CAJ | 학술논문

攻击者对网络目标设施的渗透破坏过程往往是渐进的,通过执行多个攻击步骤实现最终目的,如何掌握攻击活动的全貌、重建攻击场景是网络安全态势感知等诸多研究领域面临的主要难题之一.基于因果知识的告警关联分析是复杂事件处理(complex event processing,CEP)技术的主要方法之一,它为识别多步攻击过程、重建攻击场景提供了较好的技术途径.针对告警关联分析中因果知识难以自动获得这一问题,提出了一种基于马尔可夫性质的因果知识挖掘方法.该方法利用马尔可夫链模型对因果知识进行建模,以真实网络中的原始告警流为数据源:首先通过对地址相关的告警事件进行聚类,得到相关性类簇;然后再基于马尔可夫链的无后效性,挖掘各个类簇中不同攻击类型间的一步转移概率矩阵,得到因果知识,并对具有重复步骤的因果知识进行匹配融合,构建因果知识库;最后对所提出的因果知识挖掘方法进行了实验验证和对比分析.结果表明,该方法是可行的.
공격자대망락목표설시적삼투파배과정왕왕시점진적,통과집행다개공격보취실현최종목적,여하장악공격활동적전모、중건공격장경시망락안전태세감지등제다연구영역면림적주요난제지일.기우인과지식적고경관련분석시복잡사건처리(complex event processing,CEP)기술적주요방법지일,타위식별다보공격과정、중건공격장경제공료교호적기술도경.침대고경관련분석중인과지식난이자동획득저일문제,제출료일충기우마이가부성질적인과지식알굴방법.해방법이용마이가부련모형대인과지식진행건모,이진실망락중적원시고경류위수거원:수선통과대지지상관적고경사건진행취류,득도상관성류족;연후재기우마이가부련적무후효성,알굴각개류족중불동공격류형간적일보전이개솔구진,득도인과지식,병대구유중복보취적인과지식진행필배융합,구건인과지식고;최후대소제출적인과지식알굴방법진행료실험험증화대비분석.결과표명,해방법시가행적.