亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于模糊場景的關(guān)鍵ip地址安全報(bào)警關(guān)聯(lián)分析方法

文檔序號:9711349閱讀:492來源:國知局
一種基于模糊場景的關(guān)鍵ip地址安全報(bào)警關(guān)聯(lián)分析方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于安全報(bào)警關(guān)聯(lián)分析方法技術(shù)領(lǐng)域,具體的說是涉及一種基于模糊場景 的關(guān)鍵IP地址安全報(bào)警關(guān)聯(lián)分析方法。
【背景技術(shù)】
[0002] 計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)中時刻有諸如網(wǎng)絡(luò)連接、發(fā)送數(shù)據(jù)包和瀏覽網(wǎng)頁等行為發(fā)生, 這些行為可以被安全設(shè)備監(jiān)測并記錄。在這些行為當(dāng)中,某些行為可能會影響計(jì)算機(jī)與網(wǎng) 絡(luò)系統(tǒng)的安全,我們把這種行為定義為安全事件。在安全監(jiān)控系統(tǒng)中,安全事件的最終表現(xiàn) 形式是安全工具產(chǎn)生的報(bào)警信息和日志信息,當(dāng)安全工具檢測到所感興趣的行為時會產(chǎn)生 安全報(bào)警。在監(jiān)控系統(tǒng)中往往存在大量重復(fù)報(bào)警和誤報(bào)警,導(dǎo)致安全數(shù)據(jù)量過于龐大,增加 了數(shù)據(jù)分析的難度。而且多個安全報(bào)警之間是存在相關(guān)性的,比如一個攻擊行為可能隱藏 于多個安全報(bào)警之中,其邏輯復(fù)雜性和時間跨度都較大,如果缺乏有效的關(guān)聯(lián)分析機(jī)制則 難以發(fā)現(xiàn)。為了挖掘不同報(bào)警之間的關(guān)聯(lián)性、重現(xiàn)攻擊場景以及發(fā)現(xiàn)真實(shí)安全事件,安全事 件關(guān)聯(lián)分析技術(shù)應(yīng)運(yùn)而生,目前國內(nèi)外已經(jīng)在關(guān)聯(lián)分析技術(shù)上做了很多研究。關(guān)聯(lián)分析技 術(shù)可以通過信息的聚合與關(guān)聯(lián),能夠處理同構(gòu)及異構(gòu)網(wǎng)絡(luò)安全報(bào)警,大量減少報(bào)警數(shù)量,重 建攻擊場景,有效降低誤報(bào)率、重報(bào)率和漏報(bào)率?,F(xiàn)有技術(shù)中已有的技術(shù)實(shí)現(xiàn)方案主要有三 種:
[0003] 1、基于攻擊場景的關(guān)聯(lián)分析:
[0004] 基于攻擊場景關(guān)聯(lián)算法是最早用于報(bào)警事件關(guān)聯(lián)分析研究的一種方法,通過機(jī)器 學(xué)習(xí)或人類專家來得到各種攻擊場景,將這些攻擊場景作為模板輸入到系統(tǒng)中去,然后系 統(tǒng)就可以將新的報(bào)警同這些攻擊場景模板相比較,進(jìn)行實(shí)時關(guān)聯(lián)。關(guān)聯(lián)過程需要的先驗(yàn)知 識表現(xiàn)為攻擊場景模板,其形式一般為:e = ei op e2〇p,ei,op ej。其中ei為報(bào)警事件,op代 表為了說明ei和ej之間關(guān)系的運(yùn)算符,在整個事件序列e中,隱含著不同報(bào)警事件發(fā)生的一 個時序關(guān)系,即ei+Ι是ei的后繼。不同研究成果中,為了有效表示攻擊場景模板,采用了不 同的形式,攻擊場景模板形式的不同也導(dǎo)致了不同的關(guān)聯(lián)算法。
[0005] 例如利用ASL語言來完成兩個功能:(1)將安全報(bào)警看作一個實(shí)體,并描述不同的 攻擊所產(chǎn)生的報(bào)警信息的內(nèi)部信息;(2)描述攻擊過程中安全報(bào)警和安全報(bào)警之間的關(guān)系。 被ASL語言描述的攻擊場景模板形式上表現(xiàn)為一個有向圖,有向圖的生成方式如下:圖的每 一個節(jié)點(diǎn)代表一種類型的安全報(bào)警,從代表報(bào)警ei的節(jié)點(diǎn)到代表報(bào)警的節(jié)點(diǎn)ej的有向邊表 示存在一個攻擊場景模板,在該模板內(nèi)部,報(bào)警ej是ei的后繼。則報(bào)警關(guān)聯(lián)算法就演化為一 個沿著圖的根節(jié)點(diǎn)(沒有輸入邊的節(jié)點(diǎn))進(jìn)行模式匹配的過程,在匹配的過程中,本節(jié)點(diǎn)的 匹配進(jìn)行以前,必須保證其所有前驅(qū)節(jié)點(diǎn)的匹配工作已經(jīng)被完成?;趫鼍暗年P(guān)聯(lián)分析方 法的關(guān)鍵問題是如何獲得攻擊場景,從而得到這些關(guān)聯(lián)規(guī)則。根據(jù)人類專家知識或數(shù)據(jù)挖 掘方法獲得合適的聚合與關(guān)聯(lián)模板,既可以實(shí)現(xiàn)聚合也可以實(shí)現(xiàn)關(guān)聯(lián),實(shí)時性好,有利于在 此基礎(chǔ)上進(jìn)行深入的報(bào)警處理。
[0006] 該方法的缺點(diǎn)是需要專家知識,且更新困難。由訓(xùn)練數(shù)據(jù)集學(xué)習(xí)得到的攻擊場景 是此類方法的一個重要發(fā)展方向,但由于各方面的不確定性很難獲得合適的訓(xùn)練集,同時 存在過學(xué)習(xí)問題,不能處理在訓(xùn)練集中未出現(xiàn)的攻擊場景模式。另外,這種模板匹配方法的 抗噪能力較差。
[0007] 2、基于安全事件前因后果的關(guān)聯(lián)分析:
[0008] 基于安全事件前因后果的關(guān)聯(lián)方法是針對攻擊者發(fā)動攻擊的前因和后果設(shè)計(jì) 的,其基本思想是:尋找一個攻擊行為A發(fā)起的先決條件和攻擊行為B的攻擊結(jié)果之間是否 存在邏輯關(guān)系,如果存在,則A和B就可能是系列攻擊的兩個環(huán)節(jié),可以關(guān)聯(lián)為B->A。在該關(guān) 聯(lián)方法中,安全知識一般表示為三元組:(Attack,Prerequisites,Consequences),其中 Attack代表攻擊動作名,Prerequisites代表攻擊發(fā)生的前提條件,而Consequences代表攻 擊發(fā)生后給整個系統(tǒng)所造成的影響。該關(guān)聯(lián)方法的總體思想就是用攻擊Btt 1發(fā)生后的后續(xù) 結(jié)果和攻擊atk發(fā)生的前提條件去進(jìn)行匹配,如果能夠全部或部分匹配,則表明攻擊attjP atk是具有因果聯(lián)系的,從而可完成兩者之間的關(guān)聯(lián)工作?;诎踩录耙蚝蠊氖录?關(guān)聯(lián)方法是現(xiàn)在研究最多的一種關(guān)聯(lián)方法。
[0009] 基于安全事件前因后果的關(guān)聯(lián)方法的優(yōu)勢是,由于只指出單獨(dú)攻擊的前因后果, 不必事先知道整個攻擊過程,所以不必手工產(chǎn)生大量的關(guān)聯(lián)規(guī)則,只要指出一個已知攻擊 的前提條件和可能造成的后果就足夠了。同時,這種方法還可以識別和報(bào)告不同攻擊組合 形成的新攻擊過程。
[0010] 該方法的缺點(diǎn)是不能處理新攻擊類型(不知道其前因、后果),且只適用于具有明 顯攻擊步驟的關(guān)聯(lián)。實(shí)驗(yàn)證明,這種方法可以比較好的發(fā)現(xiàn)報(bào)警之間的因果關(guān)聯(lián)關(guān)系,但關(guān) 聯(lián)的效果依賴于知識庫的制定,新的攻擊層出不窮,提前定義一套系統(tǒng)的、完善的前因后果 知識庫不太可行,并且對于每個安全事件都要進(jìn)行前因與后果的關(guān)聯(lián)分析,以及歸屬決策, 需要耗費(fèi)大量的計(jì)算機(jī)資源,不利于實(shí)時在線處理。
[0011] 3、基于相似概率的關(guān)聯(lián)分析:
[0012] 基于近似度函數(shù)的關(guān)聯(lián)算法主要通過把報(bào)警事件定義為一個實(shí)體,形成描述單個 報(bào)警事件內(nèi)容的向量,然后通過定義的計(jì)算事件el和與關(guān)聯(lián)隊(duì)列中e2之間相似性函數(shù)來 計(jì)算他們之間的近似度,如果當(dāng)前發(fā)生的報(bào)警事件其與已發(fā)生的報(bào)警事件之間的近似度大 于預(yù)定義的閾值,則其與近似度比較大的事件實(shí)體完成關(guān)聯(lián),否則,則創(chuàng)建新的關(guān)聯(lián)隊(duì)列來 容納事件el,并將其作為該隊(duì)列的首事件。
[0013] 通常認(rèn)為相關(guān)報(bào)警具有一定的屬性相似性,此假設(shè)可以從實(shí)際攻擊過程的分析中 可以得到驗(yàn)證?;谙嗨聘怕实年P(guān)聯(lián)其實(shí)是基于屬性相似度的關(guān)聯(lián),通過合適的函數(shù)來計(jì) 算報(bào)警之間的屬性相似度,然后根據(jù)屬性相似度來決定是否對兩種報(bào)警進(jìn)行關(guān)聯(lián),比如當(dāng) 屬性相似度超過一定的閾值時就可以認(rèn)為這兩種報(bào)警存在關(guān)聯(lián)。在計(jì)算中有兩個關(guān)鍵點(diǎn), 屬性集的選取以及各屬性相似度函數(shù)的選擇。屬性集需要從安全事件中獲得,主要包括傳 感器標(biāo)識、攻擊類別、攻擊源和目標(biāo)地址、攻擊時間等。各屬性相似度函數(shù)根據(jù)特征各有不 同,這需要具有一定的安全報(bào)警專家知識。一些學(xué)者對報(bào)警相似概率的計(jì)算上進(jìn)行了有益 的研究。通過精心選定相似度標(biāo)準(zhǔn)、權(quán)重系數(shù)等參數(shù),可以較好地處理報(bào)警泛濫問題,且算 法實(shí)時性好。
[0014] 該方法的缺點(diǎn)是方法本身對攻擊不理解,不能有效關(guān)聯(lián)報(bào)警間的時序關(guān)系和因果 關(guān)系,難以識別復(fù)雜的攻擊場景,且屬性相似度的計(jì)算以及權(quán)重分配很大程度上依賴于領(lǐng) 域知識,移植性不好。
[0015] 雖然以上三種分析方法均具有一定分析效果,但也都或多或少地存在一些缺點(diǎn)和 不足?,F(xiàn)急需在對主流關(guān)聯(lián)分析方法進(jìn)行研究總結(jié)的基礎(chǔ)上,結(jié)合煙草行業(yè)監(jiān)控系統(tǒng)的實(shí) 際情況,提出的一種基于模糊場景的關(guān)聯(lián)分析方法。

【發(fā)明內(nèi)容】

[0016] 本發(fā)明就是要解決現(xiàn)有技術(shù)中
當(dāng)前第1頁1 2 3 4 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1