一种基于数据挖掘的多步入侵警报关联模型

吉林大学学报(理学版)

一种基于数据挖掘的多步入侵警报关联模型

于潇菂¹, 努尔布力², 胡亮¹, 解男男¹

1. 吉林大学计算机科学与技术学院, 长春 130012； 2. 新疆大学信息科学与工程学院, 乌鲁木齐 830046

收稿日期:2012-08-11 出版日期:2013-09-26 发布日期:2013-09-17
通讯作者: 解男男 E-mail:xienn1113@163.com

An Intrusion Alert Correlation Model Based on Data Mining

YU Xiaodi¹, Nurbol², HU Liang¹, XIE Nannan¹

1. College of Computer Science and Technology, Jilin University, Changchun 130012, China；2. College of Information Science and Engineering, Xin
jiang University, Urumqi 830046, China

Received:2012-08-11 Online:2013-09-26 Published:2013-09-17
Contact: XIE Nannan E-mail:xienn1113@163.com

摘要/Abstract

摘要：

基于传统网络入侵检测系统, 提出一种基于数据挖掘的多步入侵警报关联模型. 该模型能将多个入侵检测系统的警报信息进行融合, 对大量、无序的警报信息进行分析, 发现其中的内在联系, 精简攻击事件警报, 并通过不断更新场景知识库发现融合后警报中的多步入侵行为. 与已有模型进行对比的结果表明, 该模型的关联分析方法及多步入侵知识库的建立有助于更好地结合系统的特征实现多步入侵的警报关联.

关键词: 数据挖掘, 异常检测, 多步入侵, 警报关联模型

Abstract:

According to the researches of traditional network intrusion detection, we proposed a multistep intrusion alert collaborative model based on data mining, by which the alert information of several intrusion detection systems can be integrated so as to find the inner contacts by analysing the massive, disordered alert information, the attack alert can be simplified, and the multistep intrusion in the integrated alert information can be found through the constantly updated knowledge database. Comparison of the model with the existing model shows that the correlation analysis method of this model and the build of the multistep intrusion knowledge base really do help to the combination of the characteristics of different systems so as to realize multistep intrusion alert collaborative researches.

Key words: data mining, anomaly detection, multistep intrusion, alert correlation model

中图分类号:

TP309.2

于潇菂, 努尔布力, 胡亮, 解男男. 一种基于数据挖掘的多步入侵警报关联模型[J]. 吉林大学学报(理学版), 2013, 51(05): 881-886.

YU Xiaodi, Nurbol, HU Liang, XIE Nannan. An Intrusion Alert Correlation Model Based on Data Mining[J]. Journal of Jilin University Science Edition, 2013, 51(05): 881-886.

[1]	姚艳秋. 基于趋势分析的变电站设备异常检测方法[J]. 吉林大学学报(理学版), 2021, 59(3): 649-652.
[2]	金晓民, 张丽萍. 基于最小生成树的多层次k-Means聚类算法及其在数据挖掘中的应用[J]. 吉林大学学报(理学版), 2018, 56(5): 1187-1192.
[3]	冯锋, 张珑耀, 张青. 基于软集上逻辑公式的极大关联规则描述与挖掘方法[J]. 吉林大学学报(理学版), 2018, 56(4): 901-908.
[4]	匡珍春, 冼远清. 基于XML配置框架下多维度扩展贪心算法[J]. 吉林大学学报(理学版), 2018, 56(3): 688-691.
[5]	吴玲云, 秦贵和, 于赫. 基于随机森林的车载CAN总线异常检测方法[J]. 吉林大学学报(理学版), 2018, 56(3): 663-668.
[6]	尚靖博, 左万利. 基于清晰有理数均值的新匹配聚类算法[J]. 吉林大学学报(理学版), 2018, 56(2): 399-401.
[7]	王文霞. 数据挖掘中改进的C4.5决策树分类算法[J]. 吉林大学学报(理学版), 2017, 55(05): 1274-1277.
[8]	周鹏, 熊运余. 基于数据挖掘的网络状态异常检测[J]. 吉林大学学报(理学版), 2017, 55(05): 1269-1273.
[9]	曹莹, 苗志刚. 基于向量矩阵优化频繁项的改进Apriori算法[J]. 吉林大学学报(理学版), 2016, 54(02): 349-353.
[10]	孙金岭, 庞娟. 基于残差修正的灰色神经网络在数据挖掘中的应用[J]. 吉林大学学报(理学版), 2015, 53(06): 1263-1268.
[11]	虞强源, 范世超, 金承业. 基于小波树的电容型设备异常检测方法[J]. 吉林大学学报(理学版), 2015, 53(06): 1275-1281.
[12]	郭其标, 李秉键. 基于最小信息准则和BP算法的网络入侵检测[J]. 吉林大学学报(理学版), 2015, 53(04): 715-719.
[13]	徐淑坦, 王朝勇, 孙延风. 一种不均衡数据的改进蚁群分类算法[J]. J4, 2011, 49(04): 733-739.
[14]	胡亮, 金刚, 于漫, 任斐, 任维武. 基于异常检测的入侵检测技术[J]. J4, 2009, 47(6): 1264-1270.
[15]	董立岩, 李真, 阎鹏飞. 基于贝叶斯分类器的重大危险源辨识[J]. J4, 2009, 47(4): 795-799.