一种基于多因素的告警关联方法

doi:10.3969/j.issn.1006-2475.2019.06.005

计算机与现代化

一种基于多因素的告警关联方法

(1.贵州大学计算机科学与技术学院,贵州贵阳550025;2.贵州省公共大数据重点实验室，贵州贵阳550025)

收稿日期:2019-03-25 出版日期:2019-06-14 发布日期:2019-06-14
作者简介:吴东(1993-),男,四川达州人,硕士研究生，研究方向:网络与信息安全,E-mail: scwudong@163.com; 通信作者:郭春(1986-)，男,贵州贵阳人,副教授,博士,研究方向:网络与信息安全,E-mail: gc_gzedu@163.com; 申国伟(1986-),男,湖南邵东人，副教授,博士,研究方向:网络空间安全,大数据,E-mail: gwshen@gzu.edu.cn。
基金资助:
国家自然科学基金资助项目(61540049,61802081); 贵州省科技计划项目(［2017］1051,［2018］3001); 贵州省公共大数据重点实验室开放课题(2017BDKFJJ025); 河南省科技攻关计划项目(182102210123)

An Alert Correlation Method Based on Multi-factors

(1. College of Computer Science and Technology, Guizhou University, Guiyang 550025, China;
2. Guizhou Provincial Key Laboratory of Public Big Data, Guiyang 550025, China)

Received:2019-03-25 Online:2019-06-14 Published:2019-06-14

摘要/Abstract

摘要： 入侵检测系统作为保护网络安全的重要工具已被广泛使用，其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理，揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景，方法容易受冗余告警、误报影响，挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此，提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警，降低冗余告警带来的影响；将超级告警构造成超级告警时间关系图，同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明，该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。

关键词: 告警关联, 多步攻击序列, 超级告警, 关联度评价

Abstract: Intrusion detection system has been widely used as an important tool to protect network security, and they usually generate a large number of alerts with high redundancy and high false positive rate. Alert correlation analysis reveals the multi-step attack scenarios contained in it through the comprehensive analysis and processing of the underlying alarms. Many existing alert correlation methods rebuild attack scenarios by mining frequent patterns in historical alerts. Multi-step attack chains obtained by these methods are susceptible to redundant alerts and false positives, and can’t reflect the real multi-step attacks in some cases. Therefore, this paper proposes an alert correlation method based on multiple factors which reduces the impact of redundant alerts by aggregating the raw alerts to obtain hyper alerts, constructs hyper alerts into hyper-alert time relation graph and uses the multi-factor correlation evaluation function between hyper alerts to find multi-step attack scenarios from the time relation graph. The experimental results show that the proposed method can overcome the negative effects caused by redundant alerts and false positives and effectively mine multi-step attack scenarios.

Key words: alert correlation, multi-step attack sequence, hyper alert, relevance evaluation

中图分类号:

TP393.08

吴东1,2,郭春1,2,申国伟1,2. 一种基于多因素的告警关联方法[J]. 计算机与现代化, doi: 10.3969/j.issn.1006-2475.2019.06.005.

WU Dong1,2, GUO Chun1,2, SHEN Guo-wei1,2. An Alert Correlation Method Based on Multi-factors[J]. Computer and Modernization, doi: 10.3969/j.issn.1006-2475.2019.06.005.

参考文献

［1］国家互联网应急中心. 2017年中国互联网网络安全报告［EB/OL］. ［2019-03-25］. http://www.cert.org.cn/publish/main/upload/File/2017annual(1).pdf.
［2］郭春. 基于数据挖掘的网络入侵检测关键技术研究［D］. 北京:北京邮电大学, 2014.
［3］ MIANI R S, ZARPELO B B, SOBESTO B, et al. A practical experience on evaluating intrusion prevention system event data as indicators of security issues［C］// 2015 IEEE 34th Symposium on Reliable Distributed Systems. 2016:296-305.
［4］ SALAH S, MACI-FERNNDEZ G, DAZ-VERDEJO J E. A model-based survey of alert correlation techniques［J］. Computer Networks, 2013,57(5):1289-1317.
［5］ CHEUNG S, LINDQVIST U, FONG M W. Modeling multistep cyber attacks for scenario recognition［C］// DARPA Information Survivability Conference & Exposition. 2003:284-292.
［6］ ECKMANN S T, VIGNA G, KEMMERER R A. STATL: An Attack Language for State-based Intrusion Detection［M］. IOS Press, 2012.
［7］旷庆圆,武斌,伍淳华. 基于攻击意图的安全事件关联算法［C］// 第十九届全国青年通信学术年会论文集. 2014:241-246.〖HJ1.08mm〗
［8］李之棠,王莉,李东. 一种新的在线攻击意图识别方法研究［J］. 小型微型计算机系统, 2008,29(7):1347-1352.
［9］田志宏,张永铮,张伟哲,等. 基于模式挖掘和聚类分析的自适应告警关联［J］. 计算机研究与发展, 2009,46(8):1304-1315.
［10］BAMASAK O O, BAHARETH F A . Constructing attack scenario using sequential pattern mining with correlated candidate sequences［J］. International Journal of ACM Jordan, 2013,2(3):102-108.
［11］王泽芳,袁平,黄晓芳. 一种新的多步攻击场景构建技术研究［J］. 西南科技大学学报， 2016,31(1):55-60.
［12］VALDES A, SKINNER K. Probabilistic alert correlation［C］// International Workshop on Recent Advances in Intrusion Detection. 2001:54-68.
［13］DAIN O, CUNNINGHAM R K. Fusing a heterogeneous alert stream into scenarios［C］// Proceedings of 2001 ACM Workshop on Data Mining for Security Applications. 2001:103-122.
［14］HOFMANN A, SICK B. Online intrusion alert aggregation with generative data stream modeling［J］. International Journal of Electronics & Computer Science Engineering, 2012,1(4):282-294.
［15］CHEN S, LEUNG H, DONDO M. Characterization of computer network events through simultaneous feature selection and clustering of intrusion alerts［C］// Proceedings of the SPIE on Multisensor, Multisource Intormation Fusion: Architectures, Algorithms, and Applications. 2014.
［16］NING P, CUI Y, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts［J］. ACM Transactions on Information & System Security, 2004,7(2):274-318.
［17］王硕,汤光明,王建华,等. 基于因果知识网络的攻击场景构建方法［J］. 计算机研究与发展, 2018,55(12):2620-2636.
［18］黄静耘. 基于大数据分析的网络攻击场景重建系统［D］. 天津:天津理工大学, 2017.
［19］樊迪,刘静,庄俊玺,等. 基于因果知识发现的攻击场景重构研究［J］. 网络与信息安全学报, 2017,3(4):58-68.
［20］RAMAKI A A, KHOSRAVI-FARMAD M, BAFGHI A G. Real time alert correlation and prediction using Bayesian networks［C］// Proceedings of 2015 12th International Iranian Society of Cryptology Conference on Information Security & Cryptology. 2016:98-103.
［21］SHITTU R, HEALING A, GHANEA-HERCOCK R, et al. Intrusion alert prioritisation and attack detection using post-correlation analysis［J］. Computers & Security, 2015,50(C):1-15.
［22］穆成坡,黄厚宽,田盛丰. 入侵检测系统报警信息聚合与关联技术研究综述［J］. 计算机研究与发展, 2006(1):1-8.
［23］AHMED T, SIRAJ M M, ZAINAL A, et al. A taxonomy on intrusion alert aggregation techniques［C］// International Symposium on Biometrics & Security Technologies. 2015.
［24］MIT Lincoln Laboratory. 2000 DARPA Intrusion Detection Scenario Specific Dataset［EB/OL］. ［2019-03-25］. https://www.ll.mit.edu/r-d/datasets/2000-darpa-intrusion-detection-scenario-specific-datasets.

[1]	肖航, 李鹏, 马荟平, 朱枫, . 基于随机Petri网的RFID系统安全性分析模型[J]. 计算机与现代化, 2023, 0(09): 105-114.
[2]	代锐锋. 基于SSL虚拟技术的高校网络安全体系模型构建[J]. 计算机与现代化, 2020, 0(08): 122-126.
[3]	张羽1,2，郭春1,2，申国伟1,2，平源3. 一种基于信息熵的IDS告警预处理方法[J]. 计算机与现代化, 2020, 0(05): 111-.
[4]	蒋万明1,2，郭春1,2，蒋朝惠1,2. 一种基于BiLSTM的低速率DDoS攻击检测方法[J]. 计算机与现代化, 2020, 0(05): 120-.
[5]	曹永明. 一种无安全信道的模糊关键字搜索加密方案[J]. 计算机与现代化, 2020, 0(04): 42-.
[6]	王垚,李为,吴克河,崔文超. GBDT与LR融合模型在加密流量识别中的应用[J]. 计算机与现代化, 2020, 0(03): 93-.
[7]	秦璐璐，周李京，王敏. 支持多关键字搜索的条件代理重加密[J]. 计算机与现代化, 2020, 0(01): 100-.
[8]	周李京,王敏,秦璐璐. 多属性授权机构下属性可撤销的CP-ABE方案[J]. 计算机与现代化, 2019, 0(11): 60-.
[9]	宋紫华1,2,郭春1,2,蒋朝惠1,2. 一种基于网络流量分析的快速木马检测方法[J]. 计算机与现代化, 2019, 0(06): 9-.
[10]	曾琦，韩笑，曹永明. 结合公钥加密和关键字可搜索加密的加密方案[J]. 计算机与现代化, 2019, 0(04): 103-.
[11]	弭乾坤1，吴斌2，杜宁1，秦晰1. 基于不完全信息博弈模型的信息系统安全风险评估方法[J]. 计算机与现代化, 2019, 0(04): 118-.
[12]	连耿雄. 基于区块链的可信移动应用市场[J]. 计算机与现代化, 2019, 0(03): 58-.
[13]	孙远，廖小平. 基于智能蝙蝠算法的异常数据检测方法[J]. 计算机与现代化, 2019, 0(03): 62-.
[14]	韩笑，曾琦，曹永明. 一种有效的带关键字搜索的代理重加密方案[J]. 计算机与现代化, 2019, 0(03): 117-.
[15]	王通,艾中良,张先国. 基于深度学习的威胁情报知识图谱构建技术[J]. 计算机与现代化, 2018, 0(12): 21-.

一种基于多因素的告警关联方法

An Alert Correlation Method Based on Multi-factors

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价