網(wǎng)絡安全事件聚合與關聯(lián)分析技術研究.pdf

1、伴隨著計算機網(wǎng)絡的廣泛應用以及信息技術的逐步提高,保障網(wǎng)絡信息系統(tǒng)的安全變得尤為重要。雖然人們曾嘗試著使用入侵檢測系統(tǒng)和防火墻等技術來發(fā)現(xiàn)和抵御攻擊者的入侵行為,然而,目前的大部分安全設備不僅會產(chǎn)生海量的重復報警,同時也難以提供不同報警之間的相關性,而現(xiàn)有的報警聚合關聯(lián)分析技術又存在著準確率以及效率方面偏低等缺陷,針對上述問題,本文在國內(nèi)外有關報警聚合及關聯(lián)分析研究的基礎上,進行了以下的創(chuàng)新工作:
　　 首先,本文選取網(wǎng)絡報警聚

2、合算法作為研究對象,提出了一種基于迭代自組織的報警聚合方法(Iterative Self-Organizing Data Analysis Techniques Algorithm,ISODATA)。ISODATA算法與K-均值算法有相似之處,即聚類中心的位置同樣是通過樣本均值的迭代運算決定。不同的是,這種算法在運算的過程中聚類中心的數(shù)目不是固定不變的,而是反復進行修改。其實質(zhì)是用某種算法生成初始類別作為“種子”,依據(jù)某個判別規(guī)則進行自

3、動迭代聚類的過程。在兩次迭代過程之間對上一次迭代的聚類結果進行統(tǒng)計分析,根據(jù)統(tǒng)計參數(shù)對已有類別進行取消、分裂、合并處理,并繼續(xù)進行下一次迭代,直至超過最大迭代次數(shù)或者達到分類參數(shù)設定的閾值,進而完成全部的分類過程。最后通過實驗驗證了該聚合算法的可行性以及準確性。
　　 此外,本文還在原有的因果關聯(lián)方法的基礎上,對其進行了部分改進,提出了一種基于逆序的報警關聯(lián)方法。該方法首先根據(jù)各單步攻擊的攻擊意圖進行分類,然后從攻擊意圖的最后一