Document
拖动滑块完成拼图
首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

多源数据融合驱动的入侵检测规则生成方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

摘要:本发明公开了多源数据融合驱动的入侵检测规则生成方法,采集异常流量数据、开源威胁情报信息、告警日志数据三种数据源,并基于图数据库和社团检测算法对其中开源威胁情报信息的质量进行排序,得到高质量情报。采用三层模型实现异常流量数据与告警日志的对齐,基于决策树模型实现三者的对齐。对构建后的决策树进行遍历得到相关路径,从路径中提取出入侵检测规则。采用基于异常流量数据、告警日志、威胁情报信息多种数据源,利用三者进行有机结合,能够生成时效性强的入侵检测规则。改进的滑动窗口+n‑gram算法+余弦相似度三层对齐模型,解决因网络延迟、系统处理的延迟带来的告警日志与异常流量数据难以对齐的问题,为后续规则的生成提供可信度依据。

主权项:1.多源数据融合驱动的入侵检测规则生成方法,其特征在于,采集异常流量数据、开源威胁情报信息、告警日志数据三种数据源,并基于图数据库和社团检测算法对其中开源威胁情报信息的质量进行排序,得到高质量情报;然后采用三层模型实现异常流量数据与告警日志的对齐,基于决策树模型实现三者的对齐;对构建后的决策树进行遍历得到相关路径,从路径中提取出入侵检测规则;具体步骤如下:步骤1.采集用于生成入侵检测规则的原始数据,包括给定目标网络的异常流量数据、互联网空间中的开源威胁情报信息、流量经过入侵检测系统后得到的告警日志;执行步骤2;步骤2.步骤1中得到的异常流量数据与告警日志之间存在一定的时间差,且告警日志是异常流量数据流向入侵检测系统后得到的数据,可知告警日志的数量小于等于异常流量的数据,无法一一对应得到对齐的效果,采用改进的滑动窗口算法,得到与告警日志所对应的一段时间内的异常流量数据集合;如果异常流量数据量为1,执行步骤6,否则执行步骤3;步骤3.提取步骤2得到的异常流量数据和告警日志的主要特征字段,其表现为文本形式,通过N-gram相似度算法计算告警日志与其对应的异常流量数据集合每条数据的相似度,基于相似度进行排序,得到与告警日志相似度最大的异常流量数据集合;如果异常流量数据量为1,执行步骤6,否则执行步骤4;步骤4.提取步骤3异常流量数据集合和告警日志的特征字段,其表现为文本形式,通过余弦相似度算法计算告警日志与其对应的异常流量数据集合每条数据的相似度,基于相似度进行排序,得到与告警日志相似度最大的异常流量数据集合;如果异常流量数据量为1,执行步骤6,否则执行步骤5;步骤5.从异常流量数据集合中随机选择一条异常流量并输入给步骤6;步骤6.从告警日志中取出异常流量数据所不包含的字段信息,追加到异常流量数据中去,得到新的数据形式,实现两者字段信息的对齐;执行步骤7;步骤7.将步骤1中得到的威胁情报信息作为图数据库的输入写入图数据库,并存储情报之间的不同关系,并根据关系的重要程度赋予不同的权重;执行步骤8;步骤8.将步骤7中赋予权重后的威胁情报信息作为社团检测算法的输入,基于的模块度最大化的思想进行社团划分;并根据社团中情报质量的平均值计算出社团的情报质量;对单一情报而言,其情报质量为所处社团平均质量与自身情报源质量之和,并对情报进行排序,进而得到高质量情报的集合;执行步骤9;步骤9.初始化决策树模型,在决策树的根节点,从步骤6中得到的对齐后的流量和日志数据中选择一个关键字段进行分裂;之后递归地在子节点中选择目的IP、端口号,逐步构建决策树的结构;在决策树的每个节点或路径中,引入与当前节点字段相关联的威胁情报字段;决策树的某个路径包含了与威胁情报相关的字段匹配时,将这些情报字段融合到当前路径中,同时步骤8得到的情报质量也会加入到字段中;执行步骤10;步骤10.通过遍历决策树,将包含流量、日志和威胁情报的路径提取出来;每条路径代表了一个融合后的数据条目,包含流量、日志和情报的相关信息;将相关信息按照入侵检测系统规则的格式填充,得到入侵检测规则。

全文数据:

权利要求:

百度查询: 北京工业大学 多源数据融合驱动的入侵检测规则生成方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。

相关技术
相关技术
相关技术
相关技术