处理的告警进行关联，不仅会消耗大量时间及资源，而且关联结果易

分类统计,误报警

图 3.6 原始告警分类统计结果实验过程中，将提取告警的群体特征的时间阈值设置为 10 分钟。在提取特征后，本文对比了使用支持向量机、高斯朴素贝叶斯、决策树、K 近邻分类器和逻辑回归算法进行误报分类模型训练，试验中使用 70%数据进行训练，30%数据用于测试。实验结果使用 3.3.2 小节所描述的准确率、召回率（检测出的误报警数与数据中的误报警数之比）、精度（判定为误报警的所有样本中，真正的误报警所占比例）、漏报率（未检测出的误报警数与所有误报警数之比）、误报率（将正常样本判定为误报警的比例）进行评价。经多次试验，，误报消除模块的表现如表 3.4 所示。表 3.4 误报判定模型实验结果分类算法准确率召回率精度漏报率误报率 F1支持向量机 0.909 0.892 0.968 0.107 0.058 0.929高斯朴素贝叶斯 0.806 0.724 0.979 0.275 0.031 0.833
【学位授予单位】：贵州大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP311.13;TP393.08

【参考文献】