推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

一种基于One-Class SVM和 GP安全事件关联规则生成方法研究

更新时间:2019-12-24 07:26:45 大小:1M 上传用户:守着阳光1985查看TA发布的资源 标签:SVM 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

随着信息技术的快速发展,网络安全威胁造成的危害日愈严重.安全信息和事件管理(SIEM)在查找组织内部威胁,可疑行为及其它高级持续攻击(APT)中发挥了重要作用.SIEM的检测能力主要依赖于准确,可靠的关联规则.然而,传统的规则生成方式主要基于专家知识人工编写检测规则,因此成本高,效率低.本文给出了一种具备自适应能力的规则生成框架来自动生成关联规则.首先为了更好地识别未知攻击,提出一种基于单类支持向量机(OneClass SVM)的安全事件分类算法对安全事件进行有效分类,实验分类效果准确率高达97%.其次为了提高规则生成准确率,通过重新定义个体结构,交叉与变异方式,优化了基于遗传编程(GP)的规则生成算法,规则适应度高达94%.实验结果表明,本文提出的框架具备自适应能力来识别未知攻击,具备较高的检测准确率,可有效减少人工参与.同时该框架已经部署在实际生产环境中,和原系统相比可以检测更多攻击类型.


部分文件列表

文件名 大小
一种基于One-Class_SVM和_GP安全事件关联规则生成方法研究.pdf 1M

部分页面预览

(完整内容请下载后查看)
8
Vol. 46 No. 8  
Aug. 2018  
2018  
8
ACTA ELECTRONICA SINICA  
One-Class SVM  
一种基于  
GP  
安全事件关联规则生成方法研究  
13  
23  
23  
3
3
3
, , , , ,  
杜栋栋 任星彰 陈 坤 叶 蔚 赵 文 张世琨  
( 1.  
北京大学信息科学技术学院 北京  
100871; 2.  
北京大学软件与微电子学院 北京  
100871;  
3.  
北京大学软件工程国家工程研究中心 北京  
100871)  
:
( SIEM)  
在查找组  
随着信息技术的快速发展 网络安全威胁造成的危害日愈严重 安全信息和事件管理  
( APT) . SIEM ,  
检测能力主要依赖准确 可靠的关联  
织内部威胁 可疑行为及其它高级持续攻击  
中发挥了要作用  
, , .  
规则 然而 传统的规则生成方式主要基于知识人工编写检测规则 因此本高 效率低 本文给出了一种具备自  
,  
适应能力的规则生成框架来生成关联规则 首先为了更好地识别未知攻击 提出一种基于单类支持向量机  
( One-  
Class SVM) 97% .  
的安全事件分类算安全事件进行有效分类 实验分类效果准确率高达  
其次为了提高规则生成准  
94% .  
的规则生成法 规则适应高达  
, , ,  
确率 通过新定义个体结构 交叉变异优化基于编程  
( GP)  
, , .  
实验结果表明 本文提出框架具备适应能力来识别未知攻击 具备检测准确率 可有效减少同时  
框架已经在实产环境中 和原系相比检测更攻击类型  
:
;
;
;
( SIEM) ;  
;
单类支持向量机 编程  
关键词  
中图分类号  
URL: http: / /www. ejournal. org. cn  
安全事件 关联规则生成 日管理 安全信息和事件管理  
TP311 0372-2112 ( 2018) 08-1793-11  
DOI: 10. 3969 /j. issn. 0372-2112. 2018. 08. 001  
:
:
A
:
文章编号  
文献标识码  
电子学报  
A Security Event Correlation Rule Generation Method Research  
Based on One-Class SVM and Genetic Programming  
13  
23  
23  
3
3
3
DU Dong-dong REN Xing-zhang CHEN Kun YE Wei ZHAO Wen ZHANG Shi-kun  
( 1. School of Electronics Engineering and Computer SciencePeking UniversityBeijing 100871China;  
2. School of Software and MicroelectronicsPeking UniversityBeijing 100871China;  
3. National Engineering Research Center for Software EngineeringPeking UniversityBeijing 100871China)  
Abstract: With the rapid development of information technologyenterprise and orgnizations are suffering different  
kinds of cyber security threats. Security Information and Event Management ( SIEM) is playing an essential role in finding  
insider threatssuspicious behaviors or other advanced attacks based on its correlation capability. The SIEM detection capa-  
bility relies on accurate and reliable correlation rulehowevertraditional way of generating rule depends on human expert  
knowledgewhich is costly and time consuming with low efficiency. In this paperwe propose an adaptive rule generation  
framework to generate correlation rule automatically. Firstin order to identify unknown attack in a better waywe propose a  
security event classification algorithm based on One-Class Support Vector Machine ( One-Class SVM) to classify security e-  
vents effectivelyand results show that classfication rate reaches as high as 97% . Secondlyfor purpose of improving rule  
generation accuracy ratewe propose and optimize Genetice Programming ( GP) rule generation algorithm by redefining in-  
dividual structurecross and mutation operationand results show that best individual fitness reaches as high as 94% . Experi-  
ments have been performed and results show that our approach has the ability of self-adaption to identify unkown attacka  
competitive threat detection accuracy rate as well as reducing human labor engagement. We also implement our approach to  
a real production system and more attack type could be detected compared with existing system.  
Key words: security events; correlation rule generation; log management; security information and event management  
( SIEM) ; one-class support vector machine; generic programming  
: 2017-06-27;  
: 2018-02-28;  
:
责任编辑 马兰英  
收稿日期  
修回日期  
:
基金项目 国家重点研发计划  
( No. 2017YFB0802900) ;  
( No. 4182024) ;  
( No. 2017M620524)  
中国博士后基金  
北京市自然科学基金  
1794  
2018  
:
分为正常  
( Negative)  
( Positive) .  
其次提出  
攻击  
1
引言  
GP  
一种基于  
了个体结构交叉 变异特征 使生  
One-Class SVM  
的关联规则自生成本文新定义  
随着联网技术的速发展 企业和关基  
础设施正面临各各样攻击和威胁 安全信息和事  
成的关联规则更有效 更准确 其输入是  
分类算带标记正常攻击事件 出为可  
OSSIM  
( Security Information Event ManagementSIEM)  
件管理  
一种解决帮助安全析师和管  
应用的关联规则 基于  
在  
员从海安全事件中挖掘有用的威胁信息与报  
公共安全数据进行了组实验对终将框  
OSSIM( Open Source Security In-  
开源安全信息管理工具  
架部应用产环境 实验结果表明本文框  
1]  
formation Management)  
作为开源著名的事件管  
. SIEM  
98. 84% ,  
于生成  
架对于安全事件的分类准确率达到  
理工被广泛应用企业组织机构  
最常见  
94% .  
的规则适应高达  
检测手段是关联它通基于时序来对相同数  
2
相关研究  
据源或不同数据源的安全事件 使关联规则来  
SIEM  
检测能力主要依赖准确 可靠的关  
进行综合的关联析  
SIEM  
,  
联规则 因此 规则生成问题也研究的问  
前  
关联主要挑  
( 1)  
,  
安全信息相互隔离 恶意攻击会  
规则生成研究的主要领域包括安全事件的规则生  
( CEP) ,  
的规则生成 网络入  
( ,  
安全应用网络防火墙 机  
成 基于复杂事件理  
( NIDS) .  
规则生成的方法主要包括基于  
Web SQL  
应用志  
, ) .  
审核留下痕迹 然  
检测  
, ,  
这些信息孤立不同设  
、 、 , ,  
数据挖掘的方法 随着技术的发展 基于机  
缺乏有效综合关联析  
; ( 2)  
的方法入到规则生成中  
传统关联规则生成要通过编  
关联规则的  
生成 安全析师具备描述安全目业  
能力 却缺乏关的编程背景知识来自  
, , .  
种方式效率低工成承受 新出  
生成关联规则  
规则生成中对攻击事件的识别可归纳为对  
攻击漏洞无作出应 检测规则的编写  
.  
往往后的具备适应能力 者也提出  
2]  
3]  
安全事件的分类问题 分类高低定了安全规  
其它技术方法数据合 数据挖掘 基于警  
4]  
对攻击事件的识别能力 单类支持向量机  
( One-Class  
关联 技术识别和学攻击和信息应用  
Support Vector MachineOne-Class SVM)  
,  
检测安全威胁 然这些方法在实应用往往生  
主要通过对某  
事件进行训练建立行为线 线范围外的事件  
, ,  
成的关联规则检测度较低 检测结果应  
异常事件来进行分类 本文检测  
用效果有限  
5]  
场景 常  
SIEM 90%  
中  
的日正常事件 通过  
Margara  
( CEP)  
提出基于复杂事件理 的  
正常事件训练建模 来检测异常或攻击事件  
, , ,  
规则生成定义了事件关的  
、  
事件被正确分类如何快速 高效地生成有效  
( Pattern) ,  
检测的方法主要历史数据繁  
匹配规则定了规则生成应用遗  
项的挖掘 其主要问题生成的规则导致复  
( Genetic ProgrammingGP)  
, ,  
成的规则 差  
编程  
大自然种选择压的自然化从得到问题近  
GP  
传算模拟  
6]  
Hasan  
基于的方法事件中生成复  
事件式 其主要思路仍历史数据项的  
的一种方法 本文用  
通过对个体变异 交  
,  
选择繁殖生成佳匹配的关联个体 进而转换为  
, ,  
方法初始数据源数  
, ,  
应用的关联规则 使规则生成更为高效 具备实  
量要求非直接影响式检测效果  
7]  
Ning  
( IDS)  
的基  
应用能力  
在对底层检测统  
本文提出的方法具备应能力来动  
上针对攻击及其结果提出了一种自关  
识别未知攻击行为 对新出异常行为进行自  
的方法 方法均需满足  
, ,  
动更新 进减少提高检测效率  
而实际情况当个先被遗后  
主要研究工如下 首先提出一种基于  
One-  
期的关联大的影响  
Class SVM  
的安全事件分类算丰富的关键  
( NIDS)  
研究领域 技术  
网络检测统  
, ,  
词标签 特征向量 避免检测合  
方法先验知识 统计方法等也识别和学  
8]  
输入是经过  
OSSIM  
. Lunt  
具备相同数据  
攻击应用检测安全威胁  
首次  
, ,  
结构的安全事件 标记的安全事件 标记  
提出了个专用专家的先验知识来进行  

全部评论(0)

暂无评论

上传资源 上传优质资源有赏金

  • 打赏
  • 30日榜单

推荐下载