論文筆記- Collection Mechanism and Reduction of IDS Alert

原創 方不正圆 2018-11-26 10:19

Collection Mechanism and Reduction of IDS Alert

Author:Karim Hashim Al-Saedi, Sureswaran Ramadass, Ammar ALmomani,Selvakumar Manickam,Wafaa A.H. Ali Alsalihy 2012

Abstract

本論文提出了一個新的框架CMRAF-如題,減少重複的Intrusion Detection System(IDS)告警,並且減少錯誤告警數量。該框架基於兩個模型:第一個模型保存IDS告警,提取特徵爲入侵檢測信息交換形式,並保存至CSV文件;第二個模型包括三個階段:1.去除冗餘告警,2.基於時間閾值減少錯誤告警,3.基於以通用脆弱性(漏洞)和暴露的數據爲閾值的規則減少錯誤告警------common vulnerabilities and exposure value(CVE)。該框架運用在Darpa 1999和NAv6 數據集中,分別達到了92%的告警縮減和84%的縮減。

Related Work

Alharby 、Imai 發現,可以用準確的形式代表正常告警模式,因此,一個意料之外的突然發生的序列警報,且一般不可能在這個序列中出現的,可以被標記爲可疑行爲。
這表明,可以利用告警歷史數據提取出序列模式,這有助於系統理解預測未來的告警。
Al-Mamory、Zhang 提出了一個新的基於數據挖掘的方法,旨在減少假正性告警,其思想是將告警聚合成簇,而後從每個簇中生成一個泛化告警,其root causes可以轉爲過濾器,以減少未來的告警數量。這個方法考慮了泛化和最臨近。
Julisch 考慮不同告警特徵值之間的距離,計算一個告警和泛化告警之間的差異度。
也有一種基於統計分析和時間序列的方法,並可以分析攻擊階段。該方法作者利用聚類技術以時間戳爲範圍,聚合告警,每個聚合的告警以一個超告警表示,目的是減少告警,並獲取告警優先級以識別重要告警,但該方法不能去除冗餘告警(只能去重複告警),且不能靈活選擇告警特徵。

Methodology

CMRAF 包括2個主要部分:
1.Traffic Data Retrieval and Collection Mechanism model
2. Reduction IDS Alert process model(RAPM)
下圖表示的是CMRAF結構
在這裏插入圖片描述

Traffic Data Retrieval and Collection Mechanism model (Model 1)

IDS Snort 是一個開源IDS檢測工具,實時監控網絡流量,審計每個包檢查可疑負載,其可提供兩種類型告警:快速模式和完全模式。
該模型包括3個部件:1.Pre-Knowledge2.特徵提取3.CVE

Pre-Knowledge

Pre-Knowledge 確定不同的數據格式,幫助交換和分享入侵檢測和響應系統感心趣的信息。其又包括兩種主要部件:Procurement of IDS Alerts 告警收集和Field Reduction and Data Standardization縮減及數據標準化。

Procurement of IDS Alerts

從IDS中收集IDS告警,並保存至一個text文件中,其形式如下:
在這裏插入圖片描述

Field Reduction and Data Standardization

從IDS告警文件中提取標準特徵,且該部分包含3個步驟:
A. Alert Data Analyzer
檢查IDS告警文件的格式是否與特定的一致
B. Alert Data Manipulator
檢查IDS告警特徵,給缺失特徵補上默認值
C. Alert Data Parser and Converter
從告警文件中提取特徵並另存爲CSV文件,其形式如下:
在這裏插入圖片描述

特徵提取

特徵提取是作用確定在告警中有效的特徵。系統使用“信息增益比率”(information gain)算法,而後賦予最高的權重給最有效的特徵。
在這裏插入圖片描述
GainR(X,c)表示的是特徵X在類別C中的增益比率

在這裏插入圖片描述
下表便是了IDS告警特徵的信息增益比率
在這裏插入圖片描述

CVE

CVE是指安全威脅的術語,包括兩種類型:漏洞(vulnerabilities)和暴露(exposures)。漏洞指的是計算機、服務器或是網絡在特定環境下會產生安全風險。暴露指的是可能會將漏洞暴露給某些人的安全相關的場景、事件。
CVE是使用安全相關的數據庫或是網絡來瀏覽信息的過程。這樣的過程是需要世界各地的不同安全相關組織的專家或是代表的產品協同完成的。下表展示了一種類型的具體CVE信息:
在這裏插入圖片描述

Reduction IDS Alert Processes Model(RAPM)

直接從數據中自動構造模型是很困難的,包括1.巨大的網絡流量 2.極不平衡的數據分佈 3.難以分清正常和非正常行爲 4.需要持續更新以適應不斷變化的環境。
現今IDS技術依舊有下列侷限性:
1.只針對一特定的攻擊類型檢測
2.每天產生過多的告警,99%都屬於False Positive 告警

該模型包括3個部分:相似告警過程,基於時間閾值的相似告警,減少False Positive告警。新告警縮減算法旨在去除冗餘重複告警,並減少假正性告警。
新的告警縮減算法如下:
在這裏插入圖片描述6-8 :爲相似告警處理過程
10-13:爲基於時間閾值的相似告警處理過程

減少False Positive 告警主要基於兩種原則1.規則2.以CVE值作爲閾值
下表舉例了5種基於規則原則,認定爲錯誤告警

在這裏插入圖片描述

想法

該篇文章涉及到的重點不多,對於告警縮減這個方面只是提出了一個簡單的解決方法,且沒有利用攻擊圖和關聯算法,效果並不大。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

論文筆記之Structural Deep Network Embedding

本論文是kdd2016的一篇論文 主要的目的也是做node embedding。 主要的想法就是通過deep autoencode對node進行embedding,不過在在embedding的時候不僅考慮了1-hop的信息而且考慮

BVL10101111 2020-07-08 10:23:34

論文筆記之Fully Convolutional Networks for Semantic Segmentation

最近了解到了Image Semantic Segmentation方面的知識,在此做一個記錄。 這篇論文是2015cvpr的best paper,可以說是在cnn上做圖像語義分割的開山之作。 1.語義分割定義: 語義就是指物體的

BVL10101111 2020-07-08 10:23:34

MobileNets: Efficient Convolutional Neural Networks for Mobile Vision Applications論文閱讀筆記

論文地址:MobileNets: Efficient Convolutional Neural Networks for Mobile Vision Applications MobileNet是爲移動和嵌入式設備提出的輕量級網絡

柴布奇诺 2020-07-07 12:29:52

【Paper Note】Representation Learning-Assisted Click-Through Rate Prediction (DeepMCP) 論文詳解

https://arxiv.org/pdf/1906.04365.pdf 背景 以往的點擊率預估模型像FM系列、WDN等模型,都只是考慮特徵和ctr之間的聯繫,阿里的這篇論文,提出了DeepMCP模型,不僅考慮了特徵和ctr之間

roguesir 2020-07-07 01:30:56

論文筆記——Federated learning framework for mobile edge computing networks

論文筆記——Federated learning framework for mobile edge computing networks 本論文着重研究的是聯邦學習應用於需求預測類問題。 一般來說,FL存在的一些問題: 非獨立同分布數據

GJ_007 2020-07-06 10:38:33

WWW19 A First Look at Deep Learning Apps on Smartphones

這篇文章有點像行業調查,對目前市場上APP中DL的各個特性進行統計,調研時間從2018.06 ~ 2018.09 大約三個月的時間,作者也說了後續會繼續跟進。 作者製作了一個可以嗅探Android apk中DL的軟件,同時對APP

phdsky 2020-07-06 03:56:57

【論文筆記-AAAI2020】Overcoming Language Priors in VQA via Decomposed Linguistic Representations

這篇博客會大概講解一下論文的工作,以及一些VQA 領域的近況,也會涉及到一些自己的見解。一些容易誤解的地方,我會盡量的表達細緻,方便讀者理解。如果需要深入研究,推薦自行再品讀該論文:https://jingchenchen.git

BierOne 2020-07-05 19:21:39

[NIPS 2019] Multi-Agent Common Knowledge Reinforcement Learning筆記

文章目錄前言IntroductionProblem settingCommon knowledgeLearning under common knowledge (LuCK)Field-of-view common knowled

强殖装甲凯普 2020-07-05 06:05:25

【論文筆記】TensorFlow深度神經網絡提前穩定特徵重要性

論文地址:Early Stabilizing Feature Importance for TensorFlow Deep Neural Networks 博客裏只給出一下論文中介紹的方法這一章節,論文中前面介紹了神經網絡中特徵

forever_24 2020-07-05 01:13:40

【論文筆記】CUSBoost:基於聚類的提升下采樣的非平衡數據分類

原論文地址:CUSBoost: Cluster-based Under-sampling with Boosting for Imbalanced Classification Abstract 普通的機器學習方法,對於非平衡數據

forever_24 2020-07-05 01:13:30

【論文筆記】Deep Survival: A Deep Cox Proportional Hazards Network

相關資源 原論文地址:here 論文中使用的深度生存分析庫:DeepSurv,是基於Theano 和 Lasagne庫實現的,支持訓練網絡模型,預測等功能。 考慮到DeepSurv庫中存在着一些錯誤以及未實現的功能,博主使用目前主

forever_24 2020-07-05 01:13:29

論文筆記2:A Single Model CNN for Hyperspectral Image Denoising

love_pegy 2020-07-04 23:28:40

unsupervised image segmentation by backpropagation-論文筆記

這是一個有趣的非監督分割方法 代碼短小精悍 直接說算法 1.首先對原圖進行超像素分割。 2.使用卷積網絡進行正向傳播。網絡輸出100channel,輸出和輸入大小相同。也就是說,每個輸入像素對應輸出100個像素。這10

sunyao_123 2020-07-04 18:40:16

Scaling Up Crowd-Sourcing to Very Large Datasets: A Case for Active Learning-筆記

  通過Active Learning(AL)算法,找到最小的需要標註的數據進行訓練,來標記未標記的數據。   AL必須滿需下邊的需求才能作爲crowd-sourced database的默認的最優策略: Generality

sunyao_123 2020-07-04 18:40:16

Bootstrap-Scaling Up Crowd-Sourcing to Very Large Datasets: A Case for Active Learning

論文Scaling Up Crowd-Sourcing to Very Large Datasets A Case for Active Learning對bootstrap做了介紹。 原書(B. Efron and R. J.

sunyao_123 2020-07-04 18:40:16