針對物聯(lián)網(wǎng)原始告警數(shù)量龐大、告警語義級別低、數(shù)據(jù)孤立、關(guān)聯(lián)分析薄弱所導(dǎo)致的誤報率過高的問題,提出一種基于告警語義分析的物聯(lián)網(wǎng)攻擊行為研究方法。通過告警信息以及具體的網(wǎng)絡(luò)環(huán)境生成蘊含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖,以圖形化模擬物聯(lián)網(wǎng)系統(tǒng)可能受到的所有攻擊路徑并識別系統(tǒng)的脆弱性;在采用聚類分析的方法對各種告警類型進(jìn)行分類的基礎(chǔ)上,采用深淺層關(guān)聯(lián)分析的方法,實現(xiàn)攻擊圖知識庫的構(gòu)建;最后,通過在線檢測告警行為,利用在線關(guān)聯(lián)實時告警模型,實現(xiàn)過濾告警冗余、告警實時分析以及提供語義級別更高的攻擊場景展現(xiàn)。提出的方法結(jié)合具體的網(wǎng)絡(luò)環(huán)境構(gòu)建攻擊圖知識庫,所以在一定程度上提升了告警過濾效果和告警準(zhǔn)確率,降低了管理者對攻擊者攻擊行為的檢測和告警分析的難度。 

【文章來源】：移動通信. 2020,44(09)

【文章頁數(shù)】：5 頁

【部分圖文】：

攻擊圖知識庫構(gòu)建框架

由于物聯(lián)網(wǎng)會在短時間發(fā)生高速、龐大的告警信息流,因此,采用傳統(tǒng)的對存儲的告警信息進(jìn)行離線分析的方法顯然存在問題,因此,基于攻擊圖知識庫的在線關(guān)聯(lián)實時告警模型能夠?qū)Ａ康母婢畔⑦M(jìn)行有效處理并有效過濾冗余警告,將警告進(jìn)行基于攻擊圖知識庫的攻擊行為分析后,最后實現(xiàn)攻擊場景的展現(xiàn)�；诠魣D知識庫的在線關(guān)聯(lián)實時告警模型如圖3所示:首先,基于在線檢測模塊實現(xiàn)告警采集。通過網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機入侵檢測系統(tǒng),對主機和網(wǎng)絡(luò)流量信息進(jìn)行動態(tài)監(jiān)控,一旦發(fā)現(xiàn)異常,立即告警。

在識別網(wǎng)絡(luò)環(huán)境初始威脅的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)脆弱性信息和系統(tǒng)中節(jié)點的重要性信息,構(gòu)建蘊含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖[6-7]。1.2 構(gòu)建攻擊圖知識庫


本文編號：3312726