【摘要】：信息技術(shù)在給人們的生產(chǎn)、生活帶來(lái)巨大改變的同時(shí),也帶來(lái)了許多的安全問(wèn)題,網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)作為保護(hù)網(wǎng)絡(luò)安全的重要工具已被廣泛投入使用;然而,IDS產(chǎn)生的告警冗余度高、誤報(bào)率高且不能反映出攻擊者的多步攻擊策略。因此,應(yīng)用告警關(guān)聯(lián)技術(shù)分析IDS告警信息以重構(gòu)多步攻擊場(chǎng)景顯得非常重要。數(shù)據(jù)挖掘作為一種數(shù)據(jù)智能分析技術(shù),能自動(dòng)地從大量數(shù)據(jù)中提取出有用信息。本文以基于數(shù)據(jù)挖掘的告警關(guān)聯(lián)技術(shù)為研究?jī)?nèi)容,對(duì)IDS告警預(yù)處理方法、IDS告警關(guān)聯(lián)方法進(jìn)行了研究,主要內(nèi)容可歸納如下:(1)研究了數(shù)據(jù)挖掘技術(shù)在告警預(yù)處理方面的應(yīng)用,提出了一種面向IDS告警的預(yù)處理方法。IDS產(chǎn)生大量冗余度高、誤報(bào)率高的告警,若不去除這些大量存在的誤報(bào)及冗余告警,將會(huì)對(duì)后續(xù)多步場(chǎng)景挖掘的有效性提出巨大挑戰(zhàn)。為此,提出了一種面向IDS告警的預(yù)處理方法。通過(guò)分析告警樣本,提出了四個(gè)用于區(qū)分誤報(bào)與真實(shí)告警的群體特征,結(jié)合決策樹(shù)等分類算法訓(xùn)練誤報(bào)判定模型對(duì)IDS告警進(jìn)行誤報(bào)判定,降低了誤報(bào)帶來(lái)的影響;將滑動(dòng)時(shí)間窗口用于冗余去除,降低IDS告警的冗余度。實(shí)驗(yàn)結(jié)果表明,本文所提出的IDS告警預(yù)處理框架能大大降低誤報(bào)和冗余告警,為后續(xù)的關(guān)聯(lián)分析提供數(shù)據(jù)質(zhì)量保證。(2)研究了面向IDS告警的多步攻擊場(chǎng)景重構(gòu)技術(shù),提出了一種基于多因素的告警關(guān)聯(lián)方法。告警關(guān)聯(lián)分析通過(guò)對(duì)底層告警進(jìn)行綜合分析與處理,揭示出其中包含的多步攻擊行為。許多的告警關(guān)聯(lián)方法通過(guò)在原始告警中挖掘頻繁模式來(lái)構(gòu)建攻擊場(chǎng)景,方法容易受冗余告警、誤報(bào)影響,挖掘出的多步攻擊鏈在某些情況下不能反映出真實(shí)的多步攻擊行為。為此,提出了一種基于多因素的告警關(guān)聯(lián)方法。通過(guò)聚合原始告警以得到超級(jí)告警,降低了冗余告警帶來(lái)的影響;將超級(jí)告警構(gòu)造成超級(jí)告警時(shí)間關(guān)系圖,同時(shí)結(jié)合超級(jí)告警間的多因素關(guān)聯(lián)度評(píng)價(jià)函數(shù)從圖中挖掘出多步攻擊場(chǎng)景。實(shí)驗(yàn)結(jié)果表明,該方法能克服冗余告警及大量誤報(bào)帶來(lái)的負(fù)面影響、有效地挖掘出多步攻擊鏈。
【圖文】：

17(e)圖 3.1 Snort 對(duì)某次多步攻擊產(chǎn)生的告警告警關(guān)聯(lián)分析的主要目標(biāo)在于如何從僅能反映單步攻擊行為的、混亂的告警信息中找到告警之間的關(guān)系，發(fā)現(xiàn)對(duì)應(yīng)的多步攻擊策略并重構(gòu)出攻擊場(chǎng)景。若直接使用未經(jīng)處理的告警進(jìn)行關(guān)聯(lián)，不僅會(huì)消耗大量時(shí)間及資源，而且關(guān)聯(lián)結(jié)果易

圖 3.6 原始告警分類統(tǒng)計(jì)結(jié)果實(shí)驗(yàn)過(guò)程中，將提取告警的群體特征的時(shí)間閾值設(shè)置為 10 分鐘。在提取特征后，本文對(duì)比了使用支持向量機(jī)、高斯樸素貝葉斯、決策樹(shù)、K 近鄰分類器和邏輯回歸算法進(jìn)行誤報(bào)分類模型訓(xùn)練，試驗(yàn)中使用 70%數(shù)據(jù)進(jìn)行訓(xùn)練，30%數(shù)據(jù)用于測(cè)試。實(shí)驗(yàn)結(jié)果使用 3.3.2 小節(jié)所描述的準(zhǔn)確率、召回率（檢測(cè)出的誤報(bào)警數(shù)與數(shù)據(jù)中的誤報(bào)警數(shù)之比）、精度（判定為誤報(bào)警的所有樣本中，真正的誤報(bào)警所占比例）、漏報(bào)率（未檢測(cè)出的誤報(bào)警數(shù)與所有誤報(bào)警數(shù)之比）、誤報(bào)率（將正常樣本判定為誤報(bào)警的比例）進(jìn)行評(píng)價(jià)。經(jīng)多次試驗(yàn)，，誤報(bào)消除模塊的表現(xiàn)如表 3.4 所示。表 3.4 誤報(bào)判定模型實(shí)驗(yàn)結(jié)果分類算法 準(zhǔn)確率 召回率 精度 漏報(bào)率 誤報(bào)率 F1支持向量機(jī) 0.909 0.892 0.968 0.107 0.058 0.929高斯樸素貝葉斯 0.806 0.724 0.979 0.275 0.031 0.833
【學(xué)位授予單位】：貴州大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP311.13;TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前7條

1 劉威歆;鄭康鋒;武斌;楊義先;;基于攻擊圖的多源告警關(guān)聯(lián)分析方法[J];通信學(xué)報(bào);2015年09期

2 胡亮;解男男;努爾布力;劉志宇;柴勝;;基于智能規(guī)劃的多步攻擊場(chǎng)景識(shí)別算法[J];電子學(xué)報(bào);2013年09期

3 田志宏;張永錚;張偉哲;李洋;葉建偉;;基于模式挖掘和聚類分析的自適應(yīng)告警關(guān)聯(lián)[J];計(jì)算機(jī)研究與發(fā)展;2009年08期

4 李冬;李之棠;雷杰;;周期性誤告警去除方法研究[J];小型微型計(jì)算機(jī)系統(tǒng);2009年07期

5 李之棠;王莉;李東;;一種新的在線攻擊意圖識(shí)別方法研究[J];小型微型計(jì)算機(jī)系統(tǒng);2008年07期

6 孫雷;姜淑娟;曾英佩;郭山清;;基于系統(tǒng)漏洞的攻擊場(chǎng)景構(gòu)建[J];計(jì)算機(jī)工程;2007年20期

7 穆成坡;黃厚寬;田盛豐;;入侵檢測(cè)系統(tǒng)報(bào)警信息聚合與關(guān)聯(lián)技術(shù)研究綜述[J];計(jì)算機(jī)研究與發(fā)展;2006年01期

本文編號(hào)：2637714