網(wǎng)絡安全告警的時間序列分析及預測.pdf

1、目前關聯(lián)分析等“后入侵檢測”技術是安全數(shù)據(jù)分析的主要方法,主要包括聚合關聯(lián)、交叉關聯(lián)、多步攻擊關聯(lián)等。然而它們都是從微觀的角度分析安全事件產(chǎn)生告警之間的邏輯關系,要求高質量的告警,而且算法復雜度非常高,當面對大規(guī)模網(wǎng)絡中海量安全數(shù)據(jù)時,根本不能有效地發(fā)現(xiàn)攻擊。
　　基于時間序列理論的關聯(lián)方法能夠分析大規(guī)模網(wǎng)絡中安全數(shù)據(jù)的宏觀行為。根據(jù)正常情況下網(wǎng)絡安全告警數(shù)量的時間序列特點來建立自回歸移動平均(ARMA)模型,該模型能夠對未來正常

2、狀態(tài)下網(wǎng)絡安全告警數(shù)量進行預測,從而達到識別大規(guī)模的網(wǎng)絡惡意活動如DDoS、蠕蟲等的目的。同時在確定告警數(shù)異常后,統(tǒng)計發(fā)生異常的時間區(qū)間內出現(xiàn)最多的Signature、源IP和目的IP等告警屬性,再分別獲取這些屬性的告警在發(fā)生網(wǎng)絡異常之前對應的告警時間序列,通過相關分析,進而確定對應的告警異?；顒拥母婢瘜傩?定位網(wǎng)絡攻擊。
　　實驗平臺建立在中國教育科研網(wǎng)的一個100Mbps接入網(wǎng)上,首先采集相關數(shù)據(jù)作為訓練集,確定建模的時間序列