【技术实现步骤摘要】
一种网络安全中的告警数据提纯的方法
[0001]本专利技术涉及网络信息安全
,尤其是一种网络安全中的告警数据提纯的方法。
技术介绍
[0002]入侵检测系统(IDS,Intrusion Detection Systems)是为了检测系统中入侵者的非授权使用行为和系统合法用户的滥用行为,以及发现系统中由于软件错误、认证模块失效和不适当的系统管理而引起的安全性缺陷。在系统运行过程中,IDS将告警上报给网络管理员,管理员通过告警中的网络信息制定防御策略,防止入侵行为带来更大的损失。因此,大型机构通常在网络中部署IDS以保护网络系统安全。
[0003]IDS依赖专家知识构建的检测规则发现攻击行为,不合理的检测规则是导致冗余告警主要原因。网络中部署的新系统没有及时在IDS中更新相应的检测规则,在过时的IDS检测规则下,新部署的系统对机密文件的访问而产生的流量进行了错误的判定,产生了冗余告警。此外,入侵者可能使用某一种攻击手段如口令爆破对任意主机反复进行登录尝试,IDS告警会密集产生大量冗余告警并上报给管理员。大量的冗余告...
【技术保护点】
【技术特征摘要】
1.一种网络安全中的告警数据提纯的方法,其特征在于,包括以下步骤:接收原始告警:接收到来自IDS的原始告警;告警社区划分:原始告警使用社区发现算法根据IP地址对原始告警进行社区划分;告警提炼压缩:针对每个社区的告警使用统计冗余算法进行告警的提炼压缩。2.根据权利要求1所述的网络安全中的告警数据提纯的方法,其特征在于:所述原始告警为包含源IP地址和目的IP地址信息的告警。3.根据权利要求2所述的网络安全中的告警数据提纯的方法,其特征在于:所述告警社区划分的方法为:基于源IP地址和目的IP地址构建IP连接图;利用社区发现算法将连接图中顶点划分社区,每个社区计算出一个模块度值,使用迭代的贪心算法进行优化,使各个社区的模块度值达到最大,得到划分好的社区图,此时依据社区边的分布对原始告警进行分组。4.根据权利要求3所述的网络安全中的告警数据提纯的方法,其特征在于:所述模块度为:其中,c代表的是某一社区,m是连接图中的边的数量,∑in是社区c内的边的权重之和,∑tot表示与社区c内的节点相连的边的权重之和,所述边包括内部边和外部边。5.根据权利要求3所述的网络安全中的告警数据提纯的方法,其特征在于:所述算法的优化方法包括以下步骤:(1)在初始化阶段,将连接图G中的每个节点i作为一个独立的社区,初始情况下社区的数量与节点个数相同;(2)针对每个节点i,依次尝试把节点i遍历分配到其每个邻居节点所在的社区中,计算分配前与分配后的模块度变化ΔQ,选择使得ΔQ最大的分配方案;(3)重复步骤(2),直到整个连接图中移动任何节点都不能改善总的模块度为止,形成社区图G
′
;(4)对步骤(3)得到的社区图G
′
,将所有在同一个社区的节点视作一个新节点,社区内节点之间的边的权重转化为所述新节点的环的权重,两个新节点之间边的权值为相应两个社区之间各边的权值的总和;(5)重复步骤(1)
‑
...
【专利技术属性】
技术研发人员:陈志军,
申请(专利权)人:北京国保晟达科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。