針對(duì)物聯(lián)網(wǎng)原始告警數(shù)量龐大、告警語義級(jí)別低、數(shù)據(jù)孤立、關(guān)聯(lián)分析薄弱所導(dǎo)致的誤報(bào)率過高的問題,提出一種基于告警語義分析的物聯(lián)網(wǎng)攻擊行為研究方法。通過告警信息以及具體的網(wǎng)絡(luò)環(huán)境生成蘊(yùn)含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖,以圖形化模擬物聯(lián)網(wǎng)系統(tǒng)可能受到的所有攻擊路徑并識(shí)別系統(tǒng)的脆弱性;在采用聚類分析的方法對(duì)各種告警類型進(jìn)行分類的基礎(chǔ)上,采用深淺層關(guān)聯(lián)分析的方法,實(shí)現(xiàn)攻擊圖知識(shí)庫(kù)的構(gòu)建;最后,通過在線檢測(cè)告警行為,利用在線關(guān)聯(lián)實(shí)時(shí)告警模型,實(shí)現(xiàn)過濾告警冗余、告警實(shí)時(shí)分析以及提供語義級(jí)別更高的攻擊場(chǎng)景展現(xiàn)。提出的方法結(jié)合具體的網(wǎng)絡(luò)環(huán)境構(gòu)建攻擊圖知識(shí)庫(kù),所以在一定程度上提升了告警過濾效果和告警準(zhǔn)確率,降低了管理者對(duì)攻擊者攻擊行為的檢測(cè)和告警分析的難度。 

【文章來源】：移動(dòng)通信. 2020,44(09)

【文章頁(yè)數(shù)】：5 頁(yè)

【部分圖文】：

攻擊圖知識(shí)庫(kù)構(gòu)建框架

由于物聯(lián)網(wǎng)會(huì)在短時(shí)間發(fā)生高速、龐大的告警信息流,因此,采用傳統(tǒng)的對(duì)存儲(chǔ)的告警信息進(jìn)行離線分析的方法顯然存在問題,因此,基于攻擊圖知識(shí)庫(kù)的在線關(guān)聯(lián)實(shí)時(shí)告警模型能夠?qū)Ａ康母婢畔⑦M(jìn)行有效處理并有效過濾冗余警告,將警告進(jìn)行基于攻擊圖知識(shí)庫(kù)的攻擊行為分析后,最后實(shí)現(xiàn)攻擊場(chǎng)景的展現(xiàn)�；诠魣D知識(shí)庫(kù)的在線關(guān)聯(lián)實(shí)時(shí)告警模型如圖3所示:首先,基于在線檢測(cè)模塊實(shí)現(xiàn)告警采集。通過網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng),對(duì)主機(jī)和網(wǎng)絡(luò)流量信息進(jìn)行動(dòng)態(tài)監(jiān)控,一旦發(fā)現(xiàn)異常,立即告警。

在識(shí)別網(wǎng)絡(luò)環(huán)境初始威脅的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)脆弱性信息和系統(tǒng)中節(jié)點(diǎn)的重要性信息,構(gòu)建蘊(yùn)含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖[6-7]。1.2 構(gòu)建攻擊圖知識(shí)庫(kù)


本文編號(hào)：3312726