网络报警数据聚合与智能关联分析方法研究

作     者：顾涛 

作者单位：桂林电子科技大学 

学位级别：硕士

导师姓名：陶晓玲

授予年度：2022年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：报警聚合 层次聚类 报警关联 攻击图 图神经网络 

摘      要：信息技术已然成为社会生产不可或缺的一部分,网络的不断发展和普及也使得信息安全问题日益严峻,更多复杂、隐蔽的入侵手段正在发生。为了维持网络的稳定运行,近年来涌现出许多安全防御和控制技术,由于这些技术的局限性和一些现实原因导致在实际应用中网络系统会产生大量冗余报警,误导网络安全评估工作。除此之外,网络安全事件一般具有大规模、协同、多阶段等特点,现有的技术不能够充分挖掘报警之间的关联性,导致攻击场景的识别存在缺陷。基于此,综合考虑网络数据的多样性和报警之间关系的复杂性,结合聚类方法与深度学习方法的优点,开展网络报警数据聚合与关联分析的研究,旨在消除冗余数据,更有效地进行报警关联分析从而识别攻击场景,为网络安全评估工作提供依据,论文主要研究工作如下:（1）针对目前入侵检测系统（Intrusion Detection System,IDS）存在大量冗余报警、关联分析主观性强,导致报警关联分析系统难以维护、安全评估工作不完整等问题,设计了一种网络报警数据聚合与智能关联分析的层次模型。该模型包含了网络报警数据的基本处理流程,结合层次聚类和图神经网络（Graph Neural Networks,GNN）处理报警数据,充分利用了数据之间的冗余性和互补性,使得对关联分析结果的处理也更加智能和高效。最后,设计并实现了相应的原型系统,验证了所提出模型的可用性和有效性。（2）网络系统中的真实报警往往隐藏在大量未分类、未验证且具有误导性的虚假报警中,为了得到精简有效的数据,提高IDS的工作效率,提出一种基于改进层次聚类的报警聚合方法。该方法首先区分了标称数据和数值数据;其次以层次聚类算法为基础,通过误差平方和（Error Sum of Squares,ESS）增量与JS散度（Jensen-Shannon Divergence）的混合相似度的度量方法计算报警之间的相似度;最后将相似度较高的报警数据进行约简得到精简数据。实验结果表明,与其它聚类算法以及同类报警聚合方法相比,本文方法降低了信息损失率,提高了报警精简率,可以有效减少冗余数据。（3）针对日益复杂的网络结构和入侵手段,传统的关联分析方法缺乏客观性,愈发难以发现新的攻击场景的问题,提出一种基于GNN的报警关联分析方法。该方法首先使用因果关联分析方法构建已知的攻击场景并生成攻击图;然后搭建学习攻击图的GNN模型,并结合麻雀搜索算法（Sparrow Search Algorithm,SSA）对模型进行自动参数调优。实验结果表明,SSA相比其它参数优化算法,可以更快搜索到最优解;与同类方法相比,提出的方法能够有效学习攻击图结构,提高了攻击场景识别的准确率,并降低了误报率。