大规模网络中误告警去除和告警聚类方法研究

大规模网络中误告警去除和告警聚类方法研究

论文摘要

入侵检测是网络安全防护的重要技术,但目前国内外相关工具产生的安全数据质量很低,需要大量的人工分析。大规模网络中安全数据更是数量巨大,一个100Mbps接入的网络往往每小时可产生10多万条告警,人工根本不可能及时处理。即使安全事件能够产生告警,也往往湮没在大量冗余告警中。如何实时地去除大量冗余告警,提高告警质量是大规模网络安全防护亟待解决的问题。告警事件由规则、源IP、目的IP、源端口和目端口等多个属性构成。误告警是网络正常活动的数据包被普适安全规则匹配而产生的误判警示,这类告警与真实告警非常相似,数量巨大,将给后续关联分析和攻击发现带来极大的困难。可采用告警规则优化、告警周期发现和告警聚合等三种方法来去除误告警,从而大大减少告警的数量,提高告警的质量。规则既能够产生真实告警也会触发误告警,某些规则触发的大量误告警会导致安全成本的急剧增加。规则优化模型从经济效用的角度来分析安全成本与收益之间的平衡关系。根据保护对象的安全需求来优化规则集,决定误告警概率较大的规则是否应该去除。同时根据Bayes网络构造各个规则的误告警概率信息网,利用先验信息对规则产生的告警进行二次分类,减少误告警概率。通过对大规模网络入侵检测系统的告警数据进行分析后发现,一方面某些告警属性的分布具有明显的重尾特性;另一方面这些告警的产生还具有周期性。也就是说,某些告警的属性往往集中在重尾分布的头部,导致这些告警也往往具有较稳定的周期。告警流识别算法能够根据重尾分布的特性识别出主要的告警属性组合,误告警去除算法根据自相关分析和Fouirer分析方法求出各个属性组合产生告警的周期,并通过F检验进行确认,最后制定相应的规则去除周期性告警。实验中能够去除62.5%的原始告警,通过其它相关分析方法发现,去除的这些周期性告警都是误告警。根据告警的源地址和目地址属性模式,可把安全事件分为多对一,一对多和一对一三类。告警聚合根据这三种模式设置时间和数量阈值,对告警动态地进行聚合并产生超级告警。同时判断触发告警的安全事件类型,提出度量指标来评估超级告警的可信度和紧急程度。实验表明:聚合后的告警数量比原始告警减少98%以上。另外还采用切比雪夫公式对告警时间序列、误告警去除后的时间序列、时频转换后的频域序列进行异常检测,提高了检测特定类型安全事件的能力。上述研究为大规模网络误告警去除和安全事件关联分析提供了新的理论支持和方法。

论文目录

  • 摘要
  • Abstract
  • 1 绪论
  • 1.1 研究背景
  • 1.2 入侵检测系统的原理和发展
  • 1.3 国内外研究现状
  • 1.4 研究意义和创新
  • 1.5 论文内容安排
  • 2 安全数据分析的理论和方法
  • 2.1 SATA 机制分析
  • 2.2 RCI 告警分析机制
  • 2.3 试验平台的建立
  • 2.4 本章小结
  • 3 基于规则优化的误告警去除方法
  • 3.1 基于统计决策的告警分析模型
  • 3.2 实验结果和分析
  • 3.3 本章小结
  • 4 基于行为分析的误告警去除方法
  • 4.1 实际环境中告警行为分析
  • 4.2 告警数据流统计算法
  • 4.3 误告警去除算法
  • 4.4 算法复杂度分析
  • 4.5 实验结果和分析
  • 4.6 本章小结
  • 5 告警聚类和评估方法
  • 5.1 告警聚类方法
  • 5.2 超级告警评估
  • 5.3 本章小结
  • 6 总结与展望
  • 6.1 全文总结
  • 6.2 论文贡献
  • 6.3 研究展望
  • 参考文献
  • 致谢
  • 附录1 攻读博士学位期间发表论文目录
  • 附录2 攻读博士学位期间参加研究的科研项目
  • 相关论文文献

    • [1].教科文组织发布《大规模网络开放课程概述》[J]. 世界教育信息 2013(24)
    • [2].大规模网络开放课程背景下图书馆角色定位和服务创新[J]. 佳木斯职业学院学报 2016(11)
    • [3].大规模网络开放课程对传统中医学教学的影响[J]. 中国中医药现代远程教育 2015(09)
    • [4].大规模网络数据测量在网络商务中的应用[J]. 无线互联科技 2013(04)
    • [5].国外高等教育领域大规模网络公开课程探析[J]. 世界教育信息 2013(15)
    • [6].慕课:一场中学不能缺席的变革[J]. 河北教育(综合版) 2016(Z1)
    • [7].大规模网络非自体入侵动态实时取证仿真研究[J]. 计算机仿真 2018(11)
    • [8].大规模网络负面信息准确评估分类研究[J]. 计算机仿真 2016(12)
    • [9].大规模网络非自体入侵动态实时取证仿真研究[J]. 计算机仿真 2018(05)
    • [10].大规模网络中局部层次重叠社区的检测[J]. 高师理科学刊 2020(10)
    • [11].教育信息化的新潮流与攻坚战——大规模网络课程热潮中的冷思考[J]. 中国教育信息化 2013(19)
    • [12].大规模网络的主动协同防御模型研究[J]. 厦门大学学报(自然科学版) 2010(02)
    • [13].基于大规模网络环境下的组播通信技术[J]. 电脑知识与技术 2017(14)
    • [14].一种高效的大规模网络k团挖掘算法[J]. 计算机科学 2016(05)
    • [15].迅猛发展的大规模网络公开课程[J]. 中国科技术语 2014(06)
    • [16].大规模网络开放课程背景下图书馆支持医院医教研的新模式[J]. 中国药物与临床 2019(05)
    • [17].一种大规模网络数据缓存方法的改进[J]. 西安工程大学学报 2016(04)
    • [18].大规模网络开放课程(MOOC)——Coursera评析[J]. 黑龙江教育(高教研究与评估) 2013(02)
    • [19].“慕课”对我国高职教育发展的启示[J]. 广州化工 2015(15)
    • [20].接受网络教育需要什么样的素质[J]. 教育 2015(39)
    • [21].美国“慕课”供应商面临国际竞争[J]. 世界教育信息 2013(21)
    • [22].大规模网络开放课程(MOOC)典型项目特征分析及启示[J]. 远程教育杂志 2013(04)
    • [23].一种新的大规模网络最短路径的近似算法[J]. 复杂系统与复杂性科学 2008(02)
    • [24].慕课在中医养生学课程教学中的应用[J]. 中国高等医学教育 2016(07)
    • [25].1588技术在大规模网络环境下的应用方式探讨[J]. 电信网技术 2015(07)
    • [26].同步大规模网络课程[J]. 时代英语(高一) 2014(01)
    • [27].多阶段大规模网络攻击下的网络安全态势评估方法研究[J]. 计算机科学 2018(01)
    • [28].大规模网络安全处理分析平台架构设计[J]. 网络空间安全 2018(05)
    • [29].在线学习的大规模网络流量分类研究[J]. 智能系统学报 2016(03)
    • [30].面向大规模网络的超高密度信息存储系统设计[J]. 西安工程大学学报 2016(04)

    标签:;  ;  ;  ;  

    大规模网络中误告警去除和告警聚类方法研究
    下载Doc文档

    猜你喜欢