基于上下文特征的IDS告警日志攻击场景重建方法

入侵检测系统(IDS)是网络安全防御策略中的关键组成部分,但在现阶段庞大且复杂的网络环境以及网络攻击规模逐年增长的背景下,IDS中存在的告警数量庞大导致的可读性差等问题,使得IDS的易用性极大降低。文章提出一种面向IDS真实告警数据流的攻击场景重建方法,从攻击者的角度将完整的多步攻击行为定义为攻击事件,以动态时间窗辅以告警上下文特征相似度判定的机制分离告警流中并行的事件,并通过提取事件在IP层面表现出的攻击路径的方式,分解事件中攻击者对不同目标的攻击行为,进一步获取攻击者在各条路径上的攻击类型转换序列进行因果知识挖掘,从而直观地展示攻击者的多步攻击场景。实验结果显示,该方法能够完整地捕获告警数据流中的攻击事件,多层次准确直观地展示多步攻击行为,有效提升了IDS的实际应用体验。

一种改进的基于因果关联的攻击场景重构方法

使用因果关联方法构建攻击场景时,漏报警易引发关联图的分裂.针对此问题,提出了一种改进的基于因果关联的攻击场景重构方法.该方法根据报警相关度确定可组合的关联图,利用网络弱点和攻击关系推出漏报警,使得分裂的关联图能够组合起来,进而重建完整的攻击场景.实验结果表明了该方法的有效性.

利用模糊聚类实现入侵检测告警关联图的重构

众多的入侵检测告警关联方法中,因果关联是最具代表性的方法之一。针对因果关联在一些条件下会引发关联图分裂的问题,提出利用模糊聚类的方法实现攻击场景重构。在聚类过程中,针对告警特性提出一种基于属性层次树的相似度隶属函数定义方法,并给出评价相似度度量和衡量攻击场景构建能力的若干指标。实验结果表明,该方法能够有效地组合分裂的关联图,重构攻击场景。

安全报警关联技术研究

安全报警关联技术是近年来安全领域中的热点之一,它能够有效地解决目前困扰安全管理者的海量报警以及误报、漏报报警等问题。近年来该领域出现了大量有价值的研究成果,但已有工作大多集中在个别子领域,整个领域的发展并不均衡。对这一技术的研究现状进行了综述,介绍了其处理过程及体系结构,重点总结比较了报警聚类及融合、攻击场景重建和攻击意图识别这3个关键阶段的已有算法,之后又总结评述了目前报警关联的主要应用、技术难点及现有解决方案,最后对该领域面临的问题加以分析,并展望了未来方向。

基于机器学习的网络安全态势感知

在传统网络防御手段抵御攻击的基础上,提出了一种利用机器学习的方法来达到网络安全态势感知的新方案。为了有效地获得告警事件,本文引入了告警关联分析的技术,通过分析多源告警信息的关联度从而降低误报率;为了准确地重建攻击场景,本文引入CEP技术处理海量告警信息,并利用基于马尔可夫性质的因果关联分析构建起知识库。分析表明,该方案具有可靠性强、适用性好、计算量小、准确度高的特点,特别适合于大数据环境。