基于Apriori算法的安全事件二级关联方法

安全信息的数据关联技术是目前网络安全领域的热点,国际上许多国家的安全机构都在大力研究安全事件关联技术来建立完善可靠的安全防御系统,保障国家利益。本文对网络安全事件关联进行了需求分析,将网络安全事件关联划分为4个子模块,对各个子模块进行了详细设计。采用基于因果关联方法的聚类对安全事件进行归并,将安全告警事件划分为具有逻辑因果关系的集合,然后利用基于Apriori算法的关联规则挖掘方法挖掘出各个安全告警事件集合之间的内在关联关系,实现了对于告警数据进行事件关联的模块功能,较好地提高了对组合攻击的关联效率。

基于时间序列预测模型的分布式拒绝服务攻击检测方法

分布式拒绝服务(Distributed Denial of Service,DDo S)的破坏性大、危害广,对目前的互联网安全构成了巨大威胁。本文分析了国内外现有的DDo S攻击检测方法,针对已有检测方法的不足之处提出了基于时间序列预测模型的DDo S检测方法。该方法提取正常网络流时间序列特征,并对时间序列进行平稳性和白噪声检验,根据检验结果确定模型参数以建立预测模型,基于预测模型对待测流进行预测,最后通过对正常流设置自适应阈值和可信报警模型来识别异常流量并检测DDo S攻击。实验结果与分析表明,该方法能够较为准确区分正常流与异常流,有效地检测分布式拒绝服务攻击,降低了误报率和漏报率。