论文部分内容阅读
随着互联网络的广泛应用,网络攻击技术和攻击工具在近几年也飞速进步,使得网络安全的形势同益严峻。入侵检测技术是现代网络安全模型中的重要环节,然而现有的入侵检测系统往往只提供给安全管理员大量低层的报警信息,不能表示报警所对应的单个攻击行为之间可能存在的联系,使得重要的攻击过程所引起的一系列相互关联的报警信息被混杂在大量的报警数据中。这就迫切需要对低级报警信息进行关联,建立高层的攻击场景,即从大量报警信息中分析出攻击者实施攻击的行为过程,使得安全管理员能够更好地了解网络中的攻击行为,采取更加有效的应对策略。
本文首先对现有的各类报警关联分析方法进行了详细的分析研究,比较了它们各自的优点和不足之处,并提出了一种改进的基于数据挖掘技术的报警关联方法。这种方法的创新之处是设计和定义了报警关联度的新概念,用来量化表示报警之间可能存在的关联关系。关联度可以利用数据挖掘技术动念挖掘和更新,并通过相应的先验安全知识修正和维护。最后利用报警之间的关联度来完成报警关联、攻击场景重构等工作。
基于本文提出的方法,我们开发出相应的报警关联分析工具,并对实验数据集进行了测试。实验结果较好的证明了本文提出的报警关联分析方法的合理性和有效性。