一种基于马尔可夫性质的因果知识挖掘方法

doi:10.7544/issn1000-1239.2014.20130854

计算机研究与发展 ›› 2014, Vol. 51 ›› Issue (11): 2493-2504.doi: 10.7544/issn1000-1239.2014.20130854

一种基于马尔可夫性质的因果知识挖掘方法

冯学伟,王东霞,黄敏桓,李津

(北京系统工程研究所信息系统安全技术重点实验室北京 100101) (brafum@yeah.net)

出版日期: 2014-11-01
基金资助:
基金项目：国家自然科学基金项目(61271252)

A Mining Approach for Causal Knowledge in Alert Correlating Based on the Markov Property

Feng Xuewei, Wang Dongxia, Huang Minhuan, Li Jin

(National Key Laboratory of Science and Technology on Information System Security, Beijing Institute of System Engineering, Beijing 100101)

Online: 2014-11-01

摘要/Abstract

摘要： 攻击者对网络目标设施的渗透破坏过程往往是渐进的，通过执行多个攻击步骤实现最终目的，如何掌握攻击活动的全貌、重建攻击场景是网络安全态势感知等诸多研究领域面临的主要难题之一.基于因果知识的告警关联分析是复杂事件处理(complex event processing, CEP)技术的主要方法之一，它为识别多步攻击过程、重建攻击场景提供了较好的技术途径.针对告警关联分析中因果知识难以自动获得这一问题，提出了一种基于马尔可夫性质的因果知识挖掘方法.该方法利用马尔可夫链模型对因果知识进行建模，以真实网络中的原始告警流为数据源：首先通过对地址相关的告警事件进行聚类，得到相关性类簇；然后再基于马尔可夫链的无后效性，挖掘各个类簇中不同攻击类型间的一步转移概率矩阵，得到因果知识，并对具有重复步骤的因果知识进行匹配融合，构建因果知识库；最后对所提出的因果知识挖掘方法进行了实验验证和对比分析.结果表明，该方法是可行的.

关键词: 入侵检测, 告警关联, 因果知识, 数据挖掘, 攻击场景

Abstract: The processes of attackers exploiting target network facilities are always gradual in cyberspace, and multiple attack steps would be performed in order to achieve the ultimate goal. How to form the complete picture of attacks or identify the attack scenarios is one of the main challenges in many research fields, such as cyberspace security situation awareness. Alerts correlation analysis based on causal knowledge is one of the main methods of the CEP (complex event processing) technology, which is a promising way to identify the multi-step attack process and reconstruct attack scenarios. Current researches suffer from the problem of defining causal knowledge manually. In order to solve this problem, a causal knowledge mining method based on the Markov property is proposed in this paper. Firstly, the raw alert streams are clustered by address to produce alert cluster sets; then the one step transition probability matrix between different attack types in each cluster set is mined based on the Markov property, and the knowledge with the same steps is fused; finally the knowledge base is created. The experimental results show that this method is feasible.

Key words: intrusion detection, alert correlation, causal knowledge, data mining, attack scenario

中图分类号:

TP393.08

冯学伟,王东霞,黄敏桓,李津. 一种基于马尔可夫性质的因果知识挖掘方法[J]. 计算机研究与发展, 2014, 51(11): 2493-2504.

Feng Xuewei, Wang Dongxia, Huang Minhuan, Li Jin. A Mining Approach for Causal Knowledge in Alert Correlating Based on the Markov Property[J]. Journal of Computer Research and Development, 2014, 51(11): 2493-2504.

	作者相关文章
	冯学伟
	王东霞
	黄敏桓
	李津

[1]	吴宗友, 白昆龙, 杨林蕊, 王仪琦, 田英杰. 电子病历文本挖掘研究综述[J]. 计算机研究与发展, 2021, 58(3): 513-527.
[2]	陶涛, 孙玉娥, 陈冬梅, 杨文建, 黄河, 罗永龙. 一种基于智能手机传感器数据的地图轮廓生成方法[J]. 计算机研究与发展, 2020, 57(7): 1490-1507.
[3]	周文, 张世琨, 丁勇, 陈曦. 面向低维工控网数据集的对抗样本攻击分析[J]. 计算机研究与发展, 2020, 57(4): 736-745.
[4]	王婷, 王娜, 崔运鹏, 李欢. 基于半监督学习的无线网络攻击行为检测优化方法[J]. 计算机研究与发展, 2020, 57(4): 791-802.
[5]	陈叶旺, 申莲莲, 钟才明, 王田, 陈谊, 杜吉祥. 密度峰值聚类算法综述[J]. 计算机研究与发展, 2020, 57(2): 378-394.
[6]	田继伟,王劲松,石凯. 基于PU与生成对抗网络的POI定位算法[J]. 计算机研究与发展, 2019, 56(9): 1843-1850.
[7]	刘芳,李戈,胡星,金芝. 基于深度学习的程序理解研究进展[J]. 计算机研究与发展, 2019, 56(8): 1605-1620.
[8]	洪敏,贾彩燕,李亚芳,于剑. 样本加权的多视图聚类算法[J]. 计算机研究与发展, 2019, 56(8): 1677-1685.
[9]	赵宇海,印莹,李源,汪嗣尧,王国仁. 一种面向大规模序列数据的交互特征并行挖掘算法[J]. 计算机研究与发展, 2019, 56(5): 992-1006.
[10]	任家东,刘新倩,王倩,何海涛,赵小林. 基于KNN离群点检测和随机森林的多层入侵检测方法[J]. 计算机研究与发展, 2019, 56(3): 566-575.
[11]	石乐义,朱红强,刘祎豪,刘佳. 基于相关信息熵和CNN-BiLSTM的工业控制系统入侵检测[J]. 计算机研究与发展, 2019, 56(11): 2330-2338.
[12]	韩东明,郭方舟,潘嘉铖,郑文庭,陈为. 面向时序数据异常检测的可视分析综述[J]. 计算机研究与发展, 2018, 55(9): 1843-1852.
[13]	王一舒,袁野,刘萌,王国仁. 大规模时序图数据的查询处理与挖掘技术综述[J]. 计算机研究与发展, 2018, 55(9): 1889-1902.
[14]	朝鲁，彭晓晖，徐志伟. 变熵画像:一种数量级压缩物端数据的多粒度信息模型[J]. 计算机研究与发展, 2018, 55(8): 1653-1666.
[15]	李建江,陈玮,李明,张凯,刘雅俊. 基于网格热度值的船舶规律路径提取算法[J]. 计算机研究与发展, 2018, 55(5): 908-919.

一种基于马尔可夫性质的因果知识挖掘方法

A Mining Approach for Causal Knowledge in Alert Correlating Based on the Markov Property

RichHTML

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价