题目:网络安全事件关联分析研究
报告人:秦丹一
如今计算机网络每时每刻都会产生大量的安全事件 , 一般攻击通常就分散在这些事件之中。一次入侵事件往往需要多个步骤才能完成 , 这些步骤都是彼此相关的。关联分析技术将不同分析器上产生的报警进行融合与关联分析 , 减少了报警的数量 , 降低了误报率、漏报率。
本次汇报首先介绍了什么是网络安全事件,什么是IDS系统,为什么要利用数据关联分析来分析告警数据,然后简单介绍了目前该领域面临的困难,然后引出网络安全事件关联分析系统的组成。
接下来对于报警聚合的目的以及经典算法:概率相似度算法,进行了介绍;然后对多步攻击关联分析的目的以及经典算法:基于先决条件的关联分析、基于机器学习-大数据挖掘方法进行介绍,其中对于关联规则算法Apriori进行十分详细的讲述以及应用举例。
最后对比分析这些方法,发现存在依赖专家知识库,规则更新困难,需要人工干预,不是太适合进行网络安全事件数据等缺点得出未来方向:应对提高网络安全事件关联分析的自动化程度,减少人工干预;对规则的更新优化进行研究。并思考了结合神经网络和遗传编程算法的模型作为未来研究方向。
老师意见要点:
① 对于数据的来源以及数据的预处理要做更详细的研究工作,思考挑战在什么地方;
② 在将经典的机器学习算法应用到网安领域时应当思考本领域特殊性,对算法做出改进来更好的适应。
相关资料:
[1] Valdes and K. Skinner. Probabilistic alert correlation. in: Proceedings of the 4th International Symposium on Recent Advances in Intrusion Detection (RAID 2001). Davis, CA, USA. 2001. London, UK: Springer, 2001. 2212/2001:54~68.
[2] 潘安群, 李芝棠, 雷杰. 一种基于树形规则的网络安全事件关联分析方法. 2006年中国教育科研网学术年会, 2006 年 10 月.
[3] P. Ning, Y. Cui and D. S. Reeves, et al. Techniques and tools for analyzing intrusion alerts. ACM Transactions on Information and System Security (TISSEC), 2004, 7:274~318.
[4] T. Pietraszek and A. Tanner. Data mining and machine learning-Towards reducing false positives in intrusion detection. Information Security Technical Report, 2005, 10:169~83.
