推荐星级:
- 1
- 2
- 3
- 4
- 5
一种基于One-Class SVM和 GP安全事件关联规则生成方法研究
资料介绍
随着信息技术的快速发展,网络安全威胁造成的危害日愈严重.安全信息和事件管理(SIEM)在查找组织内部威胁,可疑行为及其它高级持续攻击(APT)中发挥了重要作用.SIEM的检测能力主要依赖于准确,可靠的关联规则.然而,传统的规则生成方式主要基于专家知识人工编写检测规则,因此成本高,效率低.本文给出了一种具备自适应能力的规则生成框架来自动生成关联规则.首先为了更好地识别未知攻击,提出一种基于单类支持向量机(OneClass SVM)的安全事件分类算法对安全事件进行有效分类,实验分类效果准确率高达97%.其次为了提高规则生成准确率,通过重新定义个体结构,交叉与变异方式,优化了基于遗传编程(GP)的规则生成算法,规则适应度高达94%.实验结果表明,本文提出的框架具备自适应能力来识别未知攻击,具备较高的检测准确率,可有效减少人工参与.同时该框架已经部署在实际生产环境中,和原系统相比可以检测更多攻击类型.
部分文件列表
| 文件名 | 大小 |
| 一种基于One-Class_SVM和_GP安全事件关联规则生成方法研究.pdf | 1M |
部分页面预览
(完整内容请下载后查看)8
Vol. 46 No. 8
Aug. 2018
第
期
电
子
学
报
2018
8
ACTA ELECTRONICA SINICA
年
月
One-Class SVM
一种基于
和
GP
安全事件关联规则生成方法研究
1,3
2,3
2,3
3
3
3
, , , , ,
杜栋栋 任星彰 陈 坤 叶 蔚 赵 文 张世琨
( 1.
,
北京大学信息科学技术学院 北京
100871; 2.
,
北京大学软件与微电子学院 北京
100871;
3.
,
北京大学软件工程国家工程研究中心 北京
100871)
:
,
.
( SIEM)
在查找组
摘
要
随着信息技术的快速发展 网络安全威胁造成的危害日愈严重 安全信息和事件管理
( APT) . SIEM ,
的检测能力主要依赖于准确 可靠的关联
,
织内部威胁 可疑行为及其它高级持续攻击
中发挥了重要作用
. , , , .
规则 然而 传统的规则生成方式主要基于专家知识人工编写检测规则 因此成本高 效率低 本文给出了一种具备自
. ,
适应能力的规则生成框架来自动生成关联规则 首先为了更好地识别未知攻击 提出一种基于单类支持向量机
( One-
Class SVM) 97% .
,
的安全事件分类算法对安全事件进行有效分类 实验分类效果准确率高达
其次为了提高规则生成准
, 94% .
的规则生成算法 规则适应度高达
, , ,
确率 通过重新定义个体结构 交叉与变异方式 优化了基于遗传编程
( GP)
, , , .
实验结果表明 本文提出的框架具备自适应能力来识别未知攻击 具备较高的检测准确率 可有效减少人工参与 同时
,
该框架已经部署在实际生产环境中 和原系统相比可以检测更多攻击类型
.
:
;
;
;
( SIEM) ;
;
单类支持向量机 遗传编程
关键词
中图分类号
URL: http: / /www. ejournal. org. cn
安全事件 关联规则生成 日志管理 安全信息和事件管理
TP311 0372-2112 ( 2018) 08-1793-11
DOI: 10. 3969 /j. issn. 0372-2112. 2018. 08. 001
:
:
A
:
文章编号
文献标识码
电子学报
A Security Event Correlation Rule Generation Method Research
Based on One-Class SVM and Genetic Programming
1,3
2,3
2,3
3
3
3
DU Dong-dong ,REN Xing-zhang ,CHEN Kun ,YE Wei ,ZHAO Wen ,ZHANG Shi-kun
( 1. School of Electronics Engineering and Computer Science,Peking University,Beijing 100871,China;
2. School of Software and Microelectronics,Peking University,Beijing 100871,China;
3. National Engineering Research Center for Software Engineering,Peking University,Beijing 100871,China)
Abstract: With the rapid development of information technology,enterprise and orgnizations are suffering different
kinds of cyber security threats. Security Information and Event Management ( SIEM) is playing an essential role in finding
insider threats,suspicious behaviors or other advanced attacks based on its correlation capability. The SIEM detection capa-
bility relies on accurate and reliable correlation rule,however,traditional way of generating rule depends on human expert
knowledge,which is costly and time consuming with low efficiency. In this paper,we propose an adaptive rule generation
framework to generate correlation rule automatically. First,in order to identify unknown attack in a better way,we propose a
security event classification algorithm based on One-Class Support Vector Machine ( One-Class SVM) to classify security e-
vents effectively,and results show that classfication rate reaches as high as 97% . Secondly,for purpose of improving rule
generation accuracy rate,we propose and optimize Genetice Programming ( GP) rule generation algorithm by redefining in-
dividual structure,cross and mutation operation,and results show that best individual fitness reaches as high as 94% . Experi-
ments have been performed and results show that our approach has the ability of self-adaption to identify unkown attack,a
competitive threat detection accuracy rate as well as reducing human labor engagement. We also implement our approach to
a real production system and more attack type could be detected compared with existing system.
Key words: security events; correlation rule generation; log management; security information and event management
( SIEM) ; one-class support vector machine; generic programming
: 2017-06-27;
: 2018-02-28;
:
责任编辑 马兰英
收稿日期
修回日期
:
基金项目 国家重点研发计划
( No. 2017YFB0802900) ;
( No. 4182024) ;
( No. 2017M620524)
中国博士后基金
北京市自然科学基金
1794
2018
年
电
子
学
报
:
分为两类 正常
( Negative)
( Positive) .
其次提出
与攻击
1
引言
GP
.
一种基于
了个体的结构表达方式和交叉 变异等遗传特征 使生
One-Class SVM
的关联规则自动生成算法 本文重新定义
,
随着高速互联网技术的飞速发展 企业和关键基
、
,
.
础设施正面临各种各样的攻击和威胁 安全信息和事
,
.
成的关联规则更有效 更准确 其输入是
分类算法输出的带标记的正常与攻击事件 输出为可
OSSIM
( Security Information Event Management,SIEM)
件管理
被
.
,
认为是一种很好的解决方案 来帮助安全分析师和管
.
系统中应用于实践的关联规则 基于
以部署在
.
理员从海量安全事件中挖掘有用的威胁信息与情报
,
公共安全数据集进行了多组实验对比 并最终将该框
OSSIM( Open Source Security In-
开源安全信息管理工具
.
架部署应用于实际生产环境 实验结果表明本文的框
[1]
formation Management)
作为开源工具中著名的事件管
. SIEM
98. 84% ,
对于生成
架对于安全事件的分类准确率达到
理工具被广泛应用于企业组织机构
系统最常见
94% .
的规则适应度高达
,
的检测手段是关联分析 它通常基于时序来对相同数
2
相关研究
,
据源或来自不同数据源的安全事件 使用关联规则来
.
SIEM
、
系统的检测能力主要依赖于准确 可靠的关
进行综合的关联分析
SIEM
. ,
联规则 因此 规则生成问题也成为学者研究的热点问
目前
在关联分析方面主要存在两方面的挑
. ( 1)
. ,
安全信息相互隔离 通常来说 一次恶意攻击会
.
战
题 规则生成研究的主要领域包括安全事件的规则生
( CEP) ,
系统的规则生成 网络入
( ,
在多个安全设备或应用程序 如网络防火墙 交换机
,
,
成 基于复杂事件处理
( NIDS) .
规则生成等 采用的方法主要包括基于
Web ,SQL
应用日志
, ) .
日志 审核日志等 中留下痕迹 然
侵检测
, ,
而 所有这些信息都是孤立隔绝的 被保存在不同的设
、 、 , ,
统计 概率 数据挖掘的方法 随着技术的发展 基于机
,
备日志中 缺乏有效的综合关联分析
; ( 2)
.
器学习的方法也逐步被引入到规则生成中
传统的关联规则生成主要通过安全专家人工编
关联规则的
.
自动化生成 安全分析师通常具备描述安全目标和业
,
务分析的能力 但是却缺乏相关的编程背景知识来自
, , .
写 这种方式效率低下 且人工成本难以承受 对于新出
.
动化地生成关联规则
自动规则生成中对攻击事件的识别可以归纳为对
,
现的攻击和漏洞无法及时作出响应 检测规则的编写
, .
往往出现滞后的情况 不具备自适应能力 学者也提出
[2]
[3]
,
安全事件的分类问题 分类精度的高低决定了安全规
其它技术方法如数据融合 数据挖掘 基于概率报警
[4]
.
则对攻击事件的识别能力 单类支持向量机
( One-Class
关联 等技术用于识别和学习攻击模式和信息并应用
Support Vector Machine,One-Class SVM)
. ,
于检测安全威胁 然而 这些方法在实际应用中往往生
主要通过对某
,
一类事件进行训练建立行为基线 基线范围外的事件
, ,
成的关联规则检测精度较低 检测结果不理想 实际应
.
视为异常事件来进行分类 该算法较适合于本文检测
.
用效果有限
[5]
,
场景 通常
SIEM 90%
系统中
,
的日志为正常事件 通过
Margara
( CEP)
提出一个基于复杂事件处理 的
等
,
对正常事件训练建模 来检测异常或攻击事件
.
, , ,
规则生成模型 作者定义了事件模型 操作符 及相关的
, 、
当事件被正确分类后 如何快速 高效地生成有效
( Pattern) ,
检测模式 采用的方法主要是对历史数据频繁
.
的匹配规则决定了自动规则生成能否应用于实践 遗
.
项的挖掘 其主要问题是生成的规则会导致大量重复
( Genetic Programming,GP)
, ,
报警 误报率 较高 同时其生成的规则 可读性 较 差
.
传编程
大自然种群在选择压力下的自然演化从而得到问题近
GP
是利用遗传算法模拟
[6]
Hasan
等人 采用基于概率的方法从事件流中生成复
.
、
,
杂事件模式 其主要思路仍然是对历史数据频繁项的
似解的一种方法 本文利用
通过对个体的变异 交
、 ,
叉 选择来繁殖生成最佳匹配的关联个体 进而转换为
, ,
整理 该方法对初始模式集要求较高 并且对数据源数
, ,
实际应用的关联规则 使得规则生成更为高效 具备实
,
据质量要求非常高 直接影响到最终的模式检测效果
.
[7]
.
Ning
( IDS)
报警分析的基
际应用能力
等
在对底层入侵检测系统
,
此外 本文提出的方法还具备自适应能力来自动
础上针对攻击的先决条件及其结果提出了一种自动关
,
识别未知的攻击行为 对于新出现的异常行为进行自
,
联分析的方法 该方法要求所有的先决条件均需满足
,
, ,
动更新 进一步减少专家人工参与 提高检测效率
.
,
而实际情况当其中某一个先决条件被遗漏后 会对后
,
主要研究工作总结如下 首先提出一种基于
One-
.
期的关联分析带来较大的影响
Class SVM
,
的安全事件分类算法 并提供更丰富的关键
( NIDS)
,
研究领域 一些技术
在网络入侵检测系统
, ,
词标签 更多维度特征向量 避免检测精度低或过拟合
,
方法如专家先验知识 统计方法等也被用于识别和学
[8]
.
情况 算法输入是经过
OSSIM
. Lunt
在
归一化后具备相同数据
习攻击模式并应用于检测安全威胁
中首次
, ,
结构的安全事件 输出则为带有标记的安全事件 标记
提出了一个专家系统充分利用专家的先验知识来进行
全部评论(0)