CN113422763B - 基于攻击场景构建的报警关联分析方法 - Google Patents

基于攻击场景构建的报警关联分析方法 Download PDF

Info

Publication number
CN113422763B
CN113422763B CN202110667999.5A CN202110667999A CN113422763B CN 113422763 B CN113422763 B CN 113422763B CN 202110667999 A CN202110667999 A CN 202110667999A CN 113422763 B CN113422763 B CN 113422763B
Authority
CN
China
Prior art keywords
alarm
data
alarm data
attack
association
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110667999.5A
Other languages
English (en)
Other versions
CN113422763A (zh
Inventor
陶晓玲
欧阳逸夫
赵峰
顾涛
贾飞
符廉铕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Electronic Technology
Original Assignee
Guilin University of Electronic Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Electronic Technology filed Critical Guilin University of Electronic Technology
Publication of CN113422763A publication Critical patent/CN113422763A/zh
Application granted granted Critical
Publication of CN113422763B publication Critical patent/CN113422763B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

本发明涉及数据处理领域,公开了一种基于攻击场景构建的报警关联分析方法,包括将报警数据融合得到精简数据集;基于动态时间窗口方法对精简数据集进行场景划分;在划分好的场景的基础上,采用因果关联和格兰杰因果检验的报警关联方法对精简数据集进行关联分析,得到关联结果;将关联结果进行可视化表达。通过关联分析来发现攻击事件间隐藏的逻辑关系,进而构建完整的攻击过程以识别其攻击背后的意图,便于安全管理人员及时预防攻击。

Description

基于攻击场景构建的报警关联分析方法
技术领域
本发明涉及数据处理领域,尤其涉及一种基于攻击场景构建的报警关联分析方法。
背景技术
在实际的网络攻击中,绝大部分的攻击行为不是一步到位的,入侵者通常会采用复杂的多个攻击步骤达到入侵目的,而IDS只是针对单个攻击事件产生相应的报警数据,并不能够满足宏观的完整的展示多步攻击的全貌的需求。对于网络安全管理人员来说,不了解完整的攻击过程就很难识别攻击意图并采取相应的防御措施。因此,报警关联分析方法通过对入侵检测系统产生的报警日志进行关联分析,目的是将一次完整攻击背后相关的攻击步骤关联起来,重构攻击场景以识别每个攻击行为背后的意图。
近年来,国内外学者对报警关联方法进行了大量的研究,也取得了一定的研究成果,但目前的报警关联方法的作用还比较单一,仍然存在较多的不足之处:一方面虽然各类方法都可以有效地对报警数据进行关联,但是没有实现较好的关联效率;另一方面大多依赖于先验知识和规则库,致使难以发现新的攻击场景、构建全面的攻击场景的问题。
发明内容
本发明的目的在于提供一种基于攻击场景构建的报警关联分析方法,旨在通过关联分析来发现攻击事件间隐藏的逻辑关系,进而构建完整的攻击过程以识别其攻击背后的意图,便于安全管理人员及时预防攻击。
为实现上述目的,本发明提供了一种基于攻击场景构建的报警关联分析方法,包括将报警数据融合得到精简数据集;
基于动态时间窗口方法对精简数据集进行场景划分;
在划分好的场景的基础上,采用因果关联和格兰杰因果检验的报警关联方法对精简数据集进行关联分析,得到关联结果;
将关联结果进行可视化表达。
其中,所述基于动态时间窗口方法对精简数据集进行场景划分的具体步骤是:
S11对精简数据集按时间先后顺序进行排序;
S12把第一条报警数据作为第一个时间窗口的起点;
S13将第二条报警数据与第一条报警数据进行比较,若它们发生的时间差小于设定的时间窗口阈值,则将第二条报警数据分到第一时间窗口中;若时间差大于时间窗口阈值则结束当前窗口的报警划分,并以当前报警的时间点作为第二时间窗口的起点;
S14将第n条报警数据与第n-1条报警数据进行S13步骤,直至所有数据处理完毕;
S15基于所有时间窗口生成场景。
其中,在步骤S13和步骤S14之间,所述步骤还包括:在当前时间窗口,如果报警数据的数目大于预期数目,则增加时间窗口阈值;如果报警数据的数目小于预期数目,则减小时间窗口阈值。
其中,所述在划分好的场景的基础上,采用因果关联和格兰杰因果检验的报警关联方法来对精简数据集进行关联分析,得到关联结果;的具体步骤是:
依次读取划分好的场景,然后逐个提取场景中的报警数据;
对报警数据判断是否满足直接因果关系,如果满足则采用因果报警关联方法;否则采用GCT报警关联方法。
其中,所述因果报警关联方法的具体步骤是:
S21依照因果关系关联方法,将每个攻击场景中的报警数据按时间的先后顺序排序;
S22将排序序号为k的报警数据与同一攻击场景中第k条报警数据之后的所有报警数据进行匹配,在设置时间阈值内,若第k条报警数据的源IP、目标IP、源端口以及目的端口与同一场景中的序号为i的报警数据的源IP、目标IP、源端口以及目的端口相同,或者第k条报警数据的目标IP、目的端口号与同一场景中的序号为i的报警数据的源IP、源端口号相同,则将这两条报警数据关联起来,输入关联数据集;如果和场景中的所有数据都不匹配,则将报警数据输入未识别集;
S23对排序序号为k+1的报警数据执行步骤S22,直至攻击场景中的数据为空。
其中,所述GCT报警关联方法的具体步骤是:
S31将未识别集中的数据按时间的先后顺序排序;
S32对场景中的序号为j的报警数据,根据GCT关联方法,计算第j条报警数据与同一场景中之后所有报警数据的GCT指数,并且计算第j条报警数据与关联数据集中与它存在时间先后顺序的报警数据之间的GCT指数,如果得到的 GCT指数满足因果关系的阈值范围,则表示这两条报警数据构成因果关系,并将它们关联起来输入关联数据集;否则将其输入孤立报警集;
S33对排序序号为j+1的报警数据执行步骤S32,直至未识别集中的数据为空。
本发明了一种基于攻击场景构建的报警关联分析方法,本文所提方法可以挖掘出新的攻击场景,弥补了现有方法的不足,有效地提高了关联效率,且能构建较为全面的攻击场景。考虑到诸多因素会对攻击发生的时间产生影响,因此报警产生的时间存在着波动性的问题,提出一种采用动态时间窗口的方法来划分场景。通过动态时间窗口,可以使属于同一个攻击过程的各个单步攻击事件尽可能地划分在同一个场景中,有助于提高报警关联效率,还原较为完整的攻击场景。针对现有报警关联方法作用较单一,大多依赖于先验知识而导致难以发现新的攻击模式、关联效果较差的问题,采用两种互补的方法(基于因果关系和GCT的关联方法)对报警进行关联分析,能够更有效地挖掘出存在逻辑联系的报警数据,提高关联效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一种基于攻击场景构建的报警关联分析方法的流程图;
图2是本发明的基于动态时间窗口方法对精简数据集进行场景划分的流程图;
图3是本发明的在划分好的场景的基础上,采用因果关联和格兰杰因果检验的报警关联方法对精简数据集进行关联分析,得到关联结果的流程图;
图4是本发明的因果报警关联方法的流程图;
图5是本发明的GCT报警关联方法的流程图;
图6是本发明的第一攻击图;
图7是本发明的第二攻击图;
图8是本发明的第三攻击图;
图9是本发明的第四攻击图;
图10是本发明的第五攻击图;
图11是本发明的第六攻击图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
请参阅图1~图5,本发明提供一种基于攻击场景构建的报警关联分析方法,包括:
S1将报警数据融合得到精简数据集;
实验采用的是蜜罐数据集和实验室通过搭建真实的入侵检测环境来采集报警数据作为原始数据集。首先对原始报警数据进行预处理。
数据处理流程:
步骤1:首先需要提取报警数据属性,提取的报警属性如表1所示。
表1 报警数据属性
Figure BDA0003118060430000041
Figure BDA0003118060430000051
步骤2:根据入侵检测消息交换格式(IDMEF)将这些不同的报警数据格式转换成统一的格式。
步骤3:经过对报警数据的分析发现,在同一个攻击行为中,入侵检测系统会在一定时间内产生很多冗余报警数据,对这些存在大量冗余的报警数据进行关联分析,会造成大量的重复关联,使得最终构造的攻击过程图十分复杂,不利于网络安全管理人员从中发现攻击者的攻击意图和准确的攻击路径。因此,在数据预处理中增加了减少冗余报警处理。具体过程是以谱聚类算法为基础,利用属性相似度计算方法代替谱聚类中传统的相似度度量方法来计算报警数据之间的相似度;然后再利用改进的谱聚类算法对报警数据进行聚类成簇;最后对同一个簇中的报警数据进行融合处理。
属性相似度度量方法是通过计算报警数据各个属性间的相似度值,并对每个属性赋予不同的权重值,进而通过加权平均计算得到报警间的总体相似度的一种度量方法。
本文从报警属性中选取了攻击类型、源IP、目的IP、源端口、目的端口以及时间这几个较为重要的属性来计算报警之间的相似度。
攻击类型相似度:报警融合的目的是对同一攻击过程中产生的多个相似的原始报警日志进行合并融合以去除冗余报警,并且只有同一个攻击类型的报警日志才能进行融合。因此,通过直接对比两条报警数据的攻击类型是否相同,如果相同,则将其相似度设为1,否则设为0,计算公式如下:
Figure BDA0003118060430000052
IP地址相似度:对于源IP地址、目的IP地址,根据CIDR(无类别域间路由)格式来判断计算它们的相似度。报警数据中的IP属性是由32位二进制数格式呈现的,本文通过比较两个IP地址具有的相同位数来计算IP地址的相似度,其计算公式如下:
Figure BDA0003118060430000053
其中L表示两条报警数据的IP地址从高位开始连续相同的位数个数。如果L 为0,则表示两个IP地址完全不相似;如果L为1,则表示两个IP地址完全一致。
端口相似度:源端口和目的端口都是攻击者进行入侵不可或缺的因素。攻击者入侵目标主机之前,需要从打开的端口中找到系统相关的漏洞信息。每条完整的报警数据都只有一个源端口和目的端口号,因此,直接对端口号进行比较,如果相同,则将其相似度设为1,否则设为0,计算公式如下:
Figure BDA0003118060430000061
时间相似度:报警时间是影响报警相似性的一个非常重要的因素,时间属性是判断报警数据是否能够进行融合的一个前提条件,只有在特定时间阈值内的报警数据才能够进行融合处理。本文采用的时间相似度计算方法如下所示:
Figure BDA0003118060430000062
其中T是定义的时间窗口阈值,表示两条报警数据能够进行融合的最大时间间隔,Tmax-Tmin=T。
计算报警数据攻击类型、IP地址、端口、时间的相似度之后,通过为每个属性设置相应的权重得到报警数据间的总体相似度,两条报警alerti与alertj的总体相似度计算公式如下:
Figure BDA0003118060430000063
其中siml表示报警各个属性的相似度,ωl表示各属性对应的权重。报警数据的各个属性的权重通过主成分分析法来确定。
改进的谱聚类算法的具体流程如下:
利用属性相似度度量方法构建相似度矩阵W;
对相似度矩阵W分别计算度矩阵D和拉普拉斯公式L,并对矩阵L进行规范化处理;
计算矩阵L的特征值,并对特征值进行降序排序,然后取前k个特征值并计算其对应的特征向量;
将前面得到的特征向量作为列向量构成映射矩阵V;
按行对矩阵V进行归一化,得到矩阵U。
使用K-Means或其他传统算法对矩阵U进行聚类,并标记数据所属类别。
根据标记输出得到k个类。
该方法可以在减少融合过程中的信息丢失的同时,又能提高报警数据融合率的情况下,剔除了大量的冗余报警数据,降低了入侵检测系统的误报率,为后续的分析提供了更简洁、更有价值的报警数据。
S2基于动态时间窗口方法对精简数据集进行场景划分;
具体步骤是:
S11对精简数据集按时间先后顺序进行排序;
S12把第一条报警数据作为第一个时间窗口的起点;
把数据集中的第一条报警alert1作为第一个时间窗口的起点。
S13将第二条报警数据与第一条报警数据进行比较,若它们发生的时间差小于设定的时间窗口阈值,则将第二条报警数据分到第一时间窗口中;若时间差大于时间窗口阈值则结束当前窗口的报警划分,并以第二条报警的时间点作为第二时间窗口的起点,重新对报警数据进行划分;
对后续的每一条报警数据,都将后一条报警数据alerti+1和前一条报警数据alerti作比较,若它们发生的时间差小于设定的时间窗口阈值T,则将当前报警 alerti+1分到当前窗口中;反之则结束当前的报警划分,并以当前报警alerti+1的时间点作为新窗口的起点,重新开始新的窗口对报警数据继续进行划分
S14在当前时间窗口,如果报警数据的数目大于预期数目,则增加时间窗口阈值;如果报警数据的数目小于预期数目,则减小时间窗口阈值;
对于一次完整攻击过程来说,一个完整的攻击过程可能会在一个波动的时间窗口内发生,一个完整攻击中的两个单步攻击的时间间隔也会产生波动。因此,想要设置一个固定的时间窗口是具有很大挑战性的。如果设置的时间窗口过小,可能会缺失某个攻击步骤,不能构建完整的攻击场景;如果设置的时间窗口过大,可能会将其他的攻击步骤构建起来。以上两种情况都不利于关联报警和还原完整的攻击场景。因此设置一个判断条件,对报警数据的数目进行判断以灵活调整时间窗口。在某一个时间窗口范围内关联的报警数据比较多,则说明这段时间存在复杂的攻击场景或者存在多个攻击场景,则把这个时间窗口设置得大一点;如果在某一个时间窗口范围内的报警关联数目比较少,则说明这段时间的攻击场景比较小或者攻击场景个数少,可以将窗口设置得小一点。
S15将第n条报警数据与第n-1条报警数据进行S13步骤,直至所有数据处理完毕;
S16基于所有时间窗口生成场景。
S3在划分好的场景的基础上,采用因果关联和格兰杰因果检验的报警关联方法对精简数据集进行关联分析,得到关联结果;
此处采用两种互补的方法对报警进行关联分析。第一,某些报警数据是直接相关的,有着明显的因果关系。因为在多步攻击中,前一步攻击会为下一步攻击做准备,比如,端口扫描之后可能会发生针对已扫描服务端口的缓冲区溢出攻击,而这些攻击产生的报警数据在其属性上呈现出直接的因果联系。对于这些满足直接因果关系的报警数据,采取简单快速的因果报警关联方法对其进行关联分析。第二,对于一些在报警属性上没有满足明显或者直接关系的攻击,但是其攻击步骤仍然具有联系的报警数据,采取基于GCT的关联方法对它们进行关联分析,目的是为了发现先前的基于因果关系方法遗漏的攻击过程,挖掘出更多新的攻击模式。
具体步骤是:
S41依次读取划分好的场景,然后逐个提取场景中的报警数据;
S42对报警数据判断是否满足直接因果关系,如果满足则采用因果报警关联方法;否则采用GCT报警关联方法。
其中,所述因果报警关联方法的具体步骤是:
S21依照因果关系关联方法,将每个攻击场景中的报警数据按时间的先后顺序排序;
S22将排序序号为k的报警数据与同一攻击场景中第k条报警数据之后的所有报警数据进行匹配,在设置时间阈值内,若第k条报警数据的源IP、目标IP、源端口以及目的端口与同一场景中的序号为i的报警数据的源IP、目标IP、源端口以及目的端口相同,或者第k条报警数据的目标IP、目的端口号与同一场景中的序号为i的报警数据的源IP、源端口号相同,则将这两条报警数据关联起来,输入关联数据集;如果和场景中的所有数据都不匹配,则将报警数据输入未识别集;
S23对排序序号为k+1的报警数据执行步骤S22,直至攻击场景中的数据为空。
其中,所述GCT报警关联方法的具体步骤是:
S31将未识别集中的数据按时间的先后顺序排序;
S32对场景中的序号为j的报警数据,根据GCT关联方法,计算第j条报警数据与同一场景中之后所有报警数据的GCT指数,并且计算第j条报警数据与关联数据集中与它存在时间先后顺序的报警数据之间的GCT指数,如果得到的 GCT指数满足因果关系的阈值范围,则表示这两条报警数据构成因果关系,并将它们关联起来输入关联数据集;否则将其输入孤立报警集;
S33对排序序号为j+1的报警数据执行步骤S32,直至未识别集中的数据为空。
S4将关联结果进行可视化表达。
得到关联结果后,利用画图软件graphviz将它们以攻击图的形式可视化出来。
本文提出的基于攻击场景构建的报警关联分析方法,首先通过采用动态时间窗口的思想来划分场景,充分考虑了在实际入侵检测系统中影响报警发生时间的诸多因素问题,使得属于同一个攻击过程的各个单步攻击事件尽可能划分在一个场景中,划分在一个场景中的报警数据更加合理,有利于提升报警关联效率;然后在划分好的场景的基础上,利用GCT关联方法可以挖掘出新的攻击模式的特点与基于因果关系的关联方法来对报警数据进行关联分析,可以发现更多有内在联系的报警数据,提高了报警关联效率,进而构建更为全面的攻击场景,有助于网络安全管理人员正确掌握网络安全状况,并及时做出措施防御攻击,减少攻击带来的损失。
为了验证本文所提方法在报警关联方面的有效性以及构建攻击场景的能力,本文将从两个方面对实验结果进行分析:(1)构建攻击场景并进行分析; (2)对报警关联的效率进行分析。本文通过采用公开的蜜罐数据集和真实环境采集的数据集来进行报警关联分析验证。
构建攻击场景及分析。根据关联分析得到有相关性的报警数据后,使用 graphviz软件来刻画攻击图将攻击场景展示出来。下面给出几个具有代表性的攻击场景图并进行详细分析,在这些攻击场景图中,椭圆代表攻击者的IP地址或者是端口号,长方形代表攻击者发起的攻击。
如图6所示,攻击图一构建了一个较为全面的攻击过程。首先入侵者对网络主机进行扫描来发现状态为“live”的主机,接着对“live”主机进行漏洞扫描。当发现存在漏洞的主机后,进而利用主机自身漏洞对其进行缓冲区溢出攻击以获得并提升主机的权限,最后对主机实施最终攻击。
如图7所示,攻击图二展示了一个攻击者对多个攻击目标发起攻击的过程。攻击者首先对多个攻击目标进行扫描探测寻找存活主机,接着再分别对这些目标主机进行漏洞扫描,从而发现目标的漏洞信息,最后利用漏洞信息提升权限或者发起攻击以达到入侵目的。
如图8所示,攻击图三展示了不同的攻击者针对同一个目标主机发起攻击,然后又以这个主机对不同的攻击目标发起分散式攻击,并利用攻击主机的漏洞提升权限,进行远程攻击以达到窃取文件的目的。
如图9所示,攻击图四是一个分布式的攻击过程,攻击者首先根据不同的端口对不同的目标主机发起了不同的攻击。之后,又以其中的主机为跳板,对网络中的其他主机发动了攻击。
从图10中可以看出,攻击图五描述了一个首先由多个攻击源分布式地针对同一个目标主机发动相同类型的集中式攻击,然后在从这个目标主机出发,以同样的攻击类型又对多个目标发动分散式攻击。
除上述给出的攻击场景外,其他构建的攻击场景的具体过程大多数如图11 所示。攻击图五的左边给出了构成多步攻击的每一步攻击背后的攻击意图,右边展示了一般多步攻击的具体攻击行为过程。黑客或者恶意攻击者通常先通过对网络进行扫描以找到活动的主机,然后对活动的主机进行漏洞扫描,并利用发现的漏洞来获取并提升权限,或者安装木马感染文件,最后实施最终攻击来达到入侵目的。
关联效率分析。本文通过定义关联比例作为验证报警关联有效性的评价指标。关联比例是指存在关联的报警数目与总的报警数目之间的比例。关联比例的计算公式如下所示:
Figure BDA0003118060430000101
本文通过关联比例这个评价指标将本文提出的方法与基于因果知识的攻击场景重构方法、基于相似性的报警关联方法进行对比来说明本文方法的有效性。其对比情况如表1所示。
表1 关联比例对比情况表
Figure BDA0003118060430000111
从表1可以看出,本文采用的方法在两个数据集上的关联比例相比基于单一的因果知识的方法其关联比例都要高出6%左右,相比基于相似性的报警关联方法要高出9%,这说明了:第一,本文提出的基于动态窗口划分的场景能够有效地将一个过程的攻击事件划分在其中;第二,互补的关联方法比单一的关联方法能够更有效地挖掘出存在逻辑联系的报警数据,构建更为全面的攻击场景。也就是说本文提出的基于GCT的关联方法能够发现因果关系的关联中遗漏的攻击场景或者攻击步骤。综上分析可知,本文提出的方法可以有效提高报警关联效率,挖掘出新的攻击模式,并构建更为完整的攻击过程并剔除孤立的报警。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (3)

1.一种基于攻击场景构建的报警关联分析方法,其特征在于,
包括将报警数据融合得到精简数据集;
基于动态时间窗口方法对精简数据集进行场景划分;
在划分好的场景的基础上,采用因果关联和格兰杰因果检验的报警关联方法对精简数据集进行关联分析,得到关联结果的具体步骤是:依次读取划分好的场景,然后逐个提取场景中的报警数据;对报警数据判断是否满足直接因果关系,如果满足则采用因果报警关联方法;否则采用GCT报警关联方法,所述因果报警关联方法的具体步骤是:
S21依照因果关系关联方法,将每个攻击场景中的报警数据按时间的先后顺序排序;
S22将排序序号为k的报警数据与同一攻击场景中第k条报警数据之后的所有报警数据进行匹配,在设置时间阈值内,若第k条报警数据的源IP、目标IP、源端口以及目的端口与同一场景中的序号为i的报警数据的源IP、目标IP、源端口以及目的端口相同,或者第k条报警数据的目标IP、目的端口号与同一场景中的序号为i的报警数据的源IP、源端口号相同,则将这两条报警数据关联起来,输入关联数据集;如果和场景中的所有数据都不匹配,则将报警数据输入未识别集;
S23对排序序号为k+1的报警数据执行步骤S22,直至攻击场景中的数据为空,所述GCT报警关联方法的具体步骤是:
S31将未识别集中的数据按时间的先后顺序排序;
S32对场景中的序号为j的报警数据,根据GCT关联方法,计算第j条报警数据与同一场景中之后所有报警数据的GCT指数,并且计算第j条报警数据与关联数据集中与它存在时间先后顺序的报警数据之间的GCT指数,如果得到的GCT指数满足因果关系的阈值范围,则表示这两条报警数据构成因果关系,并将它们关联起来输入关联数据集;否则将其输入孤立报警集;
S33对排序序号为j+1的报警数据执行步骤S32,直至未识别集中的数据为空;
将关联结果进行可视化表达。
2.如权利要求1所述的一种基于攻击场景构建的报警关联分析方法,其特征在于,
所述基于动态时间窗口方法对精简数据集进行场景划分的具体步骤是:
S11对精简数据集按时间先后顺序进行排序;
S12把第一条报警数据作为第一个时间窗口的起点;
S13将第二条报警数据与第一条报警数据进行比较,若它们发生的时间差小于设定的时间窗口阈值,则将第二条报警数据分到第一时间窗口中;若时间差大于时间窗口阈值则结束当前窗口的报警划分,并以当前报警的时间点作为第二时间窗口的起点;
S14将第n条报警数据与第n-1条报警数据进行S13步骤,直至所有数据处理完毕;
S15基于所有时间窗口生成场景。
3.如权利要求2所述的一种基于攻击场景构建的报警关联分析方法,其特征在于,
在步骤S13和步骤S14之间,所述步骤还包括:在当前时间窗口,如果报警数据的数目大于预期数目,则增加时间窗口阈值;如果报警数据的数目小于预期数目,则减小时间窗口阈值。
CN202110667999.5A 2021-06-04 2021-06-16 基于攻击场景构建的报警关联分析方法 Active CN113422763B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202110624219 2021-06-04
CN2021106242199 2021-06-04

Publications (2)

Publication Number Publication Date
CN113422763A CN113422763A (zh) 2021-09-21
CN113422763B true CN113422763B (zh) 2022-10-25

Family

ID=77788765

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110667999.5A Active CN113422763B (zh) 2021-06-04 2021-06-16 基于攻击场景构建的报警关联分析方法

Country Status (1)

Country Link
CN (1) CN113422763B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024830A (zh) * 2021-11-05 2022-02-08 哈尔滨理工大学 一种基于Grubbs的警报关联方法
CN114726589A (zh) * 2022-03-17 2022-07-08 南京科技职业学院 一种报警数据融合方法
CN115499245B (zh) * 2022-11-16 2023-06-13 广东电网有限责任公司江门供电局 一种基于关联检测的事中实时告警方法和系统
CN116980181B (zh) * 2023-06-21 2024-02-20 江南信安(北京)科技有限公司 一种用于检测关联报警事件的方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110365708A (zh) * 2019-08-05 2019-10-22 山东浪潮人工智能研究院有限公司 一种基于向量自回归模型的交换机数据异常检测方法
CN110731787A (zh) * 2019-09-26 2020-01-31 首都师范大学 一种基于多源数据信息的疲劳状态因果网络方法
CN112101480A (zh) * 2020-09-27 2020-12-18 西安交通大学 一种多变量聚类与融合的时间序列组合预测方法
CN112487048A (zh) * 2020-10-28 2021-03-12 清华大学 基于时间序列异常波动的关联分析方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101697545B (zh) * 2009-10-29 2012-08-08 成都市华为赛门铁克科技有限公司 安全事件关联方法、装置及网络服务器
CN102075516A (zh) * 2010-11-26 2011-05-25 哈尔滨工程大学 一种网络多步攻击识别和预测方法
US20150172096A1 (en) * 2013-12-17 2015-06-18 Microsoft Corporation System alert correlation via deltas
CN107517216B (zh) * 2017-09-08 2020-02-21 瑞达信息安全产业股份有限公司 一种网络安全事件关联方法
CN108616381B (zh) * 2018-02-28 2021-10-15 北京奇艺世纪科技有限公司 一种事件关联报警方法和装置
CN110474885B (zh) * 2019-07-24 2021-10-22 桂林电子科技大学 基于时间序列与ip地址的报警关联分析方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110365708A (zh) * 2019-08-05 2019-10-22 山东浪潮人工智能研究院有限公司 一种基于向量自回归模型的交换机数据异常检测方法
CN110731787A (zh) * 2019-09-26 2020-01-31 首都师范大学 一种基于多源数据信息的疲劳状态因果网络方法
CN112101480A (zh) * 2020-09-27 2020-12-18 西安交通大学 一种多变量聚类与融合的时间序列组合预测方法
CN112487048A (zh) * 2020-10-28 2021-03-12 清华大学 基于时间序列异常波动的关联分析方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
时间序列相关性分析研究;陈刚;《现代信息科技》;20200710(第13期);第1-4页 *

Also Published As

Publication number Publication date
CN113422763A (zh) 2021-09-21

Similar Documents

Publication Publication Date Title
CN113422763B (zh) 基于攻击场景构建的报警关联分析方法
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
US10114934B2 (en) Calculating consecutive matches using parallel computing
CN112333195B (zh) 基于多源日志关联分析的apt攻击场景还原检测方法及系统
CN113420802B (zh) 基于改进谱聚类的报警数据融合方法
US20200145455A1 (en) Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time
Krishnaveni et al. Ensemble approach for network threat detection and classification on cloud computing
Hammad et al. Intrusion detection system using feature selection with clustering and classification machine learning algorithms on the unsw-nb15 dataset
Laurenza et al. Malware triage for early identification of advanced persistent threat activities
CN113064932A (zh) 一种基于数据挖掘的网络态势评估方法
CN111709022B (zh) 基于ap聚类与因果关系的混合报警关联方法
CN113821793A (zh) 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
Nalavade et al. Mining association rules to evade network intrusion in network audit data
Kuppa et al. Finding rats in cats: Detecting stealthy attacks using group anomaly detection
CN117061254B (zh) 异常流量检测方法、装置和计算机设备
CN112287340B (zh) 用于终端攻击的取证溯源方法、装置、计算机设备
Tao et al. A hybrid alarm association method based on AP clustering and causality
CN111191683B (zh) 基于随机森林和贝叶斯网络的网络安全态势评估方法
US20230087309A1 (en) Cyberattack identification in a network environment
CN116938587A (zh) 基于溯源图行为语义提取的威胁检测方法及系统
Fatma et al. A two-stage process based on data mining and optimization to identify false positives and false negatives generated by Intrusion Detection Systems
CN111901137A (zh) 一种利用蜜罐告警日志挖掘多步攻击场景的方法
CN113132414B (zh) 一种多步攻击模式挖掘方法
Amin et al. Ensemble based Effective Intrusion Detection System for Cloud Environment over UNSW-NB15 Dataset

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20210921

Assignee: GUANGXI HAOHUA TECHNOLOGY Co.,Ltd.

Assignor: GUILIN University OF ELECTRONIC TECHNOLOGY

Contract record no.: X2022450000317

Denomination of invention: Alarm correlation analysis method based on attack scenario construction

Granted publication date: 20221025

License type: Common License

Record date: 20221214