基于数据挖掘的攻击场景提取方法研究.PDF

第３５卷第１０期　　　 计算机应用与软件 Ｖｏｌ３５Ｎｏ．１０ ２０１８年１０月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｏｃｔ．２０１８ 基于数据挖掘的攻击场景提取方法研究 彭梦停　胡建伟　崔艳鹏 （西安电子科技大学网络与信息安全学院　陕西西安７１００００） 摘　要　　针对目前入侵检测系统（ＩＤＳ）产生的低级警报难以管理等缺陷，提出一个提取多步骤攻击场景的方 法。基于数据挖掘来发现已知和未知场景中的强关联规则，生成关联概率表，作为自动提取攻击场景的重要依 据。该方法能有效地压缩警报数量，聚类同一阶段的警报，对于复杂的批量攻击和跳板攻击场景也有很好的效 果。实验结果表明，在无需使用任何预定义知识的情况下，对于压缩警报，检测已知、未知的多步攻击场景，该方 法足够高效且准确。 关键词　　网络安全　警报关联　攻击场景　未知攻击　因果知识　数据挖掘　压缩警报 中图分类号　ＴＰ３　　　　文献标识码　Ａ　　　　ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１０００３８６ｘ．２０１８．１０．０５６ ＲＥＳＥＡＲＣＨＯＦＡＴＴＡＣＫＳＣＥＮＡＲＩＯＳＥＸＴＲＡＣＴＩＯＮＢＡＳＥＤＯＮＤＡＴＡＭＩＮＩＮＧ ＰｅｎｇＭｅｎｇｔｉｎｇ　ＨｕＪｉａｎｗｅｉ　ＣｕｉＹａｎｐｅｎｇ （ＳｃｈｏｏｌｏｆＮｅｔｗｏｒｋａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ，ＸｉｄｉａｎＵｎｉｖｅｒｓｉｔｙ，Ｘｉａｎ７１００００，Ｓｈａａｎｘｉ，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　Ｂｅｃａｕｓｅｉｔｉｓｄｉｆｆｉｃｕｌｔｔｏｍａｎａｇｅｌｏｗｌｅｖｅｌａｌａｒｍｓｇｅｎｅｒａｔｅｄｂｙｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍｓ（ＩＤＳ），ｉｎｔｈｉｓ ｐａｐｅｒ，ａｍｅｔｈｏｄｉｓｐｒｏｐｏｓｅｄｔｏｅｘｔｒａｃｔｍｕｌｔｉｓｔｅｐａｔｔａｃｋｓｃｅｎａｒｉｏｓ．Ｂａｓｅｄｏｎｄａｔａｍｉｎｉｎｇ，ｓｔｒｏｎｇｃｏｒｒｅｌａｔｉｏｎｒｕｌｅｓｉｎ ｋｎｏｗｎｏｒｕｎｋｎｏｗｎｓｃｅｎｅｓａｒｅｄｉｓｃｏｖｅｒｅｄ，ａｎｄｃｏｒｒｅｌａｔｉｏｎｐｒｏｂａｂｉｌｉｔｙｔａｂｌｅｓａｒｅｇｅｎｅｒａｔｅｄａｓａｎｉｍｐｏｒｔａｎｔｂａｓｉｓｆｏｒ ａｕｔｏｍａｔｉｃａｌｌｙｅｘｔｒａｃｔｉｎｇａｔｔａｃｋｓｃｅｎａｒｉｏｓ．Ｔｈｉｓｍｅｔｈｏｄｃａｎｅｆｆｅｃｔｉｖｅｌｙｒｅｄｕｃｅｔｈｅｎｕｍｂｅｒｏｆａｌａｒｍｓａｎｄｃｌｕｓｔｅｒｔｈｅａｌａｒｍｓ ａｔｔｈｅｓａｍｅｐｈａｓｅ．Ｉｔａｌｓｏｈａｓａｇｏｏｄｅｆｆｅｃｔｏｎｃｏｍｐｌｅｘｂａｔｃｈａｔｔａｃｋｓａｎｄａｔｔａｃｋｓｃｅｎａｒｉｏｓｕｓｉｎｇｓｐｒｉｎｇｂｏａｒｄ． Ｅｘｐｅｒｉｍｅｎｔａｌｒｅｓｕｌｔｓｓｈｏｗｔｈａｔｔｈｉｓｍｅｔｈｏｄｉｓｅｆｆｉｃｉｅｎｔａｎｄａｃｃｕｒａｔｅｆｏｒｄｅｔｅｃｔｉｎｇｋｎｏｗｎａｎｄｕｎｋｎｏｗｎｍｕｌｔｉｓｔｅｐａｔｔａｃｋ ｓｃｅｎａｒｉｏｓｗｉｔｈｏｕｔｕｓｉｎｇａｎｙｐｒｅｄｅｆｉｎｅｄｋｎｏｗｌｅｄｇｅ． Ｋｅｙｗｏｒｄｓ　　Ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ　Ａｌｅｒｔｃｏｒｒｅｌａｔｉｏｎ　Ａｔｔａｃｋｓｃｅｎａｒｉｏｓ　Ｕｎｋｎｏｗｎａｔｔａｃｋ　Ｃａｕｓａｌｋｎｏｗｌｅｄｇｅ　Ｄａｔａ ｍｉｎｉｎｇ　Ｒｅｄｕｃｅａｌｅｒｔｓ 基于相似性的技术旨在通过属性或时间相似性来 ０　引　言 聚合警报。主要的理论基础是类似的警报有相同的起 因或者对监视的系统具有类似的影响。如何为每个属 尽管ＩＤＳ在提高计算机网络安全性方面起着关键 性定义一个合适的相似度函数是关键问题。它们的算 作用，但也存在一些缺陷，包括警报泛滥、误报、产生不 法基于简单的逻辑比较，比其他类别的复杂度小。这 相关的警报有限的可扩展性、缺乏互操作性，以及无法 类方法也可以一定程度上减少警报总数。但是他们只 关联并发现