基于模式挖掘和聚类分析的自适应告警关联

被引：20

作者：

田志宏 ^{[1
,2
]}

张永铮 ^{[2
]}

张伟哲 ^{[1
]}

李洋 ^{[3
]}

叶建伟 ^{[1
]}

机构：

[1] 哈尔滨工业大学计算机科学与技术学院

[2] 中国科学院计算技术研究所信息智能与信息安全中心

[3] 中国移动通信研究院网络所

来源：

计算机研究与发展 | 2009年 / 46卷 / 08期

关键词：

入侵检测; 告警关联; 模式挖掘; 聚类分析; 误报率;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

大部分攻击事件都不是孤立产生的,相互之间存在着某种联系,如冗余关系和因果关系等.大多数入侵检测系统忽略了上述关联性,从而暴露出高误报率的严重问题.在分析比较了目前较为流行的几种告警关联方法的优缺点基础上,提出了一种基于模式挖掘和聚类分析的自适应告警关联模型A3PC.以告警的行为模式概念为中心,A3PC将异常检测思想引入告警关联的问题上,通过提取关联规则和序列模式生成告警的分类模型,对误报进行自动鉴别,同时采用模式挖掘和聚类分析算法相结合的处理思想以及人机交互的半自动处理模式,从而形成真实有效、精简的管理员告警视图.使用MIT Lincoln实验室提供的DARPA入侵检测攻击场景数据集进行了测试,实验分析表明,A3PC较传统方法在告警关联准确程度、实时性和自适应性等方面更具优势.

引用

页码：1304 / 1315

页数：12

共 8 条

[1] 基于权能转换模型的攻击场景推理、假设与预测 [J].

田志宏 ;

张伟哲 ;

张永铮 ;

张宏莉 ;

李洋 ;

姜伟 .

通信学报, 2007, (12) :78-84

[2] 基于频繁模式挖掘的报警关联与分析算法 [J].

董晓梅 ;

于戈 ;

孙晶茹 ;

王丽娜 .

电子学报, 2005, (08) :1356-1359

[3] 一种基于交互式知识发现的入侵事件关联方法研究 [J].

李辉 ;

韩崇昭 ;

郑庆华 ;

昝鑫 .

计算机研究与发展, 2004, (11) :1911-1918

[4] 基于半轮询驱动的网络入侵检测单元的设计与实现 [J].

田志宏 ;

方滨兴 ;

张宏莉 ;

不详 .

通信学报 , 2004, (07) :146-152

[5]

Defending against distributed denial-of-service attacks with anauction-based method[J] . Zhihong Tian,Mingzeng Hu,Bin Li,Bo Liu,Hongli Zhang.Web Intelligence and Agent Systems: An internatio . 2006 (3)

[6]

Techniques and tools for analyzing intrusion alerts[J] . Peng Ning,Yun Cui,Douglas S. Reeves,Dingbang Xu.ACM Transactions on Information and System Security （TISSEC） . 2004 (2)

[7]

The base-rate fallacy and the difficulty of intrusion detection[J] . Stefan Axelsson.ACM Transactions on Information and System Security （TISSEC） . 2000 (3)

[8] A data mining analysis of RTID alarms [J].

Manganaris, S ;

Christensen, M ;

Zerkle, D ;

Hermiz, K .

COMPUTER NETWORKS, 2000, 34 (04) :571-577

← 1 →