计算机科学 ›› 2019, Vol. 46 ›› Issue (5): 116-121.doi: 10.11896/j.issn.1002-137X.2019.05.018

• 信息安全 • 上一篇    下一篇

高性能网络安全告警信息的关联分析方法

付泽强, 王晓锋, 孔军   

  1. (江南大学物联网工程学院 江苏 无锡214122)
  • 收稿日期:2018-05-08 修回日期:2018-07-25 发布日期:2019-05-15
  • 作者简介:付泽强(1991-),男,硕士生,主要研究领域为网络安全、数据挖掘,E-mail:760188504@qq.com;王晓峰(1978-),男,博士,副教授,主要研究领域为网络安全、网络仿真,E-mail:wangxf@jiangnan.edu.cn(通信作者);孔 军(1974-),男,博士,副教授,主要研究领域为人工智能、机器视觉。
  • 基金资助:
    国家自然科学基金项目(61672264),国家重点研发计划项目(2016YFB0800803)资助。

High-performance Association Analysis Method for Network Security Alarm Information

FU Ze-qiang, WANG Xiao-feng, KONG Jun   

  1. (School of Internet of Things Engineering,Jiangnan University,Wuxi,Jiangsu 214122,China)
  • Received:2018-05-08 Revised:2018-07-25 Published:2019-05-15

摘要: 在网络安全防御体系中,入侵检测系统会实时产生海量冗余、错误的网络安全告警信息,因此有必要对告警信息的关联规则和序列模式进行频繁项模式挖掘,分辨正常的行为模式,筛选出真正的攻击信息。相对于Apriori和FP-growth等算法,COFI-tree算法虽然具有较大的性能优势,但仍无法满足大规模网络安全信息快速分析的需求。为此,基于COFI-tree算法,提出了一种改进的网络安全告警信息关联分析算法。该算法通过基于倒序链表的头表节点寻址方式和基于新的SD结构的频繁项处理方法,提升了COFI-tree算法的性能。基于Kddcup99数据集的实验结果表明,与传统的Cofi算法相比,该方法在基本保证准确率的同时,能大量降低计算开销,使处理时间平均缩短21%以上,解决了在海量网络告警信息下进行关联分析时速率不高的问题。

关键词: COFI-tree, 网络安全, 频繁项目集, 数据挖掘, 关联分析

Abstract: In the network security defense system,the intrusion detection system will produce massive redundancy and wrong network security warning information in real time.Therefore,it is necessary to mine frequent item patterns from association rules and sequential patterns of alert information,distinguish normal behavior patterns,and screen out real attack information.Compared with Apriori,FP-growth and other algorithms,COFI-tree algorithm possesses bigger advantages of performance ,but it still can not meet the needs offast analysis on large-scale network security information.To this end,this paper proposed an improved network security alert information association analysis algorithm based on COFI-tree algorithm.The algorithm improve the performance of COFI-tree algorithm through node addressing mode based on reverse linked list and frequent item processing method based on new SD structure.The experimental results based on Kddcup99 dataset show that this method can basically guarantee the accuracy,reduce a lot of computing overhead,shorten processing time by more than 21% on average compared with the traditional Cofi algorithm,and solve the problem of low speed in association analysis under massive network alarm information.

Key words: COFI-tree, Network security, Frequent item sets, Data mining, Association analysis

中图分类号: 

  • TP309
[1]LIU X R,LI B S,CHANGA N Q,et al.The Current Network Security Situation and Emergency Network Response.Engineering Sciences,2016,18(6):83-87.(in Chinese)刘欣然,李柏松,常安琪,等.当前网络安全形势与应急响应[J].中国工程科学,2016,18(6):83-87.
[2]HOFMANN A,SICK B.Online intrusion alert aggregation with generative data stream modeling[J].IEEE Transactions on Dependable and Secure Computing,2011,8(2):282-294.
[3]GANAPATHI REDDY K L,SDNIVAS K.GDS an efficient approach for online intrusion alert aggregation[J].International Journal of Computer Application,2012,2(1):13-139.
[4]单莘.一种网络告警的增量式情景规则挖掘方法[C]∥中国通信学会学术年会.2008.
[5]TIAN Z H,ZHANG Y Z,ZHANG W Z.An Adaptive Alert Correlation Method Based on Pattern Mining and Clustering Analysis[J].Journal of Computer Research and Development,2009,46(8):1304-1315.(in Chinese)田志宏,张永铮,张伟哲.基于模式挖掘和聚类分析的自适应告警关联[J].计算机研究与发展,2009,46(8):1304-1315.
[6]ZHENG Z Y,LIU Y.High performance information filteringsystem for large-scale alarm data[J].Computer Engineering and Design,2014,35(2):436-439.(in Chinese)郑哲渊,刘渊.面向大规模告警数据的高性能信息筛选系统 [J].计算机工程与设计,2014,35(2):436-439.
[7]YIN Z H,ZHANG D P,TAN M,et al.Improved Algorithm for Efficiently Mining Maximum Frequent Itemsets Based on Frequent Pattern Tree[J].Journal of University of Jinan(Science and Technology),2017,31(2):111-117.(in Chinese)尹治华,张大鹏,谭明,等.一种改进的基于FP-Tree的高效挖掘最大频繁项目集算法[J].济南大学学报(自然科学版),2017,31(2):111-117.
[8]LIU L J.Research and application of improved Apriorialgorithm[J].Computer Engineering and Design,2017,38(12):3324-3328.(in Chinese)刘丽娟.改进的Apriori算法的研究及应用[J].计算机工程与设计,2017,38(12):3324-3328.
[9]MIAO S Q,ZHENG X S.Research and Implementation of Association Analysis[J].Intelligent Computer and Applications,2018,8(2):138-139.(in Chinese)苗世强,郑晓势.关联分类算法的研究与实现[J].智能计算机与应用,2018,8(2):138-139.
[10]PASQUIER N,BASTIDE Y,TAOUIL R,et al.Discovering frequent closed itemsets for association rules[J].Lecture Notes in Computer Science,1999,1540:398-416.
[11]NIU X Z,SHE K.Mining Maximal Frequent Item Sets with Improved Algorithm of FPMAX[J].Computer Science,2013,40(12):223-227.(in Chinese)牛新征,余堃.基于FPMAX的最大频繁项目集挖掘改进算法[J].计算机科学,2013,40(12):223-227.
[12]WA′EL H,ABURUB F,ALHAWARI S.A new fast associative classification algorithm for detecting phishing websites[J].Applied Soft Computing,2016,48:729-734.
[13]WANG J M,YUAN W.Improved FP-Growth algorithm based on node table[J].Computer Engineering and Design,2018,39(1):140-145.(in Chinese)王建明,袁伟.基于节点表的FP-Growth算法改进[J].计算机工程与设计,2018,39(1):140-145.
[14]SHRIVASTAVA V K,KUMAR P,PARDASANI K R.Fp-tree and cofi based approach for mining of multiple level association tules in large databases[J].International Journal of Computer Science & Information Security,2010,7(2):248-225.
[15]WANG L,FAN X J,LIU X L,et al.Mining data associationbased on a revised FP-growth algorithm[C]∥International Conference on Machine Learning and Cybernetics.IEEE,2012:91-95.
[16]NGUYEN T,HA Q T.Novel Operations for FP-Tree DataStructure and Their Applications[M].Cham:Springer,2014.
[17]TANG W,MA J,ZENG G P.Analysis of Sample Database for Intelligence Intrusion Detection Evaluation[J].Journal of South-Central University for Nationalities(Natural Science Edition),2010,29(2):84-87.(in Chinese)唐菀,马杰,曾广平.评测智能化入侵检测方法的样本库分析[J].中南民族大学学报(自然科学版),2010,29(2):84-87.
[18]ZHANG X Y,ZENG H S,JIA L.Research of intrusion detection system dataset-KDD CUP99[J].Computer Engineering and Design,2010,31(22):4809-4812.(in Chinese)张新有,曾华燊,贾磊.入侵检测数据集 KDD CUP99 研究[J].计算机工程与设计,2010,31(22):4809-4812.
LI F W,ZHENG B,ZHU J,et al.A method of network security situation prediction based on AC-RBF neural network.Journal of Chongqing University of Posts and Telecommunications(Natural Science Edition),2014,26(5):576-581.(in Chinses)李方伟,郑波,朱江,等.一种基于AC-RBF神经网络的网络安全态势预测方法.重庆邮电大学学报(自然科学版),2014,26(5):576-581.
[1] 张煜, 陆亿红, 黄德才. 基于密度峰值的加权犹豫模糊聚类算法[J]. 计算机科学, 2021, 48(1): 145-151.
[2] 游兰, 韩雪薇, 何正伟, 肖丝雨, 何渡, 潘筱萌. 基于改进Seq2Seq的短时AIS轨迹序列预测模型[J]. 计算机科学, 2020, 47(9): 169-174.
[3] 张素梅, 张波涛. 一种基于量子耗散粒子群的评估模型构建方法[J]. 计算机科学, 2020, 47(6A): 84-88.
[4] 白雪, 努尔布力, 王亚东. 网络安全态势感知研究现状与发展趋势的图谱分析[J]. 计算机科学, 2020, 47(6A): 340-343.
[5] 袁得嵛, 章逸钒, 高见, 孙海春. 基于用户特征提取的新浪微博异常用户检测方法[J]. 计算机科学, 2020, 47(6A): 364-368.
[6] 邓甜甜, 熊荫乔, 何贤浩. 一种基于时序性告警的新型聚类算法[J]. 计算机科学, 2020, 47(6A): 440-443.
[7] 李莉. 基于判断聚合的分布式数据挖掘分类算法研究[J]. 计算机科学, 2020, 47(6A): 450-456.
[8] 梁俊斌, 张敏, 蒋婵. 社交传感云安全研究进展[J]. 计算机科学, 2020, 47(6): 276-283.
[9] 张琴, 陈红梅, 封云飞. 一种基于粗糙集和密度峰值的重叠社区发现方法[J]. 计算机科学, 2020, 47(5): 72-78.
[10] 白玮, 潘志松, 夏士明, 成昂轩. 基于遗传算法的网络安全配置自动生成框架[J]. 计算机科学, 2020, 47(5): 306-312.
[11] 李刚, 王超, 韩德鹏, 刘强伟, 李莹. 基于深度主成分相关自编码器的多模态影像遗传数据研究[J]. 计算机科学, 2020, 47(4): 60-66.
[12] 余航, 魏炜, 谭征, 刘惊雷. 基于信任系统的条件偏好协同度量框架[J]. 计算机科学, 2020, 47(4): 74-84.
[13] 丁武, 马媛, 杜诗蕾, 李海辰, 丁公博, 王超. 基于XGBoost算法的多元水文时间序列趋势相似性挖掘[J]. 计算机科学, 2020, 47(11A): 459-463.
[14] 张成伟, 罗凤娥, 代毅. 基于数据挖掘的指定航班计划延误预测方法[J]. 计算机科学, 2020, 47(11A): 464-470.
[15] 陈沛, 郑万波, 刘文奇, 肖敏, 张凌霄. 基于多种模型的云南省农作物主产区域部分气候指标分析与预测[J]. 计算机科学, 2020, 47(11A): 496-503.
Viewed
Full text


Abstract

Cited

  Shared   
  Discussed   
[1] 雷丽晖,王静. 可能性测度下的LTL模型检测并行化研究[J]. 计算机科学, 2018, 45(4): 71 -75 .
[2] 孙启,金燕,何琨,徐凌轩. 用于求解混合车辆路径问题的混合进化算法[J]. 计算机科学, 2018, 45(4): 76 -82 .
[3] 张佳男,肖鸣宇. 带权混合支配问题的近似算法研究[J]. 计算机科学, 2018, 45(4): 83 -88 .
[4] 伍建辉,黄中祥,李武,吴健辉,彭鑫,张生. 城市道路建设时序决策的鲁棒优化[J]. 计算机科学, 2018, 45(4): 89 -93 .
[5] 史雯隽,武继刚,罗裕春. 针对移动云计算任务迁移的快速高效调度算法[J]. 计算机科学, 2018, 45(4): 94 -99 .
[6] 周燕萍,业巧林. 基于L1-范数距离的最小二乘对支持向量机[J]. 计算机科学, 2018, 45(4): 100 -105 .
[7] 刘博艺,唐湘滟,程杰仁. 基于多生长时期模板匹配的玉米螟识别方法[J]. 计算机科学, 2018, 45(4): 106 -111 .
[8] 耿海军,施新刚,王之梁,尹霞,尹少平. 基于有向无环图的互联网域内节能路由算法[J]. 计算机科学, 2018, 45(4): 112 -116 .
[9] 崔琼,李建华,王宏,南明莉. 基于节点修复的网络化指挥信息系统弹性分析模型[J]. 计算机科学, 2018, 45(4): 117 -121 .
[10] 王振朝,侯欢欢,连蕊. 抑制CMT中乱序程度的路径优化方案[J]. 计算机科学, 2018, 45(4): 122 -125 .