當(dāng)前位置：主頁(yè) > 管理論文 > 移動(dòng)網(wǎng)絡(luò)論文 >

基于自擴(kuò)展時(shí)間窗的告警多級(jí)聚合與關(guān)聯(lián)方法

發(fā)布時(shí)間：2018-03-12 19:32

本文選題：攻擊檢測(cè)　切入點(diǎn)：告警聚合　出處：《工程科學(xué)與技術(shù)》2017年01期 　論文類(lèi)型：期刊論文

【摘要】：針對(duì)傳統(tǒng)告警聚合與關(guān)聯(lián)方法在合理性和準(zhǔn)確性上的不足,提出了基于多級(jí)劃分思想的告警聚合方法和基于馬爾可夫鏈模型的告警關(guān)聯(lián)方法。首先,使用入侵檢測(cè)消息交換格式來(lái)描述網(wǎng)絡(luò)告警,利用告警的時(shí)序接近關(guān)系進(jìn)行時(shí)間窗口的自動(dòng)擴(kuò)展,將時(shí)間間隔小于預(yù)設(shè)閾值的告警劃分到同一個(gè)時(shí)間窗內(nèi);進(jìn)而,分別根據(jù)攻擊類(lèi)型、時(shí)間窗口、子網(wǎng)掩碼、IP地址和端口信息依次劃分告警,利用屬性匹配方法進(jìn)行子網(wǎng)級(jí)、主機(jī)級(jí)和服務(wù)級(jí)聚合,有效聚合攻擊者利用同一路由器、傀儡主機(jī)或服務(wù)端口實(shí)施攻擊而產(chǎn)生的相似告警;在此基礎(chǔ)上,利用1階馬爾可夫鏈模型生成告警關(guān)聯(lián)圖,將攻擊類(lèi)型間的條件轉(zhuǎn)移概率作為關(guān)聯(lián)圖的有向邊,并利用告警的時(shí)序緊鄰關(guān)系計(jì)算出攻擊類(lèi)型間的轉(zhuǎn)移概率。實(shí)驗(yàn)中,利用入侵檢測(cè)系統(tǒng)Snort的最嚴(yán)格模式處理DARPA2000流量數(shù)據(jù),得到LLDo S1.0攻擊場(chǎng)景所對(duì)應(yīng)的入侵告警集合;利用本文方法對(duì)集合中的5類(lèi)告警進(jìn)行聚合和關(guān)聯(lián),通過(guò)參數(shù)尋優(yōu)得到自擴(kuò)展時(shí)間窗口最理想的間隔閾值,使得告警多級(jí)聚合結(jié)果能夠有效精簡(jiǎn)告警,并與告警源IP和源端口的分布情況一致;通過(guò)比較告警關(guān)聯(lián)結(jié)果與攻擊場(chǎng)景的官方描述來(lái)計(jì)算告警關(guān)聯(lián)的準(zhǔn)確率。與傳統(tǒng)方法進(jìn)行對(duì)比,本文方法的告警關(guān)聯(lián)準(zhǔn)確率為97.94%,比傳統(tǒng)方法提高了2.29%。
[Abstract]:Aiming at the shortcomings of the traditional alarm aggregation and correlation methods in rationality and accuracy, the alarm aggregation method based on multilevel partitioning and the alarm association method based on Markov chain model are proposed. The intrusion detection message exchange format is used to describe the network alarm, and the timing proximity relation of the alarm is used to extend the time window automatically, and the alarm with the interval less than the preset threshold is divided into the same time window. According to attack type, time window, IP address and port information of subnet mask, alarm is divided in turn, subnet level, host level and service level are aggregated by attribute matching method, and attackers are effectively aggregated by the same router. Based on the similar alarm generated by attacks by puppet hosts or service ports, the alarm correlation graph is generated by using the first-order Markov chain model, and the conditional transfer probability between attack types is regarded as the directed edge of the correlation graph. In the experiment, the intrusion detection system (Snort) is used to process the DARPA2000 traffic data, and the intrusion alarm set corresponding to the LLDo S1.0 attack scene is obtained. In this paper, five kinds of alarms in the set are aggregated and correlated, and the optimal interval threshold of the self-expanding time window is obtained by parameter optimization, so that the alarm multi-level aggregation results can effectively reduce the alarm. It is consistent with the distribution of alarm source IP and source port, and the accuracy of alarm association is calculated by comparing the results of alarm association with the official description of the attack scene. The alarm correlation accuracy of this method is 97.94, which is 2.29% higher than the traditional method.
【作者單位】：海軍工程大學(xué)信息安全系;
【基金】：國(guó)家自然科學(xué)基金資助項(xiàng)目(61672531) 湖北省自然科學(xué)基金資助項(xiàng)目(2015CFC867)
【分類(lèi)號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文前10條

1 朱臻;高永明;;地面測(cè)控任務(wù)規(guī)劃調(diào)度的時(shí)間窗口約束研究[J];軟件;2012年06期

2 顧中舜;陳英武;;多機(jī)調(diào)度中時(shí)間窗口約束下后移空余時(shí)間研究[J];裝備指揮技術(shù)學(xué)院學(xué)報(bào);2007年02期

3 李勇;安新穎;趙迎光;;基于動(dòng)態(tài)時(shí)間窗口的突發(fā)監(jiān)測(cè)研究[J];醫(yī)學(xué)信息學(xué)雜志;2014年06期

4 洪聯(lián)系;;帶模糊時(shí)間依賴(lài)和時(shí)間窗口動(dòng)態(tài)路徑規(guī)劃模型[J];系統(tǒng)仿真學(xué)報(bào);2011年05期

5 王芳芳;包振強(qiáng);丁泉?jiǎng)?汪成;張惠秋;;帶時(shí)間窗口的任務(wù)可分活動(dòng)網(wǎng)絡(luò)協(xié)作計(jì)劃模型[J];揚(yáng)州大學(xué)學(xué)報(bào)(自然科學(xué)版);2012年01期

6 李軍;萬(wàn)文軍;劉志剛;;一種階躍函數(shù)在矩形時(shí)間窗口頻域特性的分析方法[J];電力自動(dòng)化設(shè)備;2013年11期

7 侯東風(fēng);劉青寶;張維明;鄧蘇;;一種適應(yīng)性的流式數(shù)據(jù)聚集計(jì)算方法[J];計(jì)算機(jī)科學(xué);2010年03期

8 雷衛(wèi)東;車(chē)阿大;;帶時(shí)間窗口的自動(dòng)化混流生產(chǎn)線(xiàn)調(diào)度方法[J];工業(yè)工程;2011年05期

9 荊武興;李羅鋼;高長(zhǎng)生;;反導(dǎo)攔截飛行方案及時(shí)間窗口快速搜索算法[J];系統(tǒng)工程與電子技術(shù);2013年06期

10 賈永基,谷寒雨,席裕庚;單車(chē)獨(dú)占性帶時(shí)間窗口裝卸貨問(wèn)題的分析與算法[J];上海交通大學(xué)學(xué)報(bào);2005年03期

相關(guān)會(huì)議論文前1條

1 劉洋;賀仁杰;陳英武;;基于動(dòng)態(tài)約束滿(mǎn)足的一類(lèi)含時(shí)間窗口的多資源動(dòng)態(tài)調(diào)度模型與方法[A];中國(guó)運(yùn)籌學(xué)會(huì)第七屆學(xué)術(shù)交流會(huì)論文集（中卷）[C];2004年

相關(guān)重要報(bào)紙文章前10條

1 劉慶傳;搶抓改革的“時(shí)間窗口”[N];新華日?qǐng)?bào);2014年

2 國(guó)家行政學(xué)院社會(huì)和文化教研部高級(jí)經(jīng)濟(jì)師郭全中;時(shí)間窗口還能開(kāi)多久[N];中國(guó)出版?zhèn)髅缴虉?bào);2014年

3 上海金耕信息運(yùn)營(yíng)總監(jiān) 金學(xué)偉;市場(chǎng)進(jìn)入重要時(shí)間窗口[N];中國(guó)證券報(bào);2013年

4 廣東省體制改革研究會(huì)顧問(wèn)、暨南大學(xué)教授李金亮;抓住“時(shí)間窗口” 發(fā)動(dòng)改革攻堅(jiān)[N];南方日?qǐng)?bào);2011年

5 任愛(ài)青;抓住IC產(chǎn)業(yè)轉(zhuǎn)變的時(shí)間窗口[N];中國(guó)電子報(bào);2012年

6 記者程亮亮;交易時(shí)間窗口重啟多家公司高管瘋狂減持[N];第一財(cái)經(jīng)日?qǐng)?bào);2013年

7 頁(yè)子;貴州石油利用網(wǎng)絡(luò)提高工作效率[N];中國(guó)石化報(bào);2009年

8 中原證券李俊;反彈強(qiáng)化還是修正關(guān)注三個(gè)時(shí)間窗口[N];證券時(shí)報(bào);2012年

9 社科院金融重點(diǎn)實(shí)驗(yàn)室主任華泰證券首席經(jīng)濟(jì)學(xué)家劉煜輝;債務(wù)周期或已進(jìn)入頂部時(shí)間窗口[N];中國(guó)證券報(bào);2013年

10 上海外國(guó)語(yǔ)大學(xué)國(guó)際金融貿(mào)易學(xué)院院長(zhǎng) 章玉貴;中國(guó)應(yīng)把握好戰(zhàn)略轉(zhuǎn)型的時(shí)間窗口[N];中國(guó)經(jīng)濟(jì)導(dǎo)報(bào);2011年

相關(guān)碩士學(xué)位論文前2條

1 何鵬;面向泊位共享的醫(yī)院配建停車(chē)時(shí)間窗口優(yōu)化研究[D];東南大學(xué);2016年

2 宋健;基于主題挖掘和時(shí)間窗口劃分的興趣推薦技術(shù)研究[D];華東師范大學(xué);2011年

，

本文編號(hào)：1602990

資料下載

論文發(fā)表

支付寶下載

Download by Alipay
微信下載

Download by Wechat
會(huì)員下載

Download by Member

本文鏈接：http://sikaile.net/guanlilunwen/ydhl/1602990.html

上一篇：綜合業(yè)務(wù)接入網(wǎng)關(guān)設(shè)備管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
下一篇：云計(jì)算資源分配機(jī)制設(shè)計(jì)及博弈分析

論文發(fā)表

·知網(wǎng)|萬(wàn)方|維普|龍?jiān)磡省級(jí)|國(guó)家級(jí)|科技核心|北大核心|南大核心CSSCI|EI|SCI|SSCI|

天堂国产午夜亚洲专区-少妇人妻综合久久蜜臀-国产成人户外露出视频在线-国产91传媒一区二区三区

基于自擴(kuò)展時(shí)間窗的告警多級(jí)聚合與關(guān)聯(lián)方法