基于警报序列聚类的多步攻击模式发现研究

被引：17

作者：

梅海彬 ^{[1
,2
]}

龚俭 ^{[1
]}

张明华 ^{[2
]}

机构：

[1] 东南大学计算机科学与工程学院江苏省计算机网络技术重点实验室

[2] 上海海洋大学信息学院

来源：

通信学报 | 2011年 / 05期

关键词：

入侵检测; 警报关联; 多步攻击; 聚类;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。

引用

页码：63 / 69

页数：7

共 4 条

[1] 基于入侵意图的复合攻击检测和预测算法 [J].

鲍旭华 ;

戴英侠 ;

冯萍慧 ;

朱鹏飞 ;

魏军 .

软件学报, 2005, (12) :2132-2138

[2]

网络多步攻击识别方法研究[D]. 王莉.华中科技大学 2007

[3]

算法设计与分析[M]. 清华大学出版社 , 郑宗汉,郑晓明编著, 2005

[4]

Building scenarios from a heterogeneous alert stream. Oliver Dain,Robert K Cunningham. Proceedings of the 2001 IEEE Workshop on Information Assurance and Security . 2001

← 1 →