多步攻击告警关联模型构建与实现

doi:10.3724/SP.J.1087.2011.01276

计算机应用 ›› 2011, Vol. 31 ›› Issue (05): 1276-1279.DOI: 10.3724/SP.J.1087.2011.01276

多步攻击告警关联模型构建与实现

翟光群,周双银

郑州大学信息工程学院,郑州450001

收稿日期:2010-11-02 修回日期:2011-01-02 发布日期:2011-05-01 出版日期:2011-05-01
通讯作者: 周双银
作者简介:翟光群(1952-),男,河南伊川人,副教授,CCF会员,主要研究方向:网络安全、计算机控制与测量;周双银(1980-),男,河南南阳人,硕士研究生,主要研究方向:网络安全。
基金资助:
河南省重点科技攻关项目(0423020300)。

Construction and implementation of multistep attacks alert correlation model

ZHAI Guang-qun, ZHOU Shuang-yin

School of Information Engineering, Zhengzhou University, Zhengzhou Henan 450001, China

Received:2010-11-02 Revised:2011-01-02 Online:2011-05-01 Published:2011-05-01
Contact: ZHOU ShuangYin

摘要/Abstract

摘要： 为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。

关键词: 入侵检测, 报警信息, 多步攻击, 事件关联, 超报警

Abstract: To reduce the number of alerts in Intrusion Detection System (IDS) and uncover attack purposes and motivations, a new alert correlation model was proposed, in which alerts with similarity relationship were correlated by event correlation and stored as meta-alerts, then transformed into hyper-alerts according to the knowledge base rules, and finally hyper-alerts with casual relationship were correlated by attack correlation and an attack correlation graph was formed. The experimental results show that the model raises alert processing efficiency and contributes to attack purposes identification and alert accuracy improvement.

Key words: intrusion detection, alert information, multistep attack, event correlation, hyper alert

翟光群周双银. 多步攻击告警关联模型构建与实现[J]. 计算机应用, 2011, 31(05): 1276-1279.

ZHAI Guang-qun ZHOU Shuang-yin. Construction and implementation of multistep attacks alert correlation model[J]. Journal of Computer Applications, 2011, 31(05): 1276-1279.

[1]	张师鹏, 李永忠, 杜祥通. 基于半监督学习和三支决策的入侵检测模型[J]. 计算机应用, 2021, 41(9): 2602-2608.
[2]	王月, 江逸茗, 兰巨龙. 基于改进三元组网络和K近邻算法的入侵检测[J]. 计算机应用, 2021, 41(7): 1996-2002.
[3]	王垚, 孙国梓. 基于聚类和实例硬度的入侵检测过采样方法[J]. 计算机应用, 2021, 41(6): 1709-1714.
[4]	张全龙, 王怀彬. 基于膨胀卷积和门控循环单元组合的入侵检测模型[J]. 计算机应用, 2021, 41(5): 1372-1377.
[5]	任晓奎, 刘鹏飞, 陶志勇, 刘影, 白立春. 基于单快拍信号到达角估计算法的室内入侵检测[J]. 计算机应用, 2021, 41(4): 1153-1159.
[6]	程小辉, 牛童, 汪彦君. 基于序列模型的无线传感网入侵检测系统[J]. 计算机应用, 2020, 40(6): 1680-1684.
[7]	欧彬利, 钟夏汝, 代建华, 杨田. 基于变精度覆盖粗糙集的入侵检测方法[J]. 计算机应用, 2020, 40(12): 3465-3470.
[8]	李中伟, 谭凯, 关亚东, 姜文淇, 叶麟. 车载CAN总线脱离攻击及其入侵检测算法[J]. 计算机应用, 2020, 40(11): 3224-3228.
[9]	池亚平, 莫崇维, 杨垠坦, 陈纯霞. 面向软件定义网络架构的入侵检测模型设计与实现[J]. 计算机应用, 2020, 40(1): 116-122.
[10]	杨宏宇, 王峰岩. 基于改进卷积神经网络的网络入侵检测模型[J]. 计算机应用, 2019, 39(9): 2604-2610.
[11]	曹卫东, 许志香. 高效的半监督多层次入侵检测算法[J]. 计算机应用, 2019, 39(7): 1979-1984.
[12]	潘建国, 李豪. 基于实用拜占庭容错的物联网入侵检测方法[J]. 计算机应用, 2019, 39(6): 1742-1746.
[13]	郭旭东, 李小敏, 敬如雪, 高玉琢. 基于改进的稀疏去噪自编码器的入侵检测[J]. 计算机应用, 2019, 39(3): 769-773.
[14]	胡健, 苏永东, 黄文载, 肖鹏, 刘玉婷, 杨本富. 基于互信息加权集成迁移学习的入侵检测方法[J]. 计算机应用, 2019, 39(11): 3310-3315.
[15]	沈学利, 覃淑娟. 基于SMOTE和深度信念网络的异常检测[J]. 计算机应用, 2018, 38(7): 1941-1945.

多步攻击告警关联模型构建与实现

Construction and implementation of multistep attacks alert correlation model

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics