為解決多源告警中的復(fù)雜攻擊難以被發(fā)現(xiàn)的問題,提出一種攻擊序列模式挖掘算法。利用正則表達(dá)式匹配告警,將多源告警規(guī)范化為統(tǒng)一格式。對(duì)冗余告警信息進(jìn)行壓縮,利用強(qiáng)關(guān)聯(lián)規(guī)則訓(xùn)練得到的規(guī)則集聚合同一階段的告警,有效去除冗余告警,精簡(jiǎn)告警數(shù)量。利用滑動(dòng)窗口對(duì)聚合后的告警進(jìn)行劃分得到候選攻擊事件數(shù)據(jù)集,通過改進(jìn)的PrefixSpan算法挖掘得到多階段攻擊事件的攻擊序列模式。實(shí)驗(yàn)結(jié)果表明,該算法在不依賴專家知識(shí)的前提下,能夠準(zhǔn)確并高效地分析告警相關(guān)性,還原攻擊事件中的攻擊步驟。相比傳統(tǒng)PrefixSpan算法,提出的改進(jìn)算法的攻擊模式挖掘效率提升了48.05%。 

【文章來源】：計(jì)算機(jī)應(yīng)用. 2020,40(01)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

全局攻擊序列

下面將通過實(shí)驗(yàn)對(duì)本文算法進(jìn)行測(cè)試和評(píng)估,驗(yàn)證其可靠性及有效性。本文采用DARPA2000中的數(shù)據(jù)集LLDOS2.0.2[14]進(jìn)行驗(yàn)證。DARPA2000攻擊實(shí)驗(yàn)的關(guān)鍵網(wǎng)絡(luò)環(huán)境拓?fù)淙鐖D3所示,包括內(nèi)網(wǎng)(Inside)、外網(wǎng)(Outside)、隔離區(qū)(DeMilitarized Zone, DMZ)三個(gè)部分。DARPA2000數(shù)據(jù)集包括了分別從防火墻內(nèi)部與外部捕捉到的網(wǎng)絡(luò)數(shù)據(jù)包,本實(shí)驗(yàn)采用Snort來分別還原由收集的報(bào)文inside.dump與DMZ.dump產(chǎn)生的告警,以此作為本文研究的多源告警數(shù)據(jù)來源。由于Snort提煉出每一種入侵行為的特征并按規(guī)范寫成規(guī)則形成規(guī)則庫,在檢測(cè)時(shí)將捕獲的數(shù)據(jù)包內(nèi)容與其規(guī)則庫中的入侵行為規(guī)則匹配而輸出相應(yīng)的告警屬性信息,即已完成了告警信息格式的統(tǒng)一化,故可將輸出結(jié)果直接導(dǎo)入數(shù)據(jù)庫,構(gòu)建Inside與DMZ兩個(gè)告警庫。LLDOS2.0.2數(shù)據(jù)集包含下述攻擊步驟:

LLDOS2.0.2數(shù)據(jù)集攻擊過程

【參考文獻(xiàn)】：
期刊論文
[1]基于數(shù)據(jù)挖掘的攻擊場(chǎng)景提取方法研究[J]. 彭夢(mèng)停,胡建偉,崔艷鵬.  計(jì)算機(jī)應(yīng)用與軟件. 2018(10)
[2]基于數(shù)據(jù)挖掘和本體的入侵警報(bào)關(guān)聯(lián)模型[J]. 任維武,胡亮,趙闊.  吉林大學(xué)學(xué)報(bào)(工學(xué)版). 2015(03)
[3]一種新的在線攻擊意圖識(shí)別方法研究[J]. 李之棠,王莉,李東.  小型微型計(jì)算機(jī)系統(tǒng). 2008(07)

博士論文
[1]網(wǎng)絡(luò)多步攻擊識(shí)別方法研究[D]. 王莉.華中科技大學(xué) 2007

碩士論文
[1]基于多源事件融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法研究[D]. 張曉洪.天津理工大學(xué) 2016



本文編號(hào)：3299741