基于EBLOF算法的攻击者IP分析系统及应用
为了在多源、异构、海量的网络威胁入侵告警日志中快速准确定位到高优先级、亟需处理的攻击者IP并构建其特征,缓解安全分析人员的告警疲劳,提高安全运营效率,提出一种基于集成学习的局部异常因子(en-semble based local outlier factor,EBLOF)算法的攻击者IP分析系统.一方面,该系统通过提取和归并范式化的网络安全告警日志,从攻击者IP的属性维度和攻击行为维度构建特征工程,并借鉴集成学习的思路和传统异常检测算法LOF,构建了鲁棒的EBLOF算法模型,进而发现高威胁的攻击者IP.另一方面,该系统针对机器学习模型难以在线更新的问题,通过批量实时学习技术构建了一套在线学习的架构,从系统架构层面而非算法层面确保模型能够在线更新.将本文提出的算法模型在公共异常检测数据集ODD上开展模型的训练,并对模型的检测效果进行实验验证.实验结果表明,本文模型在不同数据分布下相比原始LOF模型具有更好的鲁棒性.将本文所提的系统应用在真实攻防场景中,通过与安全分析人员进行检出对比分析,验证了所提系统的有效性和可行性.
网络空间态势感知、攻击者分析、局部异常因子、集成学习
54
TP311(计算技术、计算机技术)
四川省科技厅苗子工程重点项目2021JDRC0073
2022-05-26(万方平台首次上网日期,不代表论文的发表时间)
共7页
91-97
