场景重构和报警融合的异常数据分析

1、场景重构和报警融合的异常数据分析 1相关工作 通过异常数据的分析可以将入侵者的攻击流程直观的展示给人们。异常数据分析技术主要包括场景重构和报警融合。场景重构解决了传统入侵检测中存在着较高误报率和漏报率的问题，报警融合将大量的低级报警进行融合，确保攻击场景的完整性。han等设计了基于关联规则的入侵检测算法，通过对频繁子集的挖掘，成功检测出了已知攻击的变种。赵宁等人提出了基于流程化攻击场景重构技术，采用不同的关联模型对来源不同的报警进行关联，重构入侵者的入侵场景。daisuke提出了一种基于日志分析方法，通过对计算机网络日志进行分析，构建攻击者的攻击场景。h.achi把计算机网络安全的一些技术应用

2、到入侵检测，得出攻击者的网络攻击流程。 2异常数据分析方法 本文提出的基于场景重构和报警融合的异常数据分析方法，其主要思路是：首先去除攻击失败的报警；然后反向关联，减少场景重构中一些不必要的数据；最后对一些孤立报警进行必要的补充，来保证场景图的完整性。对报警进行精简与合并，此项工作主要由以下两个步骤完成：对具有重复关系的报警进行合并；删除攻击失败的报警。通过寻找各个攻击步骤之间存在的因果关系，将那些大量的、离散的报警合并成同一攻击的不同攻击阶段。本文所使用的算法是在文章的基础上添加了时间约束条件，即两条报警能进行关联的前提是这两条报警的时间差在一定范围之内。对于某一个入侵场景，首先找到该场景中

3、报警类型级别比较高且时间靠后的五条报警，就从这些报警开始向前补充，将这些报警补充完后，判断此场景是否完整，若该场景图还存在遗漏，需要再进行一次遗漏报警的补充，直至场景图相对最完整。 3实验结果及分析 上一节介绍了基于场景重构和报警融合的异常数据分析方法的具体流程，在本小节中，主要是将此方法得到的实验结果进行分析，验证本文所提出方法的必要性与可行性。1）报警融合步骤的必要性报警融合的主要目的是去除原始报警中冗余的报警，通过多次的实验，结果表明了在对报警信息进行关联分析时，必须要采取报警融合技术。2）基于异常数据进行入侵检测的可行性通过上面的实验，可以看出，通过报警融合确实减少了报警数量，但去掉的

4、这些报警是否会影响场景图的完整性，下面对其进行分析。通过上图可以很清晰的看出攻击者的主要攻击步骤，即首先通过主机进行端口扫描，然后通过asp注入，添加超级用户，然后通过该用户对该网站进行操作管理，最后入侵网站成功。实际检测出的攻击场景图由图中虚线表示，即成功关联出了具有关联关系的报警信息，进行mssql注入时，会通过pangolin在主机增加一个用户，然后将此用户加入到管理员分组，提升此用户的权限，通过本文设计的系统进行关联时，将此步骤关联出来了。由此可以看出，本文的方法很大程度上避免了漏报，证明了该方法在可行性方面是没问题的。 4结论 在攻击场景重构中，报警融合能有效的抽象出不同主机的行为，场景重构对每台主机可以实现攻击场景的重现。本文把这两者结合起来，提出了基于场景重构和报警融合的异常数据分析技术，先进行场景重构再进行报警融合，既保证了攻击场景图的全面性又保证了准确性，有利于从宏观上了解攻击者的攻击动机和过程。在下一步工作中，将对提出的算法进行进一