检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
机构地区:[1]上海交通大学信息安全工程学院,上海200240 [2]广西财经学院信息与统计学院,南宁530003 [3]广西财经学院管理科学与工程学院,南宁530003
出 处:《计算机应用研究》2016年第3期848-850,859,共4页Application Research of Computers
基 金:国家自然科学基金资助项目(61431008;61562004);高等学校博士学科点专项科研基金资助项目(20130073130006);广西自然科学基金资助项目(2013GXNSFBA019274);广西高等学校高水平创新团队及卓越学者计划资助项目;广西高校科研项目(2013YB214)
摘 要:入侵检测系统产生海量报警数据,造成报警关联时间长、关联结果结构复杂、难以理解。针对上述问题,提出一种基于因果关系的分层报警关联模型。该模型先根据攻击目标聚类报警,在因果关系的指导下以单步攻击作为节点构建主机层攻击路径,定义单步攻击相似度和攻击模式相似度,通过拓扑排序合并主机层攻击路径的相似节点得到攻击模式,计算攻击模式相似度实现预警,并以受害主机作为节点从空间上构建更高层面的网络层攻击场景。实验表明,分层关联结果结构简洁,有助于识别攻击策略、指导安全响应,而且先聚类后关联的方法能够有效提高报警关联效率。Intrusion detection systems generate a great deal of alarm data,causing alerts correlation time-consuming and correlation results too complicated to understand. To solve these problems,this paper developed a hierarchical alerts correlation model based on causality. Firstly,it classified alerts according to attack target's IP address,and performed causal correlation to reconstruct attack paths taking single-step attack as node. It defined the similarity of single-step attack and similarity of attack patterns,adopted topological sorting to merge similar nodes to abstract attack pattern. And it calculated the similarity of attack patterns to predict threat. Finally,it spatially correlated attack scenarios at a higher level taking victim as node. Experimental results show that the structure of hierarchical correlation results is simple,which helps to identify attack strategy and guide security response. Moreover,clustering before correlation is clearly efficient.
关 键 词:报警关联 报警聚类 因果关系 攻击模式 单步攻击相似度 攻击模式相似度
分 类 号:TP393.08[自动化与计算机技术—计算机应用技术]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:3.145.200.8
