基于告警属性聚类的攻击场景关联规则挖掘方法研究
针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法.该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌.以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化.然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则.接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类.最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则.在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性.
攻击场景重构、告警关联、属性相似度、误告警
51
TP393.0(计算技术、计算机技术)
国家自然科学基金项目61802270;国家“双创”示范基地之变革性技术国际研发转化平台C700011;四川省重点研发项目2018G20100;四川省科技支撑计划项目2016GZ0038;中央高校基本科研业务费专项资金2017SCU11059,2017SCU11065,SCU2016D009
2019-06-28(万方平台首次上网日期,不代表论文的发表时间)
共7页
144-150
