10.3969/j.issn.1006-2475.2019.06.005
一种基于多因素的告警关联方法
入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警.告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为.许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为.为此,提出一种基于多因素的多步攻击关联方法.通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景.实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链.
告警关联、多步攻击序列、超级告警、关联度评价
TP393.08(计算技术、计算机技术)
国家自然科学基金资助项目61540049,61802081;贵州省科技计划项目[2017]1051,[2018]3001;贵州省公共大数据重点实验室开放课题2017BDKFJJ025;河南省科技攻关计划项目182102210123
2019-06-19(万方平台首次上网日期,不代表论文的发表时间)
共8页
30-37
