资源描述:
《基于警报关联的威胁行为检测技术综述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、基于警报关联的威胁行为检测技术综述王意洁1,程力1,马行空2(1.国防科学技术大学计算机学院并行与分布处理重点实验室,湖南长沙410073;2.国防科学技术大学计算机学院网络工程系,湖南长沙410073)摘要:基于警报关联的网络威胁行为检测技术因其与网络上大量部署的安全产品耦合,且能充分挖掘异常事件之间的关联关系以提供场景还原证据,正成为复杂威胁行为检测的研究热点。从威胁行为和网络安全环境的特点出发,引出威胁行为检测的应用需求和分类,介绍基于警报关联的威胁行为检测的基本概念和系统模型;重点论述作为模型核心的警报
2、关联方法,并分类介绍了各类典型算法的基本原理和特点,包括基于因果逻辑的方法、基于场景的方法、基于相似性的方法和基于数据挖掘的方法;并结合实例介绍了威胁行为检测系统的三种典型结构,即集中式结构、层次式结构和分布式结构;基于当前研究现状,提出了对未来研究趋势的一些认识。关键词:威胁行为检测;警报关联;检测模型;检测系统结构中图分类号:TP393文献标志码:A文章编号:ASurveyofAlert-CorrelationBasedNetworkThreatDetectionTechniquesWANGYijie1,C
3、HENGLi1,MAXingkong2(1.NationalKeyLaboratoryforParallelandDistributedProcessing,CollegeofComputer,NationalUniversityofDefenseTechnology,Changsha410073,China;2.DepartmentofNetworkEngineering,CollegeofComputer,NationalUniversityofDefenseTechnology,Changsha,Huna
4、n,410073,China)Abstract:TherapiddevelopmentofInternetalsocausesmoreandmorenetworkthreats.Howtodetectthenetworkthreatsinareal-timeandaccuratemannerbecomesoneofthekeytechniqueissues.Thealert-correlation-basednetworkthreatdetectiontechniqueisbecomingtheresearch
5、hotspot,whichcoupleswiththewidelyusedsecurityproductsandfullyexploitstherelationbetweenabnormaleventstoreconstructtheattackscenario.Startingfromthefeaturesofnetworkthreatsandsecurityenvironment,therequirementsandclassificationofnetworkthreatdetectionareintro
6、duced.Thenweillustratethebasicconceptsandsystemmodelofalert-correlation-basednetworkthreatdetectiontechniqueareindetail.Wefocusonthekeymoduleofthemodel,alertcorrelationmethod,statingthefundamentalsandfeaturesofdifferentkindsoftypicalalgorithmindetail,includi
7、ngcausal-relation-basedmethod,case-basedmethod,similarity-basedmethodanddata-mining-basedmethod.Furthermore,threekindsofrepresentativedetectionsystemarchitecturesarediscussedwithpracticalinstances,namelycentralizedarchitecture,hierarchicalarchitectureanddist
8、ributedarchitecture.Finally,basedontheanalysisofrecentresearchwork,thefutureworkisdiscussedandoutlined.Keywords:networkthreatdetection;alertcorrelation;detectionmodel;detectionsystemarchitecture