Honeynet中的告警日志分析

doi:10.13190/jbupt.200806.63.wub

北京邮电大学学报 ›› 2008, Vol. 31 ›› Issue (6): 63-66.doi: 10.13190/jbupt.200806.63.wub

Honeynet中的告警日志分析

武斌, 郑康锋, 杨义先

(北京邮电大学网络与交换技术国家重点实验室, 北京 100876)

收稿日期:2007-12-10 修回日期:2008-07-09 出版日期:2008-12-31 发布日期:2008-12-31
通讯作者: 武斌

Analysis of Alert Correlation in Honeynet

WU Bin, ZHENG Kang-feng, YANG Yi-xian

(State Key Laboratory of Networking and Switching Technology,
Beijing University of Posts and Telecommunications, Beijing 100876, China)

Received:2007-12-10 Revised:2008-07-09 Online:2008-12-31 Published:2008-12-31
Contact: WU Bin

摘要/Abstract

摘要：

提出一种带有告警日志分析的蜜网（honeynet）架构设计和告警日志分析模型. 将网络入侵检测和主机入侵检测的告警信息相结合，利用网络信息和告警相似度函数进行告警过滤和融合，采用改进的Apriori算法挖掘告警的关联规则，并通过匹配规则形成最终的攻击报告. 实验表明，该方法能有效减少honeynet中冗余的告警，分析出honeynet系统遭受攻击的关联关系，并展现攻击场景.

关键词: 蜜网, 入侵检测, 告警关联

Abstract:

A honeynet architecture with the analysis model of alerts is proposed. The new design of honeynet combines alerts of network intrusion detection system NIDS and HIDS to find out the correlations among them. The alerts are filtered and merged using the network information and similarity membership function. An improved Apriori algorithm is applied to discover the alert correlation knowledge which is matched to construct attack scenarios. Experiments demonstrate that with the analysis model of IDS alerts the redundant IDS alerts decrease efficiently and the correlation relationships of different attacks are constructed accurately

Key words: Honeynet, Intrusion detection, alert correlation

中图分类号:

TP393.08

武斌, 郑康锋, 杨义先. Honeynet中的告警日志分析[J]. 北京邮电大学学报, 2008, 31(6): 63-66.

WU Bin, ZHENG Kang-feng, YANG Yi-xian

. Analysis of Alert Correlation in Honeynet[J]. JOURNAL OF BEIJING UNIVERSITY OF POSTS AND TELECOM, 2008, 31(6): 63-66.

[1]	王艺霏, 莫爽, 吴文睿, 范少华, 肖丁. 基于内外卷积网络的网络入侵检测[J]. 北京邮电大学学报, 2021, 44(5): 94-100.
[2]	陈墨, 金磊, 龚向阳, 满毅. 面向5G海量网管数据的故障溯源技术[J]. 北京邮电大学学报, 2018, 41(5): 131-136,142.
[3]	李民政, 蓝剑平. 时空域信息融合的智能家居入侵检测算法[J]. 北京邮电大学学报, 2017, 40(3): 76-84.
[4]	姚赟政, 杨安, 石志强, 孙利民. 工控设备状态检测中BP神经网络模型的应用[J]. 北京邮电大学学报, 2016, 39(s1): 14-18.
[5]	胡毅勋, 郑康锋, 武斌, 杨义先. Openflow下的动态虚拟蜜网系统[J]. 北京邮电大学学报, 2015, 38(6): 104-108,119.
[6]	张玲, 白中英, 谢康. 动态疫苗接种的入侵检测方法[J]. 北京邮电大学学报, 2014, 37(s1): 77-82.
[7]	徐前方,肖波,郭军. 挖掘电信告警关联模式方法[J]. 北京邮电大学学报, 2011, 34(2): 85-89.
[8]	辛阳, 魏景芝, 钮心忻. 用于入侵检测的快速多模式匹配[J]. 北京邮电大学学报, 2008, 31(3): 19-23.
[9]	魏宇欣. 基于KFDA-SVM的入侵检测技术（增刊）[J]. 北京邮电大学学报, 2007, 29(s1): 27-31.
[10]	杜晔1, 郭幽燕2. 基于消息驱动的分布式入侵检测通信机制[J]. 北京邮电大学学报, 2006, 29(s2): 122-126.
[11]	杨武, 方滨兴, 云晓春, 张宏莉, 胡铭曾. 一种高性能分布式入侵检测系统的研究与实现[J]. 北京邮电大学学报, 2004, 27(4): 83-86.
[12]	罗守山1,陈亚娟2,宋传恒2,王自亮2,钮心忻2,杨义先2. 基于用户击键数据的异常入侵检测模型 [J]. 北京邮电大学学报, 2003, 26(4): 85-89.
[13]	柴平轩, 龚向阳, 程时端. 分布式入侵检测技术的研究[J]. 北京邮电大学学报, 2002, 25(2): 68-73.
[14]	曾志峰, 杨义先. 一种新的入侵监测恢复系统的设计与实现[J]. 北京邮电大学学报, 2001, 24(2): 56-60.

Honeynet中的告警日志分析

Analysis of Alert Correlation in Honeynet

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 14

编辑推荐

Metrics

本文评价