基于SEMMA的网络安全事件可视探索
TP391.41; 网络安全可视化可直观地提取网络安全特征、全方位感知网络安全态势,但如何宏观把控网络安全的整体分析流程仍是一大研究难题.为此,引入了数据挖掘中经典的示例-探索-修改-模型-评估(sample-explore-modify-model-assess,SEMMA)分析范式,并结合网络安全可视化提出了一套通用的网络安全事件分析模型,将分析过程划分为数据处理、行为特征探索、异常对象定位、异常事件描述与行为模式关联分析等步骤,规范安全事件探索分析流程.在行为特征探索环节,用模糊C均值算法量化主机行为,识别网络资产结构;提出了用基于协议的节点链接图(protocol-based node...
Gespeichert in:
| Veröffentlicht in: | 浙江大学学报(理学版) 2022-03, Vol.49 (2), p.131-140 |
|---|---|
| Hauptverfasser: | , , , , |
| Format: | Artikel |
| Sprache: | chi |
| Online-Zugang: | Volltext |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Zusammenfassung: | TP391.41; 网络安全可视化可直观地提取网络安全特征、全方位感知网络安全态势,但如何宏观把控网络安全的整体分析流程仍是一大研究难题.为此,引入了数据挖掘中经典的示例-探索-修改-模型-评估(sample-explore-modify-model-assess,SEMMA)分析范式,并结合网络安全可视化提出了一套通用的网络安全事件分析模型,将分析过程划分为数据处理、行为特征探索、异常对象定位、异常事件描述与行为模式关联分析等步骤,规范安全事件探索分析流程.在行为特征探索环节,用模糊C均值算法量化主机行为,识别网络资产结构;提出了用基于协议的节点链接图(protocol-based node link diagram,PBNLD)可视化表征形式构建网络通信模型,以提升大规模节点的绘制质量;以安全事件分析模型为指导,面向多源安全日志实例数据,搭建了网络安全事件可视探索系统,通过多视图协同与故事线回溯的方式实现网络资产划分、网络异常事件提取和攻击事件演化.最后,通过实验证明了分析模型的有效性. |
|---|---|
| ISSN: | 1008-9497 |
| DOI: | 10.3785/j.issn.1008-9497.2022.02.001 |