面向間隔告警的多步網絡攻擊定量關聯方法

摘要：為準確判斷復雜多步攻擊的意圖和下一步攻擊行為,需要對入侵告警進行定量關聯分析。針對復雜多步攻擊產生的告警在序列中經常間隔出現的實際,提出一種間隔告警定量關聯方法。利用一階馬爾可夫性質建立告警關聯模型,定量地表示攻擊者選擇不同攻擊路徑的可能性,利用Apriori頻繁序列挖掘算法得出頻繁告警2-序列的支持度,將歸一化的序列支持度作為馬爾可夫鏈的一步轉移概率。利用DARPA2000真實網絡數據集進行實驗,實驗結果表明,該方法對復雜多步攻擊告警的關聯準確率優于傳統方法。