| 基于自扩展时间窗的告警多级聚合与关联方法 |
| |
| 引用本文: | 李洪成,吴晓平.基于自扩展时间窗的告警多级聚合与关联方法[J].四川大学学报(工程科学版),2017,49(1):206-212. |
| |
| 作者姓名: | 李洪成 吴晓平 |
| |
| 作者单位: | 海军工程大学 信息安全系, 湖北 武汉 430033;海军工程大学 信息安全系, 湖北 武汉 430033 |
| |
| 基金项目: | 国家自然科学基金资助项目(61672531);湖北省自然科学基金资助项目(2015CFC867) |
| |
| 摘 要: | 针对传统告警聚合与关联方法在合理性和准确性上的不足,提出了基于多级划分思想的告警聚合方法和基于马尔可夫链模型的告警关联方法。首先,使用入侵检测消息交换格式来描述网络告警,利用告警的时序接近关系进行时间窗口的自动扩展,将时间间隔小于预设阈值的告警划分到同一个时间窗内;进而,分别根据攻击类型、时间窗口、子网掩码、IP地址和端口信息依次划分告警,利用属性匹配方法进行子网级、主机级和服务级聚合,有效聚合攻击者利用同一路由器、傀儡主机或服务端口实施攻击而产生的相似告警;在此基础上,利用1阶马尔可夫链模型生成告警关联图,将攻击类型间的条件转移概率作为关联图的有向边,并利用告警的时序紧邻关系计算出攻击类型间的转移概率。实验中,利用入侵检测系统Snort的最严格模式处理DARPA2000流量数据,得到LLDoS1.0攻击场景所对应的入侵告警集合;利用本文方法对集合中的5类告警进行聚合和关联,通过参数寻优得到自扩展时间窗口最理想的间隔阈值,使得告警多级聚合结果能够有效精简告警,并与告警源IP和源端口的分布情况一致;通过比较告警关联结果与攻击场景的官方描述来计算告警关联的准确率。与传统方法进行对比,本文方法的告警关联准确率为97.94%,比传统方法提高了2.29%。
|
| 关 键 词: | 攻击检测 告警聚合 自扩展时间窗口 多级划分 马尔可夫模型 |
| 收稿时间: | 2016/9/15 0:00:00 |
| 修稿时间: | 2016/11/11 0:00:00 |
Multistage Aggregation and Correlation for Network Alerts Based on Self-extending Time Windows |
| |
| LI Hongcheng and WU Xiaoping.Multistage Aggregation and Correlation for Network Alerts Based on Self-extending Time Windows[J].Journal of Sichuan University (Engineering Science Edition),2017,49(1):206-212. |
| |
| Authors: | LI Hongcheng and WU Xiaoping |
| |
| Affiliation: | Dept. of Info. Security, Naval Univ. of Eng., Wuhan 430033, China;Dept. of Info. Security, Naval Univ. of Eng., Wuhan 430033, China |
| |
| Abstract: | |
| |
| Keywords: | network security intrusion detection alerts aggregation time windows multistage division |
|
| 点击此处可从《四川大学学报(工程科学版)》浏览原始摘要信息 |
|
点击此处可从《四川大学学报(工程科学版)》下载全文 |
