《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 基于關聯規則的網絡異常檢測系統設計與實現
基于關聯規則的網絡異常檢測系統設計與實現
2020年信息技術與網絡安全第11期
劉金龍1,劉 鵬1,裴 帥2,田 沖2
1.海軍參謀部,北京100841;2.信息產業信息安全測評中心,北京100083
摘要: 入侵檢測技術是網絡安全防御的核心技術之一。由于網絡承載的帶寬流量日益增多,入侵檢測系統需要提供快速的檢測能力。Snort入侵檢測系統依靠將抓取的數據與規則匹配來判斷是否受到攻擊,因此規則的好壞決定了系統性能的高低。結合數據挖掘技術,設計實現一種基于關聯規則的關聯分析器插件來增強Snort對入侵的識別能力。首先利用Apriori對Snort產生的告警日志進行數據挖掘,搜索隱藏的攻擊模式;然后,將關聯規則轉化為相應的Snort規則。最后,利用SYN Flood攻擊測試規則增強的Snort系統的性能,結果表明,改進后的Snort能夠提高對SYN Flood攻擊的檢測效率。
中圖分類號: TP393
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.11.003
引用格式: 劉金龍,劉鵬,裴帥,等. 基于關聯規則的網絡異常檢測系統設計與實現[J].信息技術與網絡安全,2020,39(11):14-22.
Design and implementation of network anomaly detection system based on association rules
Liu Jinlong1,Liu Peng1,Pei Shuai2,Tian Chong2
1.Naval Staff,Beijing 100841,China; 2.Information Technology & Security Test and Evaluation Center,Beijing 100083,China
Abstract: Intrusion detection technology is one of the core technologies of network security defense. Due to the increasing network bandwidth traffic, intrusion detection systems need to provide rapid detection capabilities. The Snort intrusion detection system relies on matching the captured data with rules to determine whether the system is under attack, so the quality of the rules determines the performance of the system. This paper combines data mining technology to design and implement an association analyzer plug-in unit based on association rules to enhance Snort to identify intrusions. At first, Apriori is used to mine the alarm logs generated by Snort and search the hidden attack patterns; Furthermore, the association rules are converted into corresponding Snort rules. Finally, the performance of the Snort system is enhanced by using SYN Flood attack test rules. The results show that the improved Snort can improve the detection efficiency of SYN Flood attacks.
Key words : intrusion detection;Snort;association rules;Apriori;SYN Flood

0 引言

    入侵檢測作為一種重要的網絡安全防護技術,由ANDERSON J P[1]在1980年首次提出,經過幾十年的發展,在入侵檢測系統模型構建[2]、檢測數據集獲取[3]、檢測方法創新[4-6]等方面取得了豐碩的成果,已廣泛應用于物聯網[7]和智慧城市[8]等多種應用場景。然而隨著網絡承載帶寬流量日益增多,人工分析海量告警日志信息已難以滿足日常需求,開發基于數據挖掘的入侵檢測系統逐漸成為主流[9]。入侵檢測系統的基本原理就是將獲取的數據經過處理后,與之前設好的規則進行匹配,從而判斷是否為攻擊或入侵[10-11]。根據入侵檢測的原理,系統需要獲取足夠多的數據,才能更準確地判斷是否為攻擊或入侵。

    為了能夠更有效處理網絡中大規模的安全數據,學者們開始研究數據挖掘技術,王洋等[12]利用貝葉斯攻擊圖模型從大規模流量中識別異常告警,通過告警關聯識別攻擊者的意圖。李祉岐等[13]對現有告警融合和關聯分析方法進行了綜合分析,提出了基于告警關聯的入侵檢測體系架構以及應用準則。胡浩等[14]利用吸收Markov鏈模擬攻擊者的入侵行為,解決了用攻擊圖對攻擊路徑進行仿真時存在的狀態爆炸問題,有效提升入侵路徑識別的精度。

    Snort是美國Sourcefire公司發布的開源入侵檢測軟件,提供規范化的接口便于用戶對Snort進行擴充與改進,因此研究人員選擇在Snort基礎上進行研發或對其進行進一步的功能擴充,以實現從大量日志信息中,快速、有效找到網絡流規律及數據信息之間的聯系,發現異常的網絡數據流的特征信息,提升漏告警和誤告警場景中的檢測完備性。告警關聯規則挖掘是入侵檢測的重點環節之一,HU H[15]等認為同一攻擊過程中的各個攻擊步驟以較高的概率在一個時間窗口內發生,因而同一攻擊過程產生的告警在統計上具有相似性,因此提出了基于統計時序的告警關聯方法,通過計算告警序列之間的因果關聯指數來判斷告警是否具有關聯關系。上述方法不依賴領域知識,但存在計算量大、參數配置復雜等不足。

    針對上述問題,本文以Snort為基礎,設計實現了能夠從大量日志信息中發現網絡中攻擊與入侵數據流間隱藏關系的入侵檢測系統。本文提出的方法能有效融合告警信息,識別入侵過程,幫助管理人員掌握網絡安全狀況,輔助指導風險評估和入侵響應等后續過程。




本文詳細內容請下載:http://www.viuna.cn/resource/share/2000003057




作者信息:

劉金龍1,劉  鵬1,裴  帥2,田  沖2

(1.海軍參謀部,北京100841;2.信息產業信息安全測評中心,北京100083)

此內容為AET網站原創,未經授權禁止轉載。
主站蜘蛛池模板: 亚洲国产成a人v在线 | se94se在线看片secom | 国产精品香蕉在线一区 | 免费看黄的视频网站 | 国久久| 97精品伊人久久久大香线蕉 | 欧美色成人tv在线播放 | 亚洲国产影视 | 天天夜夜狠狠一区二区三区 | 成人抖音视频 | 日韩免费在线视频 | 97天天摸天天碰天天爽 | 亚洲无线一二三四区 | 网站色 | 免费一级a毛片在线播放视 免费一级a毛片在线播出 | 欧美母乳 | 草的爽免费视频 | 欧美很黄视频在线观看 | 又黄又www | 国产欧美亚洲精品第一页久久肉 | 狠狠色狠狠色综合久久第一次 | 91免费永久国产在线观看 | 亚洲综合第一欧美日韩中文 | 亚洲黄色激情视频 | 日韩在线一区二区三区免费视频 | 亚洲国产伦理 | 天天se天天cao | 人人艹在线 | 国产精品偷伦视频免费观看的 | 影音先锋国产资源 | 久久激情影院 | 成人午夜免费在线观看 | 交在线观看网站视频 | 欧美成人亚洲国产精品 | 精品欧美一区二区三区 | 欧美色穴 | 亚洲激情久久 | 国产亚洲欧洲日韩综合v | 欧洲妇女成人淫片aaa视频 | 三级www| 人人揉人人添人人捏人人看 |