论文笔记- Collection Mechanism and Reduction of IDS Alert

原創 方不正圆 2018-11-26 10:19

Collection Mechanism and Reduction of IDS Alert

Author:Karim Hashim Al-Saedi, Sureswaran Ramadass, Ammar ALmomani,Selvakumar Manickam,Wafaa A.H. Ali Alsalihy 2012

Abstract

本论文提出了一个新的框架CMRAF-如题,减少重复的Intrusion Detection System(IDS)告警,并且减少错误告警数量。该框架基于两个模型:第一个模型保存IDS告警,提取特征为入侵检测信息交换形式,并保存至CSV文件;第二个模型包括三个阶段:1.去除冗余告警,2.基于时间阈值减少错误告警,3.基于以通用脆弱性(漏洞)和暴露的数据为阈值的规则减少错误告警------common vulnerabilities and exposure value(CVE)。该框架运用在Darpa 1999和NAv6 数据集中,分别达到了92%的告警缩减和84%的缩减。

Related Work

Alharby 、Imai 发现,可以用准确的形式代表正常告警模式,因此,一个意料之外的突然发生的序列警报,且一般不可能在这个序列中出现的,可以被标记为可疑行为。
这表明,可以利用告警历史数据提取出序列模式,这有助于系统理解预测未来的告警。
Al-Mamory、Zhang 提出了一个新的基于数据挖掘的方法,旨在减少假正性告警,其思想是将告警聚合成簇,而后从每个簇中生成一个泛化告警,其root causes可以转为过滤器,以减少未来的告警数量。这个方法考虑了泛化和最临近。
Julisch 考虑不同告警特征值之间的距离,计算一个告警和泛化告警之间的差异度。
也有一种基于统计分析和时间序列的方法,并可以分析攻击阶段。该方法作者利用聚类技术以时间戳为范围,聚合告警,每个聚合的告警以一个超告警表示,目的是减少告警,并获取告警优先级以识别重要告警,但该方法不能去除冗余告警(只能去重复告警),且不能灵活选择告警特征。

Methodology

CMRAF 包括2个主要部分:
1.Traffic Data Retrieval and Collection Mechanism model
2. Reduction IDS Alert process model(RAPM)
下图表示的是CMRAF结构
在这里插入图片描述

Traffic Data Retrieval and Collection Mechanism model (Model 1)

IDS Snort 是一个开源IDS检测工具,实时监控网络流量,审计每个包检查可疑负载,其可提供两种类型告警:快速模式和完全模式。
该模型包括3个部件:1.Pre-Knowledge2.特征提取3.CVE

Pre-Knowledge

Pre-Knowledge 确定不同的数据格式,帮助交换和分享入侵检测和响应系统感心趣的信息。其又包括两种主要部件:Procurement of IDS Alerts 告警收集和Field Reduction and Data Standardization缩减及数据标准化。

Procurement of IDS Alerts

从IDS中收集IDS告警,并保存至一个text文件中,其形式如下:
在这里插入图片描述

Field Reduction and Data Standardization

从IDS告警文件中提取标准特征,且该部分包含3个步骤:
A. Alert Data Analyzer
检查IDS告警文件的格式是否与特定的一致
B. Alert Data Manipulator
检查IDS告警特征,给缺失特征补上默认值
C. Alert Data Parser and Converter
从告警文件中提取特征并另存为CSV文件,其形式如下:
在这里插入图片描述

特征提取

特征提取是作用确定在告警中有效的特征。系统使用“信息增益比率”(information gain)算法,而后赋予最高的权重给最有效的特征。
在这里插入图片描述
GainR(X,c)表示的是特征X在类别C中的增益比率

在这里插入图片描述
下表便是了IDS告警特征的信息增益比率
在这里插入图片描述

CVE

CVE是指安全威胁的术语,包括两种类型:漏洞(vulnerabilities)和暴露(exposures)。漏洞指的是计算机、服务器或是网络在特定环境下会产生安全风险。暴露指的是可能会将漏洞暴露给某些人的安全相关的场景、事件。
CVE是使用安全相关的数据库或是网络来浏览信息的过程。这样的过程是需要世界各地的不同安全相关组织的专家或是代表的产品协同完成的。下表展示了一种类型的具体CVE信息:
在这里插入图片描述

Reduction IDS Alert Processes Model(RAPM)

直接从数据中自动构造模型是很困难的,包括1.巨大的网络流量 2.极不平衡的数据分布 3.难以分清正常和非正常行为 4.需要持续更新以适应不断变化的环境。
现今IDS技术依旧有下列局限性:
1.只针对一特定的攻击类型检测
2.每天产生过多的告警,99%都属于False Positive 告警

该模型包括3个部分:相似告警过程,基于时间阈值的相似告警,减少False Positive告警。新告警缩减算法旨在去除冗余重复告警,并减少假正性告警。
新的告警缩减算法如下:
在这里插入图片描述6-8 :为相似告警处理过程
10-13:为基于时间阈值的相似告警处理过程

减少False Positive 告警主要基于两种原则1.规则2.以CVE值作为阈值
下表举例了5种基于规则原则,认定为错误告警

在这里插入图片描述

想法

该篇文章涉及到的重点不多,对于告警缩减这个方面只是提出了一个简单的解决方法,且没有利用攻击图和关联算法,效果并不大。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

论文笔记之Structural Deep Network Embedding

本論文是kdd2016的一篇論文 主要的目的也是做node embedding。 主要的想法就是通過deep autoencode對node進行embedding,不過在在embedding的時候不僅考慮了1-hop的信息而且考慮

BVL10101111 2020-07-08 10:23:34

论文笔记之Fully Convolutional Networks for Semantic Segmentation

最近了解到了Image Semantic Segmentation方面的知識,在此做一個記錄。 這篇論文是2015cvpr的best paper,可以說是在cnn上做圖像語義分割的開山之作。 1.語義分割定義: 語義就是指物體的

BVL10101111 2020-07-08 10:23:34

MobileNets: Efficient Convolutional Neural Networks for Mobile Vision Applications论文阅读笔记

論文地址:MobileNets: Efficient Convolutional Neural Networks for Mobile Vision Applications MobileNet是爲移動和嵌入式設備提出的輕量級網絡

柴布奇诺 2020-07-07 12:29:52

【Paper Note】Representation Learning-Assisted Click-Through Rate Prediction (DeepMCP) 论文详解

https://arxiv.org/pdf/1906.04365.pdf 背景 以往的點擊率預估模型像FM系列、WDN等模型,都只是考慮特徵和ctr之間的聯繫,阿里的這篇論文,提出了DeepMCP模型,不僅考慮了特徵和ctr之間

roguesir 2020-07-07 01:30:56

论文笔记——Federated learning framework for mobile edge computing networks

論文筆記——Federated learning framework for mobile edge computing networks 本論文着重研究的是聯邦學習應用於需求預測類問題。 一般來說,FL存在的一些問題: 非獨立同分布數據

GJ_007 2020-07-06 10:38:33

WWW19 A First Look at Deep Learning Apps on Smartphones

這篇文章有點像行業調查,對目前市場上APP中DL的各個特性進行統計,調研時間從2018.06 ~ 2018.09 大約三個月的時間,作者也說了後續會繼續跟進。 作者製作了一個可以嗅探Android apk中DL的軟件,同時對APP

phdsky 2020-07-06 03:56:57

【论文笔记-AAAI2020】Overcoming Language Priors in VQA via Decomposed Linguistic Representations

這篇博客會大概講解一下論文的工作,以及一些VQA 領域的近況,也會涉及到一些自己的見解。一些容易誤解的地方,我會盡量的表達細緻,方便讀者理解。如果需要深入研究,推薦自行再品讀該論文:https://jingchenchen.git

BierOne 2020-07-05 19:21:39

[NIPS 2019] Multi-Agent Common Knowledge Reinforcement Learning笔记

文章目錄前言IntroductionProblem settingCommon knowledgeLearning under common knowledge (LuCK)Field-of-view common knowled

强殖装甲凯普 2020-07-05 06:05:25

【论文笔记】TensorFlow深度神经网络提前稳定特征重要性

論文地址:Early Stabilizing Feature Importance for TensorFlow Deep Neural Networks 博客裏只給出一下論文中介紹的方法這一章節,論文中前面介紹了神經網絡中特徵

forever_24 2020-07-05 01:13:40

【论文笔记】CUSBoost:基于聚类的提升下采样的非平衡数据分类

原論文地址:CUSBoost: Cluster-based Under-sampling with Boosting for Imbalanced Classification Abstract 普通的機器學習方法,對於非平衡數據

forever_24 2020-07-05 01:13:30

【论文笔记】Deep Survival: A Deep Cox Proportional Hazards Network

相關資源 原論文地址:here 論文中使用的深度生存分析庫:DeepSurv,是基於Theano 和 Lasagne庫實現的,支持訓練網絡模型,預測等功能。 考慮到DeepSurv庫中存在着一些錯誤以及未實現的功能,博主使用目前主

forever_24 2020-07-05 01:13:29

论文笔记2:A Single Model CNN for Hyperspectral Image Denoising

love_pegy 2020-07-04 23:28:40

unsupervised image segmentation by backpropagation-论文笔记

這是一個有趣的非監督分割方法 代碼短小精悍 直接說算法 1.首先對原圖進行超像素分割。 2.使用卷積網絡進行正向傳播。網絡輸出100channel,輸出和輸入大小相同。也就是說,每個輸入像素對應輸出100個像素。這10

sunyao_123 2020-07-04 18:40:16

Scaling Up Crowd-Sourcing to Very Large Datasets: A Case for Active Learning-笔记

  通過Active Learning(AL)算法,找到最小的需要標註的數據進行訓練,來標記未標記的數據。   AL必須滿需下邊的需求才能作爲crowd-sourced database的默認的最優策略: Generality

sunyao_123 2020-07-04 18:40:16

Bootstrap-Scaling Up Crowd-Sourcing to Very Large Datasets: A Case for Active Learning

論文Scaling Up Crowd-Sourcing to Very Large Datasets A Case for Active Learning對bootstrap做了介紹。 原書(B. Efron and R. J.

sunyao_123 2020-07-04 18:40:16