基于扩展CPN的多源数据报警相关性

针对网络安全管理员要处理来自IDS、防火墙、防病毒软件以及漏洞扫描器等安全工具所产生的报警信息来获得计算机网络中攻击的高级描述，提出基于多源数据报警相关性的方法。首先，对CPN(ColoredPetriNet)进行扩充，增加了反映安全工具报警信息的观测集，形成了ECPN(ExtendedColoredPetriNet)，并对其进行了形式化描述与图形建模；其次，提出了基于ECPN攻击场景的构建关联算法ECPNScenarioConstructor以及攻击动作提取算法MultistepAbstract；最后，对DARPA2000入侵场景关联评测数据集进行了实验。实验结果表明：该算法可以对报警进行有效的关联，及早地发现攻击者的攻击策略，并能有效地避免误报和减少漏报。