吉林大学学报(工学版) ›› 2015, Vol. 45 ›› Issue (3): 899-906.doi: 10.13229/j.cnki.jdxbgxb201503031

• • 上一篇    下一篇

基于数据挖掘和本体的入侵警报关联模型

任维武, 胡亮, 赵阔   

  1. 吉林大学 计算机科学与技术学院,长春 130022
  • 收稿日期:2013-08-21 出版日期:2015-05-01 发布日期:2015-05-01
  • 通讯作者: 胡亮(1968-),男,教授,博士生导师.研究方向:信息安全,云计算,物联网.E-mail:hul@jlu.edu.cn E-mail:Renww339@163.com
  • 作者简介:任维武(1983-),男,博士研究生.研究方向:入侵检测,数据挖掘,本体.
  • 基金资助:
    国家自然科学基金项目(60873235); 新世纪杰出人才项目(NCET-06-0300); 吉林省科技发展计划项目(20080318)

Intrusion alert correlation model based on data mining and ontology

REN Wei-wu, HU Liang, ZHAO Kuo   

  1. College of Computer Science and Technology, Jilin University,Changchun 130022,China
  • Received:2013-08-21 Online:2015-05-01 Published:2015-05-01

摘要: 为了突破入侵检测领域的原有瓶颈,提出了一种新的基于数据挖掘和本体的入侵警报关联模型。该模型通过对底层警报的聚类和分类,发现并且筛选攻击,然后根据已建立的基于本体的攻击知识模型,对这些攻击进行关联,以达到识别、跟踪和预测多步攻击的目的。通过对KDD Cup1999 和DARPA 2000数据集的模拟实验,验证了模型的有效性。

关键词: 计算机工程, 入侵检测, 入侵警报关联, 数据挖掘, 本体

Abstract: With the gradual development of network application fields, the attack patterns have reached their delicacy and multi-steps from the coarse and simplistic pattern in their early days. In order to redeem the flaws of intrusion detection technology, an intrusion alert correlation model based on data mining and ontology (IACMDO) is proposed. IACMDO deals with underlayer alert through cluster and classification, and builds attack knowledge model by ontology, realizing the detection, tracing and predicting against multi-steps attack. The performance of traditional IDS is upgraded through simulations of KDD Cup 1999 and DAPRA 2000 datasets, which verifies the efficiency of the proposed alert correlation model.

Key words: computer engineering, intrusion detection, intrusion alert correlation, data mining, ontology

中图分类号: 

  • TP309.5
[1] Valdes A,Skinner K. Probabilistic alert correlation[J]. Lecture Notes in Computer Science, 2001,2212:54-68.
[2] Dain O, Cunningham R K. Fusing a heterogeneous alert stream Into scenarios[J]. Advances in Information Security,2002,6:103-122.
[3] Debar H,Wespi A. Aggregation and correlation of intrusion detection alerts[J]. Lecture Notes in Computer Science,2001,2212:85-103.
[4] Cuppens F, Miège A. Alert correlation in a cooperative intrusion detection framework[DB/OL].[2013-06-23].http://wenku.baidu.com/view/b1ae3af6f61fb7360b4c6569.html.
[5] Ning Peng,Cui Yun,Reeves D S. Analyzing intensive intrusion alerts via correlation[J]. Lecture Notes in Computer Science,2002,2516:74-94.
[6] 诸葛建伟,徐辉,潘爱民. 基于面向对象方法的攻击知识模型[J]. 计算机研究与发展,2004,41(7):1111-1116.
Zhuge Jian-wei, Xu Hui, Pan Ai-min. An attack knowledge model based on object-oriented technology[J]. Journal of Computer Research and Development, 2004, 41(7):1110-1116.
[7] Undercofffer J, Joshi A, Pinkston J. Modeling computer attacks: an ontology for instrusion detection[J]. Lecture Notes in Computer Science,2003,2820:113-135.
[8] Li Wan, Tian Sheng-feng. An ontology-based intrusion alerts correlation system[J]. Expert Systems with Applications,2010,37(10):7138-7146.
[9] 胡亮,任维武,任斐,等. 基于改进密度聚类的异常检测算法[J]. 吉林大学学报:理学版,2009,47(5):954-960.
Hu Liang, Ren Wei-wu, Ren Fei, et al. Anomaly detection algorithm based on improved destiny clustering[J]. Journal of Jilin University (Science Edition),2009,47(5):954-960.
[10] Pinkston J,Undercoffer J,Joshi A. A target-centric ontology for intrusion detection[C]∥18th International Joint Conference on Artificial Intelligence, Acapulco,Mexico,2004:9-15.
[11] Burbeck K, Nadjm-Tehrani S. ADWICE-anomaly detection with real-time incremental clustering[DB/OL].[2013-06-27].http://wenku.baidu.com/view/a22228edaeaad1f346933ff1.html.
[1] 黄岚, 纪林影, 姚刚, 翟睿峰, 白天. 面向误诊提示的疾病-症状语义网构建[J]. 吉林大学学报(工学版), 2018, 48(3): 859-865.
[2] 邓剑勋, 熊忠阳, 邓欣. 基于谱聚类矩阵的改进DNALA算法[J]. 吉林大学学报(工学版), 2018, 48(3): 903-908.
[3] 王铁君, 王维兰. 基于Jena的唐卡领域本体推理[J]. 吉林大学学报(工学版), 2016, 46(6): 2059-2066.
[4] 梁云虹, 任露泉. 人类生活及其仿生学初探[J]. 吉林大学学报(工学版), 2016, 46(4): 1373-1384.
[5] 王亮, 胡琨元, 库涛, 吴俊伟. 随机采样移动轨迹时空热点区域发现及模式挖掘[J]. 吉林大学学报(工学版), 2015, 45(3): 913-920.
[6] 王俊华,左万利,彭涛. 面向文本的本体学习方法[J]. 吉林大学学报(工学版), 2015, 45(1): 236-244.
[7] 欧阳丹彤, 苏静, 叶育鑫, 崔仙姬. 基于模型诊断的本体调试局部定位[J]. 吉林大学学报(工学版), 2014, 44(6): 1757-1763.
[8] 罗智勇, 尤波, 许家忠, 梁勇. 基于三层攻击图的入侵意图自动识别模型[J]. 吉林大学学报(工学版), 2014, 44(5): 1392-1397.
[9] 牛晓霞1, 吴艳霞1, 朱若平2, 顾国昌1, 刘海波1. 基于多种硬件实现方式探索的软硬件划分算法[J]. 吉林大学学报(工学版), 2014, 44(4): 1088-1093.
[10] 刘淑芬, 孟冬雪, 王晓燕. 的DBSCAN算法[J]. 吉林大学学报(工学版), 2014, 44(4): 1135-1139.
[11] 刘兆军, 赵浩宇, 王婧, 李雄飞, 李巍. 考虑层数信息的XML文档聚类方法[J]. 吉林大学学报(工学版), 2014, 44(01): 124-128.
[12] 刘大有, 杨建宁, 杨博, 赵学华, 金弟. 基于环路紧密度的复杂网络社区挖掘方法[J]. 吉林大学学报(工学版), 2013, 43(01): 98-105.
[13] 白天, 冀进朝, 何加亮, 周春光. 混合属性数据聚类的新方法[J]. 吉林大学学报(工学版), 2013, 43(01): 130-134.
[14] 张君维, 杨静, 张健沛, 张乐君. 基于滑动窗口的敏感关联规则隐藏[J]. 吉林大学学报(工学版), 2013, 43(01): 172-178.
[15] 王建林, 杨印生, 王学玲. 基于可拓数据挖掘的黄河三角洲土地利用评价[J]. 吉林大学学报(工学版), 2012, 42(增刊1): 479-483.
Viewed
Full text


Abstract

Cited

  Shared   
  Discussed   
No Suggested Reading articles found!