超级会员免费看
自动化攻击分类系统的实现与评估
在网络安全领域,准确地对攻击进行分类是至关重要的。本文将介绍一个自动化攻击分类系统,包括其组件、算法选择、实现方式以及评估方法。
1. 系统组件
1.1 警报信息提取器(AIE)
警报信息提取器(AIE)是系统的第一个组件,其主要任务是从警报负载中提取相关信息,这是攻击类别推断的基础。AIE需要满足两个要求:一是提取函数要能从原始信息(即负载)中捕获足够的特征,以便区分不同类别的警报;二是在所需内存空间方面要高效。
为了实现这一目标,AIE采用了N - gram分析技术。N - gram分析可以有效地捕获数据特征,并且在计算机安全领域中已被用于检测攻击。使用高阶N - gram(n > 1)可以捕获更多的数据特征,实现更精确的分析。然而,高阶N - gram的特征空间大小为256^n(n为N - gram的阶数),存储每个N - gram的平均和标准差所需的空间会呈指数级增长。因此,基于频率的N - gram分析在实际应用中可能不可行。实验表明,基于二进制的N - gram分析在网络数据分析中更为精确,因为它只记录某个N - gram是否出现,而不是计算字节频率和标准差统计信息。这种方法不仅更精确,而且所需的内存空间更少,因此可以考虑使用高阶N - gram(如5 - gram)。
AIE使用Bloom过滤器(BF)来存储提取的信息。Bloom过滤器是一种在较小空间中表示一组元素(在本文中为N - gram)的方法。它由一个l位的位图b和一组k个独立的哈希函数H组成。对于集合S中的每个N - gram s和每个哈希函数hk,计算hk(s) mod l,并将位图b中对应的位设置为1。当检查某个元素s是
订阅专栏 解锁全文
扫一扫
2856
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
