基于数据挖掘及攻击图的告警综合关联研究

计算机网络作为现代社会最重要的信息交互平台,其规模、复杂程度早已与二十年前的大型机时代不可同日而语。然而,网络技术的发展使得网络安全管理面临着前所未有的挑战,其中如何分析和处理海量的网络安全告警已经成为管理员的梦魇之一。 告警关联研究的主要目的是将入侵检测系统产生的安全告警中包含的简单重复信息过滤,同时将存在关联的告警聚合起来,产生更加精简的告警信息。换言之,就是把庞杂、无序的告警流转换为紧凑、结构化、易于理解的攻击场景。这样的告警分析和关联处理可以极大地降低告警信息的冗余度,揭示告警之间的内在逻辑关系,从而提高入侵检测系统和安全管理人员的工作效率。 目前,已有多种模型和理论被应用于网络安全告警关联。其中,有学者尝试将数据挖掘技术应用于告警关联分析,通过提取关联规则从统计角度分析告警并发现新的入侵模式,取得了不错的效果。此外,网络攻击图由于能够简洁、完备地记录攻击者入侵步骤之间的依存关系,被认为是关联知识的理想载体,也在告警关联分析中取得了很好的应用。本文对以上两种告警关联分析方法分别进行了研究,并提出了改进措施。在数据挖掘方面,本文提出在WINEPI算法基础上将告警进一步根据IP进行分类,同时把时间窗改为事件窗,形成告警序列并对其进行关联规则挖掘,得到基于数据挖掘的告警关联度。在攻击图方面,本文提出一种面向对象的攻击图构建方法,以解决大规模网络环境下的攻击图构建问题。同时,利用构建得到的攻击图,可以容易地通过分析攻击路径或攻击图距计算告警之间关联度。 在上述改进基础上,本文利用D-S证据理论,提出一种基于数据挖掘及网络攻击图的告警综合关联方法。该方法将通过上述两种方法计算得到的告警关联度视作支持特定两条告警是否可以关联的证据置信度,因此可利用证据理论的证据合并规则计算告警的综合关联度(即证据合并以后的置信度),以此作为最终判断两条告警能否进行关联的依据。 最后,本文采用美国麻省理工学院林肯实验室发布的DARPA 2000数据集LLDOS1.0进行了方法验证。