一种考虑攻击连续性的告警关联聚合方法OA
An Attack Continuity Based Method for Alert Correlation and Aggregation
现有告警关联聚合方法无法深度刻画攻击意图,难以挖掘告警之间的内在逻辑关系.针对上述问题,设计一种考虑攻击连续性的告警关联聚合方法.该方法按照源IP到目的IP过滤原始告警序列,从攻击载荷相似性、攻击者身份信息、攻击触发位置和武器平台信息等4方面出发评估相邻恶意请求的连续性,并以此为依据将初始告警聚合成组.在多种真实漏洞构建的场景中,开展2种不同类型的攻击实验.实验结果证明,所提算法能够在聚合冗余告警的同时区分攻击类型,为多步骤攻击的分析关联工作提供支撑.
Existing alert correlation and aggregation methods fall short in deeply characterizing the at-tack motivation and exploring the internal logical relationship among alerts.To address the above prob-lems,an attack-continuity-based method is designed for alert correlation and aggregation in this paper.In this method,the original alert sequence is filtered from source IP to destination IP,and then the con-tinuity of neighboring malicious requests is evaluated in…查看全部>>
王文博;马海龙;韩伟涛;王程禹
信息工程大学,河南 郑州 450001信息工程大学,河南 郑州 450001||网络空间安全教育部重点实验室,河南 郑州 450001信息工程大学,河南 郑州 450001信息工程大学,河南 郑州 450001
计算机与自动化
高级持续性威胁检测告警关联告警聚合恶意连续性
advanced persistent threat detectionalert correlationalert aggregationattack continuity
《信息工程大学学报》 2024 (3)
292-297,6
国家自然科学基金(62176214)
评论