一種基于多源報(bào)警日志安全事件特征分析的去冗余方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種基于多源報(bào)警日志安全事件特征分析的去冗余方法,屬于信息安 全技術(shù)領(lǐng)域���。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)威脅的多樣化和復(fù)雜化����,單一功能的網(wǎng)絡(luò)安全產(chǎn)品不能保證信息系統(tǒng)的 安全�����。因此����,我們?cè)诰W(wǎng)絡(luò)中安裝了防火墻,入侵檢測(cè)系統(tǒng)�,身份認(rèn)證系統(tǒng)等安全產(chǎn)品��。這些 安全產(chǎn)品提升了系統(tǒng)安全等級(jí)的同時(shí)也帶來(lái)了新的問(wèn)題:不同安全產(chǎn)品產(chǎn)生的多源異構(gòu)海 量安全事件存在大量冗余��,數(shù)據(jù)難以被高效處理分析����。
[0003] 報(bào)警聚合的方法可有效減少報(bào)警數(shù)量��,使得攻擊事件可以更清晰的呈現(xiàn)���。基于報(bào) 警屬性的相似度算法是一種常用的聚合算法�����,通過(guò)計(jì)算結(jié)果和期望閾值的比較�,決定報(bào)警 事件去冗余。VALDE A等設(shè)計(jì)的系統(tǒng)中��,提出了通用的報(bào)警屬性包括源IP、目的IP、源端口��、 目的端口和報(bào)警時(shí)間;晏少華等引入時(shí)間間隔系數(shù)描述報(bào)警的時(shí)間特征����;通過(guò)將報(bào)警數(shù)據(jù) 屬性分為時(shí)間約束屬性和相似度約束屬性���,提出了一種利用動(dòng)態(tài)時(shí)間閾值約束的相似報(bào)警 數(shù)據(jù)聚合方法��;DEBAR H等提出方案的算法中包括了屬性相似度算法,但是只考慮完全匹配 的屬性�����,也沒(méi)有考慮時(shí)間屬性�����;JULISCH K等提出的屬性分類(lèi)法對(duì)IP和端口進(jìn)行分類(lèi)�����,并將 所有屬性值分為四大類(lèi)�,但沒(méi)有討論具體算法。現(xiàn)有的去冗余方案�����,還存在以下缺點(diǎn):
[0004] 1.選擇用來(lái)比較的屬性過(guò)于分散���,且部分方案未考慮報(bào)警時(shí)間屬性����,無(wú)法有效聚 合報(bào)警�;
[0005] 2.不同類(lèi)型的報(bào)警包含針對(duì)性信息,使用相同的算法和閾值進(jìn)行報(bào)警聚合����,可能 會(huì)誤刪報(bào)警����;
[0006] 3.特定類(lèi)型報(bào)警對(duì)某些特定屬性有較強(qiáng)的依賴(lài)性�,比如DOS類(lèi)型和目標(biāo)IP端口, 現(xiàn)有方案中���,極少會(huì)考慮根據(jù)屬性依賴(lài)性調(diào)整相似度計(jì)算的權(quán)重分配問(wèn)題�。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明所要解決的技術(shù)問(wèn)題就是提供一種基于多源報(bào)警日志安全事件特征分析 的去冗余方法����,可準(zhǔn)確提高對(duì)海量報(bào)警安全事件冗余的判斷,可用于網(wǎng)絡(luò)安全事件分析引 擎�,實(shí)現(xiàn)對(duì)海量報(bào)警安全日志的高效處理。
[0008] 為解決技術(shù)問(wèn)題���,本發(fā)明采用如下技術(shù)方案:
[0009] -種基于多源報(bào)警日志安全事件特征分析的去冗余方法�,其步驟依次包括:
[0010] (1)離散化報(bào)警日志屬性�;
[0011] (2)動(dòng)態(tài)分配報(bào)警事件屬性權(quán)值�����;
[0012] (3)計(jì)算報(bào)警安全事件相似度�;
[0013] (4)判斷報(bào)警安全事件是否冗余��。
[0014] 優(yōu)選的�����,所述步驟(1)依次包括:
[0015] (I. 1)屬性定義:定義 C 為條件屬性����,包括 src_ip��,dst_ip�,src_port��,dst_port�����, sid���,分別記為條件屬性值C1 (i = 1�����,2, 3,4, 5);定義D為決策屬性�,包括Scan,Dos����,U2R,R2L����, Mi sc,UE六種類(lèi)別���;
[0016] (1. 2)樣本空間分類(lèi):將樣本空間按照Scan�����,Dos�,U2R���,R2L����,Misc,UE分為六類(lèi)��,分 別記為決策屬性類(lèi)Dj (j = 1����,2, 3,4, 5,6);
[0017] (1.3)區(qū)間構(gòu)建:根據(jù)條件屬性值C1Q = 1��,2,3,4,5)分別對(duì)每類(lèi)Dj進(jìn)行由大到 小進(jìn)行排序�����,若樣本集中所有樣本的C值都不相同��,可構(gòu)造 C的η個(gè)不同的初始區(qū)間��,記為 I1, 12��,......���,In���,其中����,η為樣本個(gè)數(shù)�;
[0018] (1. 4)計(jì)算合并相鄰區(qū)間時(shí)的信息損耗量Infor_Loss :信息損耗值Infor_Loss的 計(jì)算方法如下:
[0019] Infor_Loss = E(I) - E(IP+1, Ip+2, ......�����,Ip+m) 公式 I
[0020] 其中�,E⑴表示合并其中m個(gè)區(qū)間后的信息熵,E(IP+1�,Ip+2,……�,I pJ表示合并 其中m個(gè)區(qū)間前的信息熵;
[0021] (1. 5)確定區(qū)間樣本���,實(shí)現(xiàn)條件屬性離散化:合并區(qū)間的規(guī)則如下:設(shè)定一閾值, 當(dāng)信息損耗值Infor_Loss小于該閾值時(shí)�����,則接受該區(qū)間的合并;若信息損耗值Infor_Loss 大于該閾值時(shí)���,則放棄此次區(qū)間合并����;如此得到一個(gè)合理的區(qū)間樣本��,實(shí)現(xiàn)條件屬性C的離 散化��。
[0022] 優(yōu)選的����,所述步驟(2)依次包括:
[0023] (2. 1)計(jì)算條件屬性值C1對(duì)決策屬性D的重要程度〇 D(C1):屬性重要程度計(jì)算公 式如下:
[0025] 其中,h(D)表示決策屬性D對(duì)條件屬性C的依賴(lài)程度���,γ"φ)表示決策屬性D 對(duì)條件屬性值C1的依賴(lài)程度�;
[0026] (2. 2)屬性權(quán)值化處理:處理公式如下:
[0028] 其中�,對(duì)于每一個(gè)條件屬性值C1����,得到屬性i的權(quán)值α 1<3
[0029] 優(yōu)選的���,所述步驟(3)中報(bào)警安全事件相似度Vsini的計(jì)算公式為:
[0031] 其中���,S1表示第i種屬性的相似度����。
[0032] 優(yōu)選的����,所述步驟(4)中,判斷報(bào)警安全事件是否冗余:若報(bào)警安全事件相似度 VSin/J�����、于閾值a�����,則判斷為否�;否則,則判斷為是����;其中,閾值a的計(jì)算方法如下:多個(gè)樣本區(qū) 間中每一個(gè)條件屬性值C1和決策屬性類(lèi)D j的報(bào)警安全事件相似度V Sini組成一個(gè)收斂數(shù)列 IVsJ�,該數(shù)列收斂于a�,即為閾值��。
[0033] 與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下有益效果:
[0034] 本發(fā)明基于數(shù)據(jù)采集框架�����,融合多源報(bào)警安全信息�,離散化報(bào)警日志屬性,利用信 息量化技術(shù)�����,形成有效的日志特征分析架構(gòu)��,保證數(shù)據(jù)信息量�;并通過(guò)自主學(xué)習(xí)確定屬性權(quán) 重,可準(zhǔn)確提高對(duì)海量報(bào)警安全事件冗余的判斷�����,可用于網(wǎng)絡(luò)安全事件分析引擎���,實(shí)現(xiàn)對(duì)海 量報(bào)警安全日志的高效處理���。
【附圖說(shuō)明】
[0035] 下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明作進(jìn)一步描述:
[0036] 圖1為本發(fā)明一種基于多源報(bào)警日志安全事件特征分析的去冗余方法實(shí)施例1的 流程圖;
[0037] 圖2為本發(fā)明實(shí)施例1中實(shí)現(xiàn)報(bào)警日志屬性離散化的流程圖�����;
[0038] 圖3為本發(fā)明實(shí)施例1中實(shí)現(xiàn)動(dòng)態(tài)分配報(bào)警事件屬性的流程圖���。
【具體實(shí)施方式】
[0039] 如圖1至3所示��,為本發(fā)明一種基于多源報(bào)警日志安全事件特征分析的去冗余方 法實(shí)施例1��,其步驟依次包括:
[0040] (1)離散化報(bào)警日志屬性�����;如圖2所示��,具體包括以下步驟:
[0041] (I. 1)屬性定義:定義 C 為條件屬性��,包括 src_ip�,dst_ip�,src_port,dst_port�, sid�,分別記為條件屬性值C1 (i = 1��,2, 3,4, 5);定義D為決策屬性��,包括Scan�,Dos,U2R����,R2L, Mi sc����,UE六種類(lèi)別;
[0042] (1. 2)樣本空間分類(lèi):將樣本空間按照Scan�,Dos,U2R�����,R2L�����,Misc,UE分為六類(lèi)���,分 別記為決策屬性類(lèi)Dj (j = 1���,2, 3,4, 5,6);
[0043] (1.3)區(qū)間構(gòu)建:根據(jù)條件屬性值C1Q = 1,2, 3,4, 5)����,以C11為例���,分別對(duì)每類(lèi)D j 進(jìn)行由大到小進(jìn)行排序�,若樣本集中所有樣本的C值都不相同���,可構(gòu)造 C的η個(gè)不同的初始 區(qū)間��,記為[0,1000)�,[1000,2000)�,......,[64535,65535);
[0044] (1. 4)計(jì)算合并相鄰區(qū)間時(shí)的信息損耗量Infor_Loss :信息損耗值Infor_Loss的 計(jì)算方法如下:
[0045] Infor_Loss = E(I) - E(IP+1, Ip+2, ......����,Ip+m) 公式 I
[0046] 其中,E⑴表示合并其中m個(gè)區(qū)間后的信息熵�����,E(IP+1,Ip+2�����,……�����,Ι ρ+Π1)表示合并 其中m個(gè)區(qū)間前的信息熵�����;
[0047] 以區(qū)間[0,1000)���,[1000, 2000)為例�,代入公式1中�����,合并時(shí)的損耗量為4. 33����。
[0048] (1. 5)確定區(qū)間樣本���,實(shí)現(xiàn)條件屬性離散化:合并區(qū)