場景重構和報警融合的異常數(shù)據(jù)分析論文

　　1相關工作

　　通過異常數(shù)據(jù)的分析可以將入侵者的攻擊流程直觀的展示給人們。異常數(shù)據(jù)分析技術主要包括場景重構和報警融合。場景重構解決了傳統(tǒng)入侵檢測中存在著較高誤報率和漏報率的問題，報警融合將大量的低級報警進行融合，確保攻擊場景的完整性。Han等設計了基于關聯(lián)規(guī)則的入侵檢測算法，通過對頻繁子集的挖掘，成功檢測出了已知攻擊的變種。趙寧等人提出了基于流程化攻擊場景重構技術，采用不同的關聯(lián)模型對來源不同的報警進行關聯(lián)，重構入侵者的入侵場景。Daisuke提出了一種基于日志分析方法，通過對計算機網絡日志進行分析，構建攻擊者的攻擊場景。H.Achi把計算機網絡安全的一些技術應用到入侵檢測，得出攻擊者的網絡攻擊流程。

　　2異常數(shù)據(jù)分析方法

　　本文提出的基于場景重構和報警融合的異常數(shù)據(jù)分析方法，其主要思路是：首先去除攻擊失敗的報警；然后反向關聯(lián)，減少場景重構中一些不必要的數(shù)據(jù)；最后對一些孤立報警進行必要的補充，來保證場景圖的完整性。對報警進行精簡與合并，此項工作主要由以下兩個步驟完成：對具有重復關系的報警進行合并；刪除攻擊失敗的報警。通過尋找各個攻擊步驟之間存在的因果關系，將那些大量的、離散的報警合并成同一攻擊的不同攻擊階段。本文所使用的算法是在文章的基礎上添加了時間約束條件，即兩條報警能進行關聯(lián)的前提是這兩條報警的時間差在一定范圍之內。對于某一個入侵場景，首先找到該場景中報警類型級別比較高且時間靠后的五條報警，就從這些報警開始向前補充，將這些報警補充完后，判斷此場景是否完整，若該場景圖還存在遺漏，需要再進行一次遺漏報警的補充，直至場景圖相對最完整。

　　3實驗結果及分析

　　上一節(jié)介紹了基于場景重構和報警融合的異常數(shù)據(jù)分析方法的具體流程，在本小節(jié)中，主要是將此方法得到的實驗結果進行分析，驗證本文所提出方法的必要性與可行性。1）報警融合步驟的必要性報警融合的主要目的是去除原始報警中冗余的報警，通過多次的實驗，結果表明了在對報警信息進行關聯(lián)分析時，必須要采取報警融合技術。2）基于異常數(shù)據(jù)進行入侵檢測的可行性通過上面的實驗，可以看出，通過報警融合確實減少了報警數(shù)量，但去掉的這些報警是否會影響場景圖的完整性，下面對其進行分析。通過上圖可以很清晰的看出攻擊者的主要攻擊步驟，即首先通過主機進行端口掃描，然后通過asp注入，添加超級用戶，然后通過該用戶對該網站進行操作管理，最后入侵網站成功。實際檢測出的攻擊場景圖由圖中虛線表示，即成功關聯(lián)出了具有關聯(lián)關系的報警信息，進行MSSQL注入時，會通過pangolin在主機增加一個用戶，然后將此用戶加入到管理員分組，提升此用戶的權限，通過本文設計的系統(tǒng)進行關聯(lián)時，將此步驟關聯(lián)出來了。由此可以看出，本文的方法很大程度上避免了漏報，證明了該方法在可行性方面是沒問題的。

　　4結論

　　在攻擊場景重構中，報警融合能有效的抽象出不同主機的行為，場景重構對每臺主機可以實現(xiàn)攻擊場景的重現(xiàn)。本文把這兩者結合起來，提出了基于場景重構和報警融合的異常數(shù)據(jù)分析技術，先進行場景重構再進行報警融合，既保證了攻擊場景圖的全面性又保證了準確性，有利于從宏觀上了解攻擊者的攻擊動機和過程。在下一步工作中，將對提出的算法進行進一步的優(yōu)化，并對入侵知識庫進行完善。

【場景重構和報警融合的異常數(shù)據(jù)分析論文】相關文章：

沖擊波異常數(shù)據(jù)的分析04-28

遙感影像數(shù)據(jù)融合方法的比較和分析-以開封地區(qū)SPOT影像數(shù)據(jù)為例04-29

使用MODIS和MOPITT衛(wèi)星數(shù)據(jù)監(jiān)測震前異常04-29

多波束測深的異常數(shù)據(jù)編輯技術和實現(xiàn)05-02

多波束測深的異常數(shù)據(jù)編輯技術和實現(xiàn)04-30

多波束測深的異常數(shù)據(jù)編輯技術和實現(xiàn)04-27

異常數(shù)據(jù)的檢測方法05-01

祛魅與重構 論文05-01

癲癇EEG信號相空間重構參數(shù)的計算和分析04-27

汽車車模覆蓋件逆向工程中數(shù)據(jù)重構和優(yōu)化04-30