導語：場景重構和報警融合的異常數據分析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1相關工作

通過異常數據的分析可以將入侵者的攻擊流程直觀的展示給人們。異常數據分析技術主要包括場景重構和報警融合。場景重構解決了傳統入侵檢測中存在著較高誤報率和漏報率的問題，報警融合將大量的低級報警進行融合，確保攻擊場景的完整性。Han等設計了基于關聯規則的入侵檢測算法，通過對頻繁子集的挖掘，成功檢測出了已知攻擊的變種。趙寧等人提出了基于流程化攻擊場景重構技術，采用不同的關聯模型對來源不同的報警進行關聯，重構入侵者的入侵場景。Daisuke提出了一種基于日志分析方法，通過對計算機網絡日志進行分析，構建攻擊者的攻擊場景。H.Achi把計算機網絡安全的一些技術應用到入侵檢測，得出攻擊者的網絡攻擊流程。

2異常數據分析方法

本文提出的基于場景重構和報警融合的異常數據分析方法，其主要思路是：首先去除攻擊失敗的報警；然后反向關聯，減少場景重構中一些不必要的數據；最后對一些孤立報警進行必要的補充，來保證場景圖的完整性。對報警進行精簡與合并，此項工作主要由以下兩個步驟完成：對具有重復關系的報警進行合并；刪除攻擊失敗的報警。通過尋找各個攻擊步驟之間存在的因果關系，將那些大量的、離散的報警合并成同一攻擊的不同攻擊階段。本文所使用的算法是在文章的基礎上添加了時間約束條件，即兩條報警能進行關聯的前提是這兩條報警的時間差在一定范圍之內。對于某一個入侵場景，首先找到該場景中報警類型級別比較高且時間靠后的五條報警，就從這些報警開始向前補充，將這些報警補充完后，判斷此場景是否完整，若該場景圖還存在遺漏，需要再進行一次遺漏報警的補充，直至場景圖相對最完整。

3實驗結果及分析

上一節介紹了基于場景重構和報警融合的異常數據分析方法的具體流程，在本小節中，主要是將此方法得到的實驗結果進行分析，驗證本文所提出方法的必要性與可行性。1）報警融合步驟的必要性報警融合的主要目的是去除原始報警中冗余的報警，通過多次的實驗，結果表明了在對報警信息進行關聯分析時，必須要采取報警融合技術。2）基于異常數據進行入侵檢測的可行性通過上面的實驗，可以看出，通過報警融合確實減少了報警數量，但去掉的這些報警是否會影響場景圖的完整性，下面對其進行分析。通過上圖可以很清晰的看出攻擊者的主要攻擊步驟，即首先通過主機進行端口掃描，然后通過asp注入，添加超級用戶，然后通過該用戶對該網站進行操作管理，最后入侵網站成功。實際檢測出的攻擊場景圖由圖中虛線表示，即成功關聯出了具有關聯關系的報警信息，進行MSSQL注入時，會通過pangolin在主機增加一個用戶，然后將此用戶加入到管理員分組，提升此用戶的權限，通過本文設計的系統進行關聯時，將此步驟關聯出來了。由此可以看出，本文的方法很大程度上避免了漏報，證明了該方法在可行性方面是沒問題的。

4結論

在攻擊場景重構中，報警融合能有效的抽象出不同主機的行為，場景重構對每臺主機可以實現攻擊場景的重現。本文把這兩者結合起來，提出了基于場景重構和報警融合的異常數據分析技術，先進行場景重構再進行報警融合，既保證了攻擊場景圖的全面性又保證了準確性，有利于從宏觀上了解攻擊者的攻擊動機和過程。在下一步工作中，將對提出的算法進行進一步的優化，并對入侵知識庫進行完善。

作者:周廣剛 尉永清 單位:山東師范大學信息科學與工程學院 山東警察學院公共基礎部