您现在的位置是：首页 > 技术资料 > 一种基于One-Class SVM和 GP安全事件关联规则生成方法研究

推荐星级：

一种基于One-Class SVM和 GP安全事件关联规则生成方法研究

更新时间：2019-12-24 07:26:45 大小：1M 上传用户：守着阳光1985 查看TA发布的资源 标签：SVM 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

随着信息技术的快速发展,网络安全威胁造成的危害日愈严重.安全信息和事件管理(SIEM)在查找组织内部威胁,可疑行为及其它高级持续攻击(APT)中发挥了重要作用.SIEM的检测能力主要依赖于准确,可靠的关联规则.然而,传统的规则生成方式主要基于专家知识人工编写检测规则,因此成本高,效率低.本文给出了一种具备自适应能力的规则生成框架来自动生成关联规则.首先为了更好地识别未知攻击,提出一种基于单类支持向量机(OneClass SVM)的安全事件分类算法对安全事件进行有效分类,实验分类效果准确率高达97%.其次为了提高规则生成准确率,通过重新定义个体结构,交叉与变异方式,优化了基于遗传编程(GP)的规则生成算法,规则适应度高达94%.实验结果表明,本文提出的框架具备自适应能力来识别未知攻击,具备较高的检测准确率,可有效减少人工参与.同时该框架已经部署在实际生产环境中,和原系统相比可以检测更多攻击类型.

部分文件列表

文件名	大小
一种基于One-Class_SVM和_GP安全事件关联规则生成方法研究.pdf	1M

立即下载

【关注视频号领20积分】【关注公众号立即送20积分】

部分页面预览

（完整内容请下载后查看）

Vol． 46 No． 8

Aug． 2018

第

期

电

子

学

报

2018

ACTA ELECTRONICA SINICA

年

月

One-Class SVM

一种基于

和

安全事件关联规则生成方法研究

1，3

2，3

，，，，，

杜栋栋任星彰陈坤叶蔚赵文张世琨

( 1.

，

北京大学信息科学技术学院北京

100871; 2.

，

北京大学软件与微电子学院北京

100871;

，

北京大学软件工程国家工程研究中心北京

100871)

，

．

( SIEM)

在查找组

摘

要

随着信息技术的快速发展网络安全威胁造成的危害日愈严重安全信息和事件管理

( APT) ． SIEM ，

的检测能力主要依赖于准确可靠的关联

，

织内部威胁可疑行为及其它高级持续攻击

中发挥了重要作用

．，，，．

规则然而传统的规则生成方式主要基于专家知识人工编写检测规则因此成本高效率低本文给出了一种具备自

．，

适应能力的规则生成框架来自动生成关联规则首先为了更好地识别未知攻击提出一种基于单类支持向量机

( One-

Class SVM) 97% ．

，

的安全事件分类算法对安全事件进行有效分类实验分类效果准确率高达

其次为了提高规则生成准

， 94% ．

的规则生成算法规则适应度高达

，，，

确率通过重新定义个体结构交叉与变异方式优化了基于遗传编程

( GP)

，，，．

实验结果表明本文提出的框架具备自适应能力来识别未知攻击具备较高的检测准确率可有效减少人工参与同时

，

该框架已经部署在实际生产环境中和原系统相比可以检测更多攻击类型

．

;

( SIEM) ;

;

单类支持向量机遗传编程

关键词

中图分类号

URL: http: / /www． ejournal． org． cn

安全事件关联规则生成日志管理安全信息和事件管理

TP311 0372-2112 ( 2018) 08-1793-11

DOI: 10． 3969 /j． issn． 0372-2112． 2018． 08． 001

文章编号

文献标识码

电子学报

A Security Event Correlation Rule Generation Method Research

Based on One-Class SVM and Genetic Programming

1，3

2，3

DU Dong-dong ，REN Xing-zhang ，CHEN Kun ，YE Wei ，ZHAO Wen ，ZHANG Shi-kun

( 1. School of Electronics Engineering and Computer Science，Peking University，Beijing 100871，China;

2. School of Software and Microelectronics，Peking University，Beijing 100871，China;

3. National Engineering Research Center for Software Engineering，Peking University，Beijing 100871，China)

Abstract: With the rapid development of information technology，enterprise and orgnizations are suffering different

kinds of cyber security threats． Security Information and Event Management ( SIEM) is playing an essential role in finding

insider threats，suspicious behaviors or other advanced attacks based on its correlation capability． The SIEM detection capa-

bility relies on accurate and reliable correlation rule，however，traditional way of generating rule depends on human expert

knowledge，which is costly and time consuming with low efficiency． In this paper，we propose an adaptive rule generation

framework to generate correlation rule automatically． First，in order to identify unknown attack in a better way，we propose a

security event classification algorithm based on One-Class Support Vector Machine ( One-Class SVM) to classify security e-

vents effectively，and results show that classfication rate reaches as high as 97% ． Secondly，for purpose of improving rule

generation accuracy rate，we propose and optimize Genetice Programming ( GP) rule generation algorithm by redefining in-

dividual structure，cross and mutation operation，and results show that best individual fitness reaches as high as 94% ． Experi-

ments have been performed and results show that our approach has the ability of self-adaption to identify unkown attack，a

competitive threat detection accuracy rate as well as reducing human labor engagement． We also implement our approach to

a real production system and more attack type could be detected compared with existing system．

Key words: security events; correlation rule generation; log management; security information and event management

( SIEM) ; one-class support vector machine; generic programming

: 2017-06-27;

: 2018-02-28;

责任编辑马兰英

收稿日期

修回日期

基金项目国家重点研发计划

( No． 2017YFB0802900) ;

( No． 4182024) ;

( No． 2017M620524)

中国博士后基金

北京市自然科学基金

1794

2018

年

电

子

学

报

分为两类正常

( Negative)

( Positive) ．

其次提出

与攻击

引言

．

一种基于

了个体的结构表达方式和交叉变异等遗传特征使生

One-Class SVM

的关联规则自动生成算法本文重新定义

，

随着高速互联网技术的飞速发展企业和关键基

、

，

．

础设施正面临各种各样的攻击和威胁安全信息和事

，

．

成的关联规则更有效更准确其输入是

分类算法输出的带标记的正常与攻击事件输出为可

OSSIM

( Security Information Event Management，SIEM)

件管理

被

．

，

认为是一种很好的解决方案来帮助安全分析师和管

．

系统中应用于实践的关联规则基于

以部署在

．

理员从海量安全事件中挖掘有用的威胁信息与情报

，

公共安全数据集进行了多组实验对比并最终将该框

OSSIM( Open Source Security In-

开源安全信息管理工具

．

架部署应用于实际生产环境实验结果表明本文的框

［1］

formation Management)

作为开源工具中著名的事件管

． SIEM

98. 84% ，

对于生成

架对于安全事件的分类准确率达到

理工具被广泛应用于企业组织机构

系统最常见

94% ．

的规则适应度高达

，

的检测手段是关联分析它通常基于时序来对相同数

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

一种基于One-Class SVM和 GP安全事件关联规则生成方法研究

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

推荐下载

专栏首页