一种基于相关度统计的告警关联规则挖掘算法

挖掘告警序列间关联规则的算法都受到最小支持度的限制，仅能够得到频繁告警序列间的关联规则. 对此，提出了一种以高相关度、高置信度为条件，通过聚类找到特征相同的网元告警群，然后基于相关度统计的挖掘算法. 实验结果表明，该算法可以高效、准确地挖掘出电信网络告警数据库中频繁和非频繁告警序列间的关联规则.     

序列模式挖掘在网络告警分析中的应用

序列模式挖掘可以用来有效地发现网络系统中的告警关联知识.论文研究了序列模式挖掘在网络告警分析中的具体应用.首先,将挖掘过程分成了特定设备告警序列挖掘、同类设备告警序列挖掘和互联设备告警序列挖掘等3类,根据不同的用户意图来有效地确定挖掘范围,避免对无关数据的访问.为了进一步提高挖掘算法的执行效率,又提出了用于描述网络拓扑信息的拓扑约束,并设计了基于拓扑约束的互联设备告警序列模式挖掘算法.     

基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。     

通信网告警加权关联规则挖掘算法的研究

关联规则挖掘算法是通信网告警相关性分析中的重要方法。在处理数量庞大的告警数据库时,算法的效率显得至关重要,而经典的FP-growth算法会产生大量的条件模式树,加权算法MINWAL (O)则需要多次扫描数据库,使得在通信网环境下挖掘关联规则的难度非常大。该文提出了一种高效的基于加权频繁模式树的通信网告警关联规则挖掘算法,算法性能测试表明,该算法与已有的加权关联规则挖掘算法相比较,节约了大量的存储空间,提高了算法的挖掘速度,对通信网的故障诊断和故障定位有着积极的意义。     

通信网告警相关性分析中有效的关联规则挖掘算法

关联规则挖掘算法是通信网告警相关性分析中的重要方法。在处理数量庞大的告警数据库时,算法的效率显得至关重要,而经典的FP-growth算法会产生大量的条件模式树,使得在通信网环境下挖掘关联规则的难度非常大。针对上述问题,提出了一种基于分层频繁模式树的LFPTDP算法,采用分层模式树的方法产生频繁项集,从而避免了产生大量的条件模式树,并用动态剪枝的方法删除大量的非频繁项。算法分析及仿真表明,LFPTDP算法具有较好的时间和空间效率,是一种适合于通信网告警相关性分析的关联规则挖掘算法。     

基于序列模式挖掘的告警相关性分析算法

告警相关性分析在通信网络管理中有着重要的应用.提出了一种基于序列模式挖掘提取告警相关性规则的方法.针对引入时间约束的序列模式挖掘问题提出了较为完备的数学模型,定义了求解问题的规则,并构造了引入时间约束的序列模式挖掘算法(FSPTM算法).算法采用特定的数据结构记录序列的时间信息,提高了支持度的计算效率.对某省移动网络连续4个月告警数据的分析结果验证了算法的有效性.     

入侵检测中基于序列模式的告警关联分析

提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式挖掘算法,用于关联规则发现;在线关联模块匹配规则库形成攻击场景图,并预测未知攻击事件。使用2000 DARPA攻击数据集测试表明,该模型能够明显改善入侵检测系统的性能,验证了模型和算法的有效性。     

基于自扩展时间窗的告警多级聚合与关联方法

针对传统告警聚合与关联方法在合理性和准确性上的不足,提出了基于多级划分思想的告警聚合方法和基于马尔可夫链模型的告警关联方法。首先,使用入侵检测消息交换格式来描述网络告警,利用告警的时序接近关系进行时间窗口的自动扩展,将时间间隔小于预设阈值的告警划分到同一个时间窗内;进而,分别根据攻击类型、时间窗口、子网掩码、IP地址和端口信息依次划分告警,利用属性匹配方法进行子网级、主机级和服务级聚合,有效聚合攻击者利用同一路由器、傀儡主机或服务端口实施攻击而产生的相似告警;在此基础上,利用1阶马尔可夫链模型生成告警关联图,将攻击类型间的条件转移概率作为关联图的有向边,并利用告警的时序紧邻关系计算出攻击类型间的转移概率。实验中,利用入侵检测系统Snort的最严格模式处理DARPA2000流量数据,得到LLDoS1.0攻击场景所对应的入侵告警集合;利用本文方法对集合中的5类告警进行聚合和关联,通过参数寻优得到自扩展时间窗口最理想的间隔阈值,使得告警多级聚合结果能够有效精简告警,并与告警源IP和源端口的分布情况一致;通过比较告警关联结果与攻击场景的官方描述来计算告警关联的准确率。与传统方法进行对比,本文方法的告警关联准确率为97.94%,比传统方法提高了2.29%。     

Honeynet中的告警日志分析

提出一种带有告警日志分析的蜜网（honeynet）架构设计和告警日志分析模型. 将网络入侵检测和主机入侵检测的告警信息相结合,利用网络信息和告警相似度函数进行告警过滤和融合,采用改进的Apriori算法挖掘告警的关联规则,并通过匹配规则形成最终的攻击报告. 实验表明,该方法能有效减少honeynet中冗余的告警,分析出honeynet系统遭受攻击的关联关系,并展现攻击场景.     

基于后缀树的知识点间关联规则挖掘算法

在个性化的网络学习中,对知识点间的关联规则进行挖掘是一个关键的问题.该文提出了一种基于后缀树的知识点间关联规则挖掘算法,该算法通过对web日志数据构造后缀树进行序列挖掘,动态地挖掘最大频繁序列,进而发现有意义的知识点间的关联规则.     

一种有效的通信网络告警分析方法

以往大多告警分析研究都是假设通信网络中所有告警是平等的,考虑此假设的不合理性,提出了一种加权告警分析方法。首先,根据告警对网络的影响程度,采用熵值法为不同的告警分配不同的权值,并将其转换成适合于数据挖掘的序列数据集;然后,设计了一种加权告警序列模式挖掘算法,并采用了一种新颖的剪枝策略来缩减需要挖掘的数据集大小以提高算法的效率;最后,利用该算法挖掘告警数据中的时序关系。实验结果表明,这种加权告警分析方法在剪枝效果、挖掘重要告警序列模式和执行效率方面具有很好的性能。     

关联函数聚类算法在化工流程报警优化中的应用

过量的化工流程报警给决策和诊断带来困难,为了加强工业流程的安全生产和优化操作,管理和优化系统报警是亟待解决的问题。根据物元理论和流程工业的特点,结合化工流程单元操作与管理的模式,定义了过程变量参数间的关联函数,构造了化工过程变量的物元模型,提出了基于关联函数的化工流程参数的聚类算法。利用提出的算法对化工流程系统报警参数进行聚类分析、合理分组,根据报警参数间关联函数值的大小将各类中的报警参数进行等级排序,优先处理等级高的报警参数,提高报警系统指导操作的有效性。结合乙烯裂解炉报警系统验证了提出算法的有效性,结果表明,提出的方法是可靠有效的。基于关联函数的动态聚类是一种客观算法,具有很好的在线性;提高了操作者处理报警的能力,为流程工业的报警管理和优化操作提供了新思路。     

基于Rete规则推理的告警关联性分析

针对现有规则推理算法无法实现在当前大规模复杂多变的网络环境中准确、实时地推理告警规则的问题,提出了一种改进的规则推理算法Im_Rete.该算法结合网络告警数据的特点,采用面向告警缺失的模糊推理策略和基于概率关联模型的事实传播策略,在提高推理准确性的同时平衡推理速度,能够更加有效地对告警进行关联分析.通过仿真实验进行对比分析,结果表明Im_Rete算法在推理速度和准确性方面均具有较好的性能.     

基于协议分析的入侵检测规则智能匹配

针对传统模式匹配检测技术存在的计算量大、检测率低误、报警率高等问题,提出了一种基于协议分析的智能匹配检测方法。该检测方法充分利用TCWIP（Transmission Control Protocol／Intemet Protocol）技术的高度规则性检测攻击的存在,明显减少了匹配检测的计算量。设计并实现了基于动态分析的自动排序规则库。实验结果表明,该智能匹配方案能使模式匹配的时间缩短20％,从而提高了入侵检测的效率。     

主元分析法在浅层实时探测中的应用

超宽带脉冲体制探地雷达探测浅层目标一般以图象的形式给出结果,对探测人员读图能力要求较高,探测者的主观因素对分析结果影响较大;浅层目标体积小,埋设浅,回波比直达波的幅度小且容易与直达波混叠。基于这种雷达提出采用PCA算法计算能量分布变化曲线来检测浅层地下目标的存在,实现声音实时报警。这种方法在纯净和复杂环境下均具有较好的识别能力和报警效果。实验结果表明,PCA算法能够较准确的检测到浅层地下预埋目标的存在并实时报警,对今后浅层地下目标探测有一定指导意义。