一种基于信息熵的IDS告警预处理方法

doi:10.3969/j.issn.1006-2475.2020.05.019

计算机与现代化 ›› 2020, Vol. 0 ›› Issue (05): 111-.doi: 10.3969/j.issn.1006-2475.2020.05.019

一种基于信息熵的IDS告警预处理方法

(1.贵州大学计算机科学与技术学院，贵州贵阳550025;2.贵州省公共大数据重点实验室，贵州贵阳550025;
3.许昌学院信息工程学院，河南许昌461000)

收稿日期:2019-12-26 出版日期:2020-05-20 发布日期:2020-05-21
作者简介:张羽(1995-)，女，贵州黄平人，硕士研究生，研究方向：网络与信息安全，E-mail: zy13985105565@163.com; 通信作者：郭春(1986-)，男，湖南邵阳人，副教授，博士，研究方向：入侵检测，数据挖掘，E-mail: gc_gzedu@163.com; 申国伟(1986-)，男，湖南邵东人，副教授，博士，研究方向：知识图谱，数据挖掘，E-mail: gwshen@gzu.edu.cn; 平源(1981-)，男，重庆合川人，副教授，博士，研究方向：信息安全，机器学习，E-mail: pingyuan@bupt.edu.cn。
基金资助:
国家自然科学基金资助项目(61540049); 贵州省科技计划项目(［2018］3001, ［2017］1051, ［2016］1052); 河南省科技攻关计划项目(182102210123); 河南省高校科技创新人才计划项目(18HASTIT022); 河南省高校青年骨干教师计划项目(2016GGJS-141)

An IDS Alerts Preprocessing Method Based on Information Entropy

(1. College of Computer Science and Technology, Guizhou University, Guiyang 550025, China;
2. Guizhou Provincial Key Laboratory of Public Big Data, Guiyang 550025, China;
3. School of Information Engineering, Xuchang University, Xuchang 461000, China)

Received:2019-12-26 Online:2020-05-20 Published:2020-05-21

摘要/Abstract

摘要： 针对目前入侵检测系统存在的海量重复告警、误报率偏高、告警质量低下等问题，提出一种基于信息熵的IDS告警预处理方法，用于减少误告警，聚合相似告警，生成代表单步攻击意图的超告警。首先，对IDS告警进行特征提取，用告警密度、告警周期值、源IP对应的目的IP数与攻击源威胁度这4个特征的信息熵融合结果表示一条告警所具有的特征信息量。通过与误告警的特征向量进行互雷尼信息熵的计算，从而识别出误告，并且去除误告。然后对误告去除后的告警按照IP对应关系，划分为2类：一种源IP对应一种目的IP的告警以及一种源IP对应多种目的IP的告警。分别对2类告警进行特征统计，构造5维特征信息熵向量，采用DBSCAN算法将信息量相同或者相似的告警进行聚类。最后对各个类别的告警进行动态时间窗口划分，并构建出代表单步攻击意图的超告警。实验结果表明，基于信息熵的告警预处理方法误告去除率为87.43%，告警聚合率达到98.63%，具有较好的误告去除效果以及较高的告警聚合率。

关键词: 入侵检测系统, 误告去除, 告警聚合, 互雷尼信息熵, 聚类

Abstract: Focus on the issue for the large number of repeated alerts, high false alert rate, and low alert quality of the current intrusion detection system, an IDS alerts preprocessing method based on information entropy is proposed to reduce false alerts, aggregate similar alerts, and generate super alerts that represent the intent of a single step attack. First, the feature extraction of the IDS alerts are performed. The information entropy fusion result of the four characteristics of the alert density, the alert period value, the source IP address corresponding destination IP address numbers, and the attack source threat degree indicates the amount of feature information that an alert has. By calculating the Rainey information entropy with the feature vector of the false alert, the false alert is recognized and removed. Then, the alerts that the false alerts have been removed are classified into two types according to the IP correspondence: one type of source IP address corresponding to one destination IP address and one source IP address corresponding to multiple destination IP addresses. The two types of alert features are counted separately, and the 5-dimensional feature information entropy vectors are constructed. The DBSCAN algorithm is used to cluster the alerts with the same or similar information. Finally, the dynamic time windows are divided for each category of alerts, and the super alerts that represent the intention of single-step attacks are constructed. The experimental results show that the alerts preprocessing method based on information entropy has a false alert reduction rate of 87.43% and an alert aggregation rate of 98.63%, which has a good false alert reduction effect and a high alert aggregation rate.

Key words: intrusion detection system, false alerts reduction, alerts aggregation, Rainey information entropy, clustering

中图分类号:

TP393.08

张羽1,2，郭春1,2，申国伟1,2，平源3. 一种基于信息熵的IDS告警预处理方法[J]. 计算机与现代化, 2020, 0(05): 111-.

ZHANG Yu1,2, GUO Chun1,2, SHEN Guo-wei1,2, PING Yuan3. An IDS Alerts Preprocessing Method Based on Information Entropy[J]. Computer and Modernization, 2020, 0(05): 111-.

参考文献

［1］李祉岐,黄金垒,王义功,等. 入侵告警信息聚合与关联技术综述［J］. 计算机应用与软件, 2019,36(4):286-294.
［2］胥小波,蒋琴琴,郑康锋,等. 基于混沌粒子群的IDS告警聚类算法［J］. 通信学报, 2013,34(3):105-110.
［3］胡亮,解男男,努尔布力,等. 基于智能规划的多步攻击场景识别算法［J］. 电子学报, 2013,41(9):1753-1759.
［4］解男男. 机器学习方法在入侵检测中的应用研究［D］. 长春:吉林大学, 2015.
［5］李思达. IDS告警信息关联分析系统的研究与实现［D］. 北京:北京邮电大学, 2018.
［6］努尔布力,解男男,陈飞彦,等. 一种基于条件随机场的入侵检测误报滤除方法［J］. 中国科技论文, 2012,7(10):757-761.
［7］〖JP+2〗NJOGU H W, LUO J W, KIERE J N. Network specific vulnerability based alert reduction approach［J］. Security and Communication Networks, 2013,6(1):15-27.
［8］〖JP+2〗VALDES A, SKINNER K. Probabilistic alert correlation［M］// International Workshop on Recent Advances in Intrusion Detection. Springer Berlin Heidelberg, 2001:54-68.
［9］黄林,吴志杰,黄晓芳,等. 一种改进的多源异构告警聚合方案［J］. 计算机应用研究, 2014,31(2):579-582.
［10］李洪成,吴晓平. 基于自扩展时间窗的告警多级聚合与关联方法［J］. 工程科学与技术, 2017,49(1):206-212.
［11］GHASEMIGOL M, GHAEMI-BAFGHI A. E-correlator: An entropy-based alert correlation system［J］. Security and Communication Networks, 2015,8(5):822-836.
［12］LIANG W, CHEN Z, WEN Y, et al. An alert fusion method based on grey relation and attribute similarity correlation［J］. International Journal of Online and Biomedical Engineering, 2016,12(8):25-30.
［13］AHMED T, SIRAJ M M, ZAINAL A, et al. A taxonomy on intrusion alert aggregation techniques［C］// Proceedings of the 2014 International Symposium on Biometrics and Security Technologies. 2014:244-249.
［14］ 〖KG-*3〗〖JP2〗DEALVARENGA S C, BARBON JR S, MIANI R S, et al. Process mining and hierarchical clustering to help intrusion alert visualization［J］. Computers & Security, 2018,73:474-491.
［15］郭春. 基于数据挖掘的网络入侵检测关键技术研究［D］. 北京:北京邮电大学, 2014.
［16］LU X G, DU X H, WANG W J. An alert aggregation algorithm based on k-means and genetic algorithm［C］// Proceedings of the 2nd International Conference on Artificial Intelligence Applications and Technologies. 2018, DOI: 10.1088/1757-899X/435/1/012031.
［17］白鹏翔,张清华,段富,等基于模糊规则的免疫算法在网络入侵中的应用［J］.计算机工程与设计, 2015,36(12):3246-3249.
［18］OLABELURIN A, VELURU S, HEALING A, et al. Entropy clustering approach for improving forecasting in DDoS attacks［C］// Proceedings of the 2015 IEEE 12th International Conference on Networking, Sensing and Control. 2015:315-320.
［19］THATTE G, MITRA U, HEIDEMANN J. Parametric methods for anomaly detection in aggregate traffic［J］. IEEE/ACM Transactions on Networking, 2011,19(2):512-525.
［20］夏秦,王志文,卢柯. 入侵检测系统利用信息熵检测网络攻击的方法［J］. 西安交通大学学报, 2013,47(2):14-19.
［21］刘威歆,郑康锋,武斌,等. 基于攻击图的多源告警关联分析方法［J］. 通信学报, 2015,36(9):135-144.
［22］ RAMAKI A A, AMINI M, ATANI R E. RTECA: Real time episode correlation algorithm for multi-step attack scenarios detection［J］. Computers & Security, 2015,49:206-219.
［23］朱梦影. 入侵检测系统报警关联技术研究［D］. 沈阳:沈阳航空航天大学, 2014.
［24］牛国林,管晓宏,龙毅,等. 多源流量特征分析方法及其在异常检测中的应用［J］. 解放军理工大学学报(自然科学版), 2009,10(4):350-355.
［25］MIT Lincoln Laboratory. 2000 DARPA Intrusion Detection Scenario Specific Datasets［DB/OL］. (2000-07-20)［2019-09-16］. http://www.ll.mit.edu/r-d/datasets/2000-darpa-intrusion-detection-scenario-specific-datasets.

[1]	吕美静1, 年梅1, 张俊1, 2, 付鲁森1. 基于自编码器的网络流量异常检测[J]. 计算机与现代化, 2024, 0(12): 40-44.
[2]	刘文亮1, 吴飞1, 何德明1, 赵维伟2, 潘建宏3. 基于相异度矩阵的碎片化回复文本聚类方法[J]. 计算机与现代化, 2024, 0(09): 56-60.
[3]	袁红伟1, 常利军1, 郝家欢2, 樊娜2, 王超2, 罗闯2, 张泽辉2. 基于标签传播的轨迹兴趣点挖掘及隐私保护[J]. 计算机与现代化, 2024, 0(05): 46-54.
[4]	敖博超, 范冰冰. 基于AP聚类算法的联邦学习聚合算法[J]. 计算机与现代化, 2024, 0(04): 5-11.
[5]	孟雅蕾1, 师红宇1, 王予2. 一种无阻流量预测方法[J]. 计算机与现代化, 2024, 0(04): 33-37.
[6]	曾钟静昕, 甘刚. 基于卷积自编码器的侧信道分析[J]. 计算机与现代化, 2024, 0(03): 110-114.
[7]	王秋忆, 周浩, 郑婷婷. 改进RetinaNet的电力设备目标检测方法[J]. 计算机与现代化, 2024, 0(01): 47-52.
[8]	王宏杰, 徐胜超. 基于希尔伯特相似度的云平台异常传输数据聚类方法[J]. 计算机与现代化, 2023, 0(09): 27-31.
[9]	韩雪. 基于约束聚类和粒子群算法的多路径规划[J]. 计算机与现代化, 2023, 0(08): 7-11.
[10]	孙子雨, 任燃, 魏曦哲. 基于DTW-TCN的股票分类及预测研究[J]. 计算机与现代化, 2023, 0(08): 31-37.
[11]	王艺成, 张国良, 张自杰, . 基于改进YOLOv5的小目标检测方法[J]. 计算机与现代化, 2023, 0(05): 100-105.
[12]	马瑜涓, 韩建宁, 史韶杰, 曹尚斌, 杨志秀. 基于HMRF的改进Kmeans脑肿瘤分割算法[J]. 计算机与现代化, 2023, 0(03): 1-5.
[13]	洪涛, 朱鹏宇, 郭波, 王敬宇. 基于半监督聚类的通信缺陷研判知识库构建及迭代技术[J]. 计算机与现代化, 2023, 0(02): 28-33.
[14]	刘兴建, 杨晓夫, 胡磊. 基于非负矩阵分解的半监督模型用于多层网络聚类[J]. 计算机与现代化, 2023, 0(02): 83-88.
[15]	文紫鑫, 李少英, 王斌成, 刘博, . 基于近邻关系聚合的人脸聚类方法[J]. 计算机与现代化, 2022, 0(12): 81-87.

一种基于信息熵的IDS告警预处理方法

An IDS Alerts Preprocessing Method Based on Information Entropy

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价