基于关联规则的网络异常检测系统设计与实现-AET-电子技术应用

基于关联规则的网络异常检测系统设计与实现

2020年信息技术与网络安全第11期

刘金龙1，刘鹏1，裴帅2，田冲2

1.海军参谋部，北京100841；2.信息产业信息安全测评中心，北京100083

摘要：入侵检测技术是网络安全防御的核心技术之一。由于网络承载的带宽流量日益增多，入侵检测系统需要提供快速的检测能力。Snort入侵检测系统依靠将抓取的数据与规则匹配来判断是否受到攻击，因此规则的好坏决定了系统性能的高低。结合数据挖掘技术，设计实现一种基于关联规则的关联分析器插件来增强Snort对入侵的识别能力。首先利用Apriori对Snort产生的告警日志进行数据挖掘，搜索隐藏的攻击模式；然后，将关联规则转化为相应的Snort规则。最后，利用SYN Flood攻击测试规则增强的Snort系统的性能，结果表明，改进后的Snort能够提高对SYN Flood攻击的检测效率。

关键词： 入侵检测 Snort 关联规则 Apriori SYNFlood

中图分类号：TP393
文献标识码：A
DOI：10.19358/j.issn.2096-5133.2020.11.003
引用格式：刘金龙，刘鹏，裴帅，等. 基于关联规则的网络异常检测系统设计与实现[J].信息技术与网络安全，2020，39(11)：14-22.

Design and implementation of network anomaly detection system based on association rules

Liu Jinlong1，Liu Peng1，Pei Shuai2，Tian Chong2

1.Naval Staff，Beijing 100841，China； 2.Information Technology & Security Test and Evaluation Center，Beijing 100083，China

Abstract：Intrusion detection technology is one of the core technologies of network security defense. Due to the increasing network bandwidth traffic, intrusion detection systems need to provide rapid detection capabilities. The Snort intrusion detection system relies on matching the captured data with rules to determine whether the system is under attack, so the quality of the rules determines the performance of the system. This paper combines data mining technology to design and implement an association analyzer plug-in unit based on association rules to enhance Snort to identify intrusions. At first, Apriori is used to mine the alarm logs generated by Snort and search the hidden attack patterns; Furthermore, the association rules are converted into corresponding Snort rules. Finally, the performance of the Snort system is enhanced by using SYN Flood attack test rules. The results show that the improved Snort can improve the detection efficiency of SYN Flood attacks.

Key words :intrusion detection；Snort；association rules；Apriori；SYN Flood

0 引言

入侵检测作为一种重要的网络安全防护技术，由ANDERSON J P^[1]在1980年首次提出，经过几十年的发展，在入侵检测系统模型构建^[2]、检测数据集获取^[3]、检测方法创新^[4-6]等方面取得了丰硕的成果，已广泛应用于物联网^[7]和智慧城市^[8]等多种应用场景。然而随着网络承载带宽流量日益增多，人工分析海量告警日志信息已难以满足日常需求，开发基于数据挖掘的入侵检测系统逐渐成为主流^[9]。入侵检测系统的基本原理就是将获取的数据经过处理后，与之前设好的规则进行匹配，从而判断是否为攻击或入侵^[10-11]。根据入侵检测的原理，系统需要获取足够多的数据，才能更准确地判断是否为攻击或入侵。

为了能够更有效处理网络中大规模的安全数据，学者们开始研究数据挖掘技术，王洋等^[12]利用贝叶斯攻击图模型从大规模流量中识别异常告警，通过告警关联识别攻击者的意图。李祉岐等^[13]对现有告警融合和关联分析方法进行了综合分析，提出了基于告警关联的入侵检测体系架构以及应用准则。胡浩等^[14]利用吸收Markov链模拟攻击者的入侵行为，解决了用攻击图对攻击路径进行仿真时存在的状态爆炸问题，有效提升入侵路径识别的精度。

Snort是美国Sourcefire公司发布的开源入侵检测软件，提供规范化的接口便于用户对Snort进行扩充与改进，因此研究人员选择在Snort基础上进行研发或对其进行进一步的功能扩充，以实现从大量日志信息中，快速、有效找到网络流规律及数据信息之间的联系，发现异常的网络数据流的特征信息，提升漏告警和误告警场景中的检测完备性。告警关联规则挖掘是入侵检测的重点环节之一，HU H^[15]等认为同一攻击过程中的各个攻击步骤以较高的概率在一个时间窗口内发生，因而同一攻击过程产生的告警在统计上具有相似性，因此提出了基于统计时序的告警关联方法，通过计算告警序列之间的因果关联指数来判断告警是否具有关联关系。上述方法不依赖领域知识，但存在计算量大、参数配置复杂等不足。

针对上述问题，本文以Snort为基础，设计实现了能够从大量日志信息中发现网络中攻击与入侵数据流间隐藏关系的入侵检测系统。本文提出的方法能有效融合告警信息，识别入侵过程，帮助管理人员掌握网络安全状况，辅助指导风险评估和入侵响应等后续过程。

本文详细内容请下载：http://www.chinaaet.com/resource/share/2000003057

作者信息：

刘金龙1，刘鹏1，裴帅2，田冲2

(1.海军参谋部，北京100841；2.信息产业信息安全测评中心，北京100083)

原创声明：此内容为AET网站原创，未经授权禁止转载。

相关内容