【摘要】：信息技術(shù)在給人們的生產(chǎn)、生活帶來巨大改變的同時,也帶來了許多的安全問題,網(wǎng)絡(luò)安全形勢日益嚴峻。入侵檢測系統(tǒng)(Intrusion Detection System,IDS)作為保護網(wǎng)絡(luò)安全的重要工具已被廣泛投入使用;然而,IDS產(chǎn)生的告警冗余度高、誤報率高且不能反映出攻擊者的多步攻擊策略。因此,應用告警關(guān)聯(lián)技術(shù)分析IDS告警信息以重構(gòu)多步攻擊場景顯得非常重要。數(shù)據(jù)挖掘作為一種數(shù)據(jù)智能分析技術(shù),能自動地從大量數(shù)據(jù)中提取出有用信息。本文以基于數(shù)據(jù)挖掘的告警關(guān)聯(lián)技術(shù)為研究內(nèi)容,對IDS告警預處理方法、IDS告警關(guān)聯(lián)方法進行了研究,主要內(nèi)容可歸納如下:(1)研究了數(shù)據(jù)挖掘技術(shù)在告警預處理方面的應用,提出了一種面向IDS告警的預處理方法。IDS產(chǎn)生大量冗余度高、誤報率高的告警,若不去除這些大量存在的誤報及冗余告警,將會對后續(xù)多步場景挖掘的有效性提出巨大挑戰(zhàn)。為此,提出了一種面向IDS告警的預處理方法。通過分析告警樣本,提出了四個用于區(qū)分誤報與真實告警的群體特征,結(jié)合決策樹等分類算法訓練誤報判定模型對IDS告警進行誤報判定,降低了誤報帶來的影響;將滑動時間窗口用于冗余去除,降低IDS告警的冗余度。實驗結(jié)果表明,本文所提出的IDS告警預處理框架能大大降低誤報和冗余告警,為后續(xù)的關(guān)聯(lián)分析提供數(shù)據(jù)質(zhì)量保證。(2)研究了面向IDS告警的多步攻擊場景重構(gòu)技術(shù),提出了一種基于多因素的告警關(guān)聯(lián)方法。告警關(guān)聯(lián)分析通過對底層告警進行綜合分析與處理,揭示出其中包含的多步攻擊行為。許多的告警關(guān)聯(lián)方法通過在原始告警中挖掘頻繁模式來構(gòu)建攻擊場景,方法容易受冗余告警、誤報影響,挖掘出的多步攻擊鏈在某些情況下不能反映出真實的多步攻擊行為。為此,提出了一種基于多因素的告警關(guān)聯(lián)方法。通過聚合原始告警以得到超級告警,降低了冗余告警帶來的影響;將超級告警構(gòu)造成超級告警時間關(guān)系圖,同時結(jié)合超級告警間的多因素關(guān)聯(lián)度評價函數(shù)從圖中挖掘出多步攻擊場景。實驗結(jié)果表明,該方法能克服冗余告警及大量誤報帶來的負面影響、有效地挖掘出多步攻擊鏈。
【圖文】：

17(e)圖 3.1 Snort 對某次多步攻擊產(chǎn)生的告警告警關(guān)聯(lián)分析的主要目標在于如何從僅能反映單步攻擊行為的、混亂的告警信息中找到告警之間的關(guān)系，發(fā)現(xiàn)對應的多步攻擊策略并重構(gòu)出攻擊場景。若直接使用未經(jīng)處理的告警進行關(guān)聯(lián)，不僅會消耗大量時間及資源，而且關(guān)聯(lián)結(jié)果易

圖 3.6 原始告警分類統(tǒng)計結(jié)果實驗過程中，將提取告警的群體特征的時間閾值設(shè)置為 10 分鐘。在提取特征后，本文對比了使用支持向量機、高斯樸素貝葉斯、決策樹、K 近鄰分類器和邏輯回歸算法進行誤報分類模型訓練，試驗中使用 70%數(shù)據(jù)進行訓練，30%數(shù)據(jù)用于測試。實驗結(jié)果使用 3.3.2 小節(jié)所描述的準確率、召回率（檢測出的誤報警數(shù)與數(shù)據(jù)中的誤報警數(shù)之比）、精度（判定為誤報警的所有樣本中，真正的誤報警所占比例）、漏報率（未檢測出的誤報警數(shù)與所有誤報警數(shù)之比）、誤報率（將正常樣本判定為誤報警的比例）進行評價。經(jīng)多次試驗，，誤報消除模塊的表現(xiàn)如表 3.4 所示。表 3.4 誤報判定模型實驗結(jié)果分類算法 準確率 召回率 精度 漏報率 誤報率 F1支持向量機 0.909 0.892 0.968 0.107 0.058 0.929高斯樸素貝葉斯 0.806 0.724 0.979 0.275 0.031 0.833
【學位授予單位】：貴州大學
【學位級別】：碩士
【學位授予年份】：2019
【分類號】：TP311.13;TP393.08

【參考文獻】

相關(guān)期刊論文 前7條

1 劉威歆;鄭康鋒;武斌;楊義先;;基于攻擊圖的多源告警關(guān)聯(lián)分析方法[J];通信學報;2015年09期

2 胡亮;解男男;努爾布力;劉志宇;柴勝;;基于智能規(guī)劃的多步攻擊場景識別算法[J];電子學報;2013年09期

3 田志宏;張永錚;張偉哲;李洋;葉建偉;;基于模式挖掘和聚類分析的自適應告警關(guān)聯(lián)[J];計算機研究與發(fā)展;2009年08期

4 李冬;李之棠;雷杰;;周期性誤告警去除方法研究[J];小型微型計算機系統(tǒng);2009年07期

5 李之棠;王莉;李東;;一種新的在線攻擊意圖識別方法研究[J];小型微型計算機系統(tǒng);2008年07期

6 孫雷;姜淑娟;曾英佩;郭山清;;基于系統(tǒng)漏洞的攻擊場景構(gòu)建[J];計算機工程;2007年20期

7 穆成坡;黃厚寬;田盛豐;;入侵檢測系統(tǒng)報警信息聚合與關(guān)聯(lián)技術(shù)研究綜述[J];計算機研究與發(fā)展;2006年01期

本文編號：2637714