• 不 限
  • 期刊论文
  • 硕博论文
  • 会议论文
  • 报 纸
  • 英文论文
  2. 您的位置
  3. 首页
  4. 会议论文
  5. 基于告警属性相似度聚类的攻击场景关联规则挖掘方法研究

基于告警属性相似度聚类的攻击场景关联规则挖掘方法研究

来源 :第十二届中国可信计算与信息安全学术会议 | 被引量 : 0次 | 上传用户:caocao0121
【摘 要】
复杂网络攻击往往都不是攻击者一步完成的,而是有计划、有目的、有步骤实施。挖掘攻击者的多步攻击模式,重构攻击场景有助于安全管理员深入理解攻击者入侵行为与过程,掌握攻击全貌。本文在分析了目前较为流行的攻击场景重构方法优缺点的基础上,提出一种基于告警属性相似度聚类方法,首先对多源告警日志进行预处理,利用误告警统计特性设计误告警过滤算法,之后细粒度刻画了每种告警属性的相似度并且动态更新聚类时间阈值,适应不
【作 者】
陈兴蜀 何涛 曾雪梅 邵国林 
【机 构】
四川大学 网络空间安全学院,四川 成都 610065;四川大学 网络空间安全研究院,四川 成都 610065
【出 处】
第十二届中国可信计算与信息安全学术会议
【发表日期】
2018年11期
【关键词】
多源安全日志 攻击场景重构 告警关联 属性相似度 
下载到本地 , 更方便阅读
下载此文 赞助VIP
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  复杂网络攻击往往都不是攻击者一步完成的,而是有计划、有目的、有步骤实施。挖掘攻击者的多步攻击模式,重构攻击场景有助于安全管理员深入理解攻击者入侵行为与过程,掌握攻击全貌。本文在分析了目前较为流行的攻击场景重构方法优缺点的基础上,提出一种基于告警属性相似度聚类方法,首先对多源告警日志进行预处理,利用误告警统计特性设计误告警过滤算法,之后细粒度刻画了每种告警属性的相似度并且动态更新聚类时间阈值,适应不同攻击速度,实现告警聚类,最后利用Apriori 算法挖掘攻击场景关联规则。该方法不需要依赖人工定义的因果知识,且能够实时关联告警,实用性较高。本文在四川大学真实告警数据集进行了实验,实验结果表明所提方法能有效关联安全设备告警日志,重构攻击场景。
其他文献
基于标签和分块特征的新闻网页关键信息自动抽取研究
针对抽取新闻关键信息需要人工构造或训练生成模板的问题,本文提出了基于标签和分块特征的新闻关键信息自动抽取方法。该方法首先通过计算新闻网页相关特征来定位新闻正文标签块,然后通过编辑距离定位新闻标题标签块,最后根据正文块和标题块定位新闻发布时间和来源标签块,最后通过抽取各块的文本获得目标新闻关键信息。本文在该方法的基础上提出了针对新闻站点的目标新闻自动抽取框架,并用该框架对10 个新闻站点的30 个新
会议
标签和分块特征新闻关键信息信息抽取新闻站点
一种改进的防窃听LT码
由于LT 码具有译码开销小、编译码复杂度低的特点,将其用作防窃听码可以有效提高无线传输效率。为了进一步提高LT 码的防窃听能力,本文提出将部分编码矩阵列依据度的大小由高到低重新排列,使度1 符号最后接收以延迟译码开始时间,这种方法在保证接收者恢复信源信息的同时,迫使窃听者因获取较高的误码率而难以恢复信源信息,实现无线通信防止窃听目的。实验结果表明,与传统LT 码相比,改进的LT 码作为信源编码可以
会议
防窃听信道LT码RSD度分布函数BP译码删除信道
MOASB:基于内存对象访问序列的软件动态胎记及同源性判别方法
二进制程序的同源性判别在软件抄袭检测、恶意软件分析等诸多领域有广泛应用.针对现有方法受限于特定编程语言或环境、难以应对复杂的代码混淆攻击等问题,本文提出了一种全新的软件动态胎记生成方法——基于内存对象访问序列的动态胎记.将程序对数据结构的访问顺序流作为程序语义的一种鲁棒性特征并加以分析,能较好的应对复杂的代码混淆攻击;设计了基于动态污点分析的程序数据结构表征方法,解决了在二进制程序缺少数据结构与类
会议
软件胎记内存对象软件同源性判别
基于最小失真代价的SILK基音域自适应隐写算法
本文提出一种基于SILK语音压缩域的安全隐写算法.SILK压缩语音编码作为IETF(The Internet Engineering Task Force)的标准编码格式之一,因其在低速率网络环境下的高编码效率与质量,被广泛应用于互联网语音通讯中,因此研;基于SILK语音编码压缩域的信息隐藏技术,实现信息的安全传输具有重要的应用价值,而目前还未有基于SILK语音压缩域的隐写算法.本文基于SILK压
会议
SILK自适应隐写STC编码基音周期
Leakage is Prohibited:Memory Protection Extensions Protected Address Space Randomization
Code reuse attack poses severe threat to modern applications.The attack reuses existing code segments in vulnerable applications as attack payload and hij acks the control flow of the victim applicati
会议
Address space layout randomizationIntel MPXCode reuse attack
共享秘密上的量子计算
Ouyang 等人提出了一个(n,n)量子秘密共享方案,其中参与者人数限制为n=4k+1,k∈Z+,并对该方案进行了相应的安全性评估。本文对参与者人数n为任意情形(即不局限于n=4k+1)构造了一个(n,n)门限量子秘密共享方案,该方案是建立在一种由Clifford 群门和T门组成的量子电路上的。本文对这个量子电路的性质进行了研究,并利用该量子电路针对不诚实的参与者对该方案进行了安全性分析。
会议
秘密共享方案量子电路量子计算酉阵
基于SEAndroid的移动设备远程管理
随着Android 系统的迅速发展,Android 设备成为人们生活及工作中必不可少的移动终端设备,越来越多的个人隐私和企业资料存放在其中,因此移动设备安全至关重要.通过分析移动设备安全需求,设计一个由客户端和服务器构成的移动设备远程管理系统.通过修改AOSP 源码(Android Open SourceProject),实现通过服务器远程修改sepolicy 禁止或开启移动设备的相关功能,远程管
会议
移动设备管理SEAndroidAOSPSELinux权限管理
基于密码协议实现的行为安全分析模型
安全分析模型是密码安全实现的重要保障,行为安全是信息安全研究的内容之一。现有的分析模型仅仅从理论上保证密码协议实现的安全,而没有考虑密码协议实现时的行为安全(例如,无线网络中的拒绝服务、会话劫持和程序漏洞攻击等)。本文提出一种基于密码协议实现的行为安全分析模型。该模型把密码协议实现分两部分:一是外部行为(开放网络空间交互通信的行为);二是内部行为(代码实现的行为)。通过行为的可控性,能够发现、控制
会议
分析模型密码协议实现行为安全可控性
Cloud Computing Security Models based on Noninterference
Cloud computing provides services to users through Internet.This open mode not only facilitates the access by users,but also brings potential security risks.In cloud computing,the risk of data leakage
会议
cloud computing securityinformation flow securitynoninterferencenoninterferen
一种基于证书的短签名方案
基于证书公钥密码体制解决了传统公钥证书管理和基于身份密码体制下的密钥托管问题,同时避免了易受公钥替换攻击的问题.在通讯带宽受限、计算能力较弱的无线物联网应用中,短签名能够缩短签名长度,提高签名效率.结合基于证书的公钥密码体制和短签名两者优势,提出了一种基于证书的短签名方案.首先,在随机预言机模型以及k-CAA 问题和Inv-CDH 问题困难假设下,证明了方案的安全性.随后,与几种签名方案进行了理论
会议
基于证书公钥密码体制短签名k-CAAInv-CDH随机预言机模型