● 摘要
现有的网络安全设备都是应用一定的检测方法对恶意行为进行检测,对被检测出来的恶意行为通过日志的形式记录下来,并提交给用户。但是,目前的异常检测方法大都将异常行为作为单一的事件处理,忽略了事件之间的关联关系,导致网络安全设备很难还原出真实的攻击场景,无法处理分布式攻击或多步攻击等复杂攻击类型。警告关联算法就是用以挖掘告警日志记录中的恶意行为的关联关系,找出攻击者的攻击规律,为多步攻击的检测和网络安全事件的预警提供基础。 本文研究海量告警日志的警告关联技术,设计出一个原型系统,主要工作如下:
1) 分析警告关联技术的国内外现状,指出现有的警告关联技术研究中大多需要给出攻击规则等先验知识,缺乏攻击规则的自主生成机制,并且先验知识大多来自于生产生活实践或是专家知识,无法根据历史记录对知识进行修改、补充使关联结果更加精确。
2) 查阅了有关计算机网络安全事件描述语言的文献,设计出了面向服务的计算机网络安全事件描述语言。
3) 研究应用在大数据环境中的警告关联技术的关键算法,包括基于序列模式挖掘算法的警告关联算法和其在Hadoop中的具体实现。
4) 基于上述算法,设计了一个警告关联的模型,并进行了一系列的试验,用以说明算法的有效性,证明算法的具有较好的效率。
相关内容
相关标签