基于隐私保护的网络入侵事件序列算法

《基于隐私保护的网络入侵事件序列算法》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、54沈阳航空航天大学学报第30卷掘方法进行分析和综合比较。1．1通用A州方法R．srikant和R．Agrawal在最小序列分割一文中第一次提到了序列模式挖掘，并研究出了ApriQdSome、Apri砸All以及DynaIIlicsome算法。这几个算法共同的提出了将序列模式挖掘的流程分为五个步骤：(1)排序从挖掘目标的所有事项数据库中选取特定的属性，并能够依据这些选取的特定属性来排序，创建出一个具有序列属性的数据库；(2)L序列集事先预定义一个最大阈值，然后根据阈值对产生的序列属性的数据库进行遍历和界定，从而得到所有的满足这个阈值的频繁事件L序列集合，在应用过

2、程中，通常会把频繁事件L序列集映射为连续的整数，实现高效处理序列集；(3)转换转换就是将所有事项数据库中的所有序列都用L序列集进行替换；(4)序列挖掘以频繁L序列集作为子集，采用Apriori方法，进行算法的迭代，在转换之后的数据库里挖掘出全部频繁序列；(5)选取最大频繁事项序列通过筛选，从序列挖掘得出的所有序列中挑选出不被包含于其它事项序列模式的最大频繁事项序列。在以上步骤中，序列挖掘是最重要的阶段。AprioriAll算法是通过关联规则进行挖掘，对其序列挖掘也分为两部分，先产生所有的候选序列，即所能出现的所有的频繁序列；通过扫描，检查所有候选序列的信任度，根

3、据预定的最小信任阈值得出频繁序列集。算法的复杂程度和运行进度主要由扫描次数候选序列的多少决定。缺点是遍历序列数据库的次数太多，并生成过多的候选序列，效率并不好。Apriorisome与Dyn锄icsome均对AprioriA11算法的效率进行改进，A曲orisome在产生候选序列时，根据迭代替换生成的频繁序列来生成候选数据集合，DynarIlicsome采用以前的频繁序列和在数据库中获取的序列构造候选数据集合。1．2GSP方法和MAsP方法在Apriori方法研究的基础上，R．srikant和R．Agmwal又提出了具有更高效率的序列模式算法，GSP方法与Apr

4、iori方法相似，利用冗余候选模式剪枝策略以及特定的数据结构一哈希树进行候选模式的访问存储。GSP方法引用了时间约束和滑动时间窗以及分类层次技术，更加严格化了扫描约束条件，显著地降低了需要被扫描的候选序列的数量，并解放了基本序列模型的约束局限，符合实际应用，减少序列产生；而采用构造哈希树储存候选序列，也降低了需要扫描的序列数量，对序列的表示方法进行转换，能够判断该候选序列是否存在于整个序列数据库中。在入侵事件分析领域中，《网络多步攻击识别方法研究》一文提出了MASP方法，同样是依赖于Apri嘶方法，利用修改序列支持的方式，从已经存在的入侵报警数据库中挖掘出具有攻

5、击行为的序列模式，对其进行多部连续攻击的关联，MASP方法的效率一般，并且在攻击序列的挖掘中会存在漏挖掘的情况。2基于隐私保护的入侵事件序列模式挖掘方法构建多步攻击是入侵事件的常用手段，通常具有序列特征，并具有特殊的攻击步骤模式。在现有的序列模式挖掘算法的基础上，结合序列模式挖掘思想和入侵安全报警的多步攻击关联，并根据隐私保护的需求，通过鉴别入侵事件序列模式进行入侵事件关联。2．1QSPM挖掘方法设计QsPM挖掘方法采用MAsP方法的具体思路，该方法不需要预先定义规则，能有效的发掘各安全事件间的序列联系和因果联系。QsPM方法的挖掘步骤同样由五个部分组成。(1)

6、报警数据集的预先处理为了降低报警数据集中引起的误报警或者冗余报警，在开始序列模式挖掘前对安全报警的数据集合进行预处理，采用以下方法：a．报警聚合提出一种报警聚合的时限约束。针对给定的时间窗w，，按照以下三种聚合条件进行报警的聚合，该时限约束的描述如公式1所示：Max{a1．start—timeVal∈AL}一Min{a1．stan—timeVal∈AL}

7、伟英：基于隐私保护的网络入侵事件序列算法55IP和目标地址D—IP属性值的报警来进行聚合，这类报警有可能为源主机向目标主机进行的同源攻击；聚合条件3：对具有相同目标主机地址D—IP属性值的报警来进行聚合，这类报警可能为从不同源主机发起的针对同一目标主机进行的同目标分布式攻击。聚合条件的优先顺序按照顺序依次排列，如果满足了聚合条件1，那么就不执行聚合条件2、3。b．报警过滤在产生的报警记录中通常会有大量的误警信息，其具有连续性和周期性，而一般真正的攻击具有偶然性的特点，当然也不排除极少数误警的存在。那么按照公式2、3的报警过滤规则进行过滤：[al，A、，圣H]一囝

8、(v∈1⋯7)(2)[a