網絡安全告警的時間序列分析及預測.pdf

1、目前關聯分析等“后入侵檢測”技術是安全數據分析的主要方法,主要包括聚合關聯、交叉關聯、多步攻擊關聯等。然而它們都是從微觀的角度分析安全事件產生告警之間的邏輯關系,要求高質量的告警,而且算法復雜度非常高,當面對大規(guī)模網絡中海量安全數據時,根本不能有效地發(fā)現攻擊。
　　基于時間序列理論的關聯方法能夠分析大規(guī)模網絡中安全數據的宏觀行為。根據正常情況下網絡安全告警數量的時間序列特點來建立自回歸移動平均(ARMA)模型,該模型能夠對未來正常

2、狀態(tài)下網絡安全告警數量進行預測,從而達到識別大規(guī)模的網絡惡意活動如DDoS、蠕蟲等的目的。同時在確定告警數異常后,統(tǒng)計發(fā)生異常的時間區(qū)間內出現最多的Signature、源IP和目的IP等告警屬性,再分別獲取這些屬性的告警在發(fā)生網絡異常之前對應的告警時間序列,通過相關分析,進而確定對應的告警異?；顒拥母婢瘜傩?定位網絡攻擊。
　　實驗平臺建立在中國教育科研網的一個100Mbps接入網上,首先采集相關數據作為訓練集,確定建模的時間序列