超级会员免费看
在线自适应警报关联方法
1. 相关工作
近年来,为了减少海量警报数量并提供网络安全状态的全局精简视图,提出了多种警报关联技术。这些方法大致可分为以下几类:
- 警报聚合技术 :将相似警报聚类。
- 提高检测准确性的方法 :常通过过滤误报和低关注度警报来提高入侵检测的准确性。
- 警报优先级排序方法 :根据警报的严重程度调整其优先级。
- 警报因果分析 :本文主要采用这种方法。
因果分析趋势研究可分为三类:基于场景的关联、基于规则的关联和统计关联。前两类通常依赖专家知识来查找相关警报,而统计关联则使用统计或机器学习分析来推断警报间的逻辑关系。
- 基于场景的关联方法 :根据已知攻击场景查找警报间的关系,目标是找到与预定义场景匹配的警报序列。攻击场景可通过攻击语言指定或使用机器学习技术学习。但这种方法需要提前开发所有攻击场景,既耗时又易出错,还需要大量专家知识。
- 基于规则的关联方法 :基于多数警报相关的观察,通过分析包含攻击步骤先决条件和后果的预定义规则来识别相关警报。与基于场景的方法类似,它需要特定的攻击知识,虽能明确显示警报间的逻辑关系,但无法处理新的攻击,因为其先决条件和后果未定义。
- 统计方法 :基于警报在特定时间段内的共现情况进行统计分析,通常不依赖先验领域知识。例如,Qin等人提出了一个贝叶斯关联引擎来发现警报间的强统计依赖关系。但由于超警报的所有可能组合
订阅专栏 解锁全文
扫一扫
13
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
