基于多源告警的攻击事件分析
发布时间:2021-07-23 17:40
为解决多源告警中的复杂攻击难以被发现的问题,提出一种攻击序列模式挖掘算法。利用正则表达式匹配告警,将多源告警规范化为统一格式。对冗余告警信息进行压缩,利用强关联规则训练得到的规则集聚合同一阶段的告警,有效去除冗余告警,精简告警数量。利用滑动窗口对聚合后的告警进行划分得到候选攻击事件数据集,通过改进的PrefixSpan算法挖掘得到多阶段攻击事件的攻击序列模式。实验结果表明,该算法在不依赖专家知识的前提下,能够准确并高效地分析告警相关性,还原攻击事件中的攻击步骤。相比传统PrefixSpan算法,提出的改进算法的攻击模式挖掘效率提升了48.05%。
【文章来源】:计算机应用. 2020,40(01)北大核心CSCD
【文章页数】:6 页
【部分图文】:
全局攻击序列
下面将通过实验对本文算法进行测试和评估,验证其可靠性及有效性。本文采用DARPA2000中的数据集LLDOS2.0.2[14]进行验证。DARPA2000攻击实验的关键网络环境拓扑如图3所示,包括内网(Inside)、外网(Outside)、隔离区(DeMilitarized Zone, DMZ)三个部分。DARPA2000数据集包括了分别从防火墙内部与外部捕捉到的网络数据包,本实验采用Snort来分别还原由收集的报文inside.dump与DMZ.dump产生的告警,以此作为本文研究的多源告警数据来源。由于Snort提炼出每一种入侵行为的特征并按规范写成规则形成规则库,在检测时将捕获的数据包内容与其规则库中的入侵行为规则匹配而输出相应的告警属性信息,即已完成了告警信息格式的统一化,故可将输出结果直接导入数据库,构建Inside与DMZ两个告警库。LLDOS2.0.2数据集包含下述攻击步骤:
LLDOS2.0.2数据集攻击过程
【参考文献】:
期刊论文
[1]基于数据挖掘的攻击场景提取方法研究[J]. 彭梦停,胡建伟,崔艳鹏. 计算机应用与软件. 2018(10)
[2]基于数据挖掘和本体的入侵警报关联模型[J]. 任维武,胡亮,赵阔. 吉林大学学报(工学版). 2015(03)
[3]一种新的在线攻击意图识别方法研究[J]. 李之棠,王莉,李东. 小型微型计算机系统. 2008(07)
博士论文
[1]网络多步攻击识别方法研究[D]. 王莉.华中科技大学 2007
硕士论文
[1]基于多源事件融合的网络安全态势评估方法研究[D]. 张晓洪.天津理工大学 2016
本文编号:3299741
【文章来源】:计算机应用. 2020,40(01)北大核心CSCD
【文章页数】:6 页
【部分图文】:
全局攻击序列
下面将通过实验对本文算法进行测试和评估,验证其可靠性及有效性。本文采用DARPA2000中的数据集LLDOS2.0.2[14]进行验证。DARPA2000攻击实验的关键网络环境拓扑如图3所示,包括内网(Inside)、外网(Outside)、隔离区(DeMilitarized Zone, DMZ)三个部分。DARPA2000数据集包括了分别从防火墙内部与外部捕捉到的网络数据包,本实验采用Snort来分别还原由收集的报文inside.dump与DMZ.dump产生的告警,以此作为本文研究的多源告警数据来源。由于Snort提炼出每一种入侵行为的特征并按规范写成规则形成规则库,在检测时将捕获的数据包内容与其规则库中的入侵行为规则匹配而输出相应的告警属性信息,即已完成了告警信息格式的统一化,故可将输出结果直接导入数据库,构建Inside与DMZ两个告警库。LLDOS2.0.2数据集包含下述攻击步骤:
LLDOS2.0.2数据集攻击过程
【参考文献】:
期刊论文
[1]基于数据挖掘的攻击场景提取方法研究[J]. 彭梦停,胡建伟,崔艳鹏. 计算机应用与软件. 2018(10)
[2]基于数据挖掘和本体的入侵警报关联模型[J]. 任维武,胡亮,赵阔. 吉林大学学报(工学版). 2015(03)
[3]一种新的在线攻击意图识别方法研究[J]. 李之棠,王莉,李东. 小型微型计算机系统. 2008(07)
博士论文
[1]网络多步攻击识别方法研究[D]. 王莉.华中科技大学 2007
硕士论文
[1]基于多源事件融合的网络安全态势评估方法研究[D]. 张晓洪.天津理工大学 2016
本文编号:3299741
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3299741.html
