基于机器学习的网络安全态势感知

人工智能技术与咨询

点击蓝字 · 关注我们

来源：《计算机科学与应用》 ，作者杨怡等

关键词: 机器学习；态势感知；关联分析；攻击场景重建

摘要：

  摘要: 在传统网络防御手段抵御攻击的基础上，提出了一种利用机器学习的方法来达到网络安全态势感知的新方案。为了有效地获得告警事件，本文引入了告警关联分析的技术，通过分析多源告警信息的关联度从而降低误报率；为了准确地重建攻击场景，本文引入CEP技术处理海量告警信息，并利用基于马尔可夫性质的因果关联分析构建起知识库。分析表明，该方案具有可靠性强、适用性好、计算量小、准确度高的特点，特别适合于大数据环境。

1. 引言

随着信息技术的飞跃式发展和互联网的快速普及，用户在体验到新技术带来的便捷、高效的同时也深受网络攻击引发的破坏。目前，我们熟知的网络威胁有：网络病毒、木马、DOS/DDOS攻击等等。这些攻击带来的告警信息是海量的，冗余的，然而传统的网络安全技术还不能完全地、及时地处理这些告警数据。

现今主流的网络防御手段还是在保护、检测、响应的模型下开展的。虽然一个网络环境中部署多个安全防御设备起到了一定的作用，但是却在工作的同时产生了大量的，价值密度低的告警和日志信息。通常情况下一个攻击往往是分多步实施的，但告警信息却只指针对于其中某一步，是单一的，分散的，以至于还原攻击场景或是攻击过程是困难的。因此这些大量的、繁杂的安全事件数据不仅没有有效地对攻击进行防御，还在无形中给决策者带来了更大的工作量。网络安全态势感知就是将网络攻击场景通过重建的方式，有效地，准确地还原攻击活动的全貌，达到对整个网络安全态势进行监控的目的，这在网络安全防御中显得至关重要，这也是网络安全态势感知领域中面临的一个难题之一。

针对网络攻击高效的告警预测提出一种基于机器学习的网络安全态势感知的关联分析方法 [1]，利用该方法获取价值密度高的告警事件，通过聚类、关联分析构建出规则知识库，并对攻击场景进行重建，从而达到告警预测的目的。

2. 基于地址相关性的告警事件聚类

利用因果关联分析的方法进行关联分析，首先是要把具有相关性的告警事件聚成一类，然后对同一类簇中的告警事件进行因果关联分析 [2]。具体而言聚类就是把抽象的对象集合根据类似的特征分成多个类的过程。首先把原始告警数据进行预处理࿰