摘要：为了从分散的告警日志中发现攻击模式、构建攻击场景，通过分析现有攻击场景重构方法，针对现有方法因果知识复杂难懂且难以自动获取的问题，提出一种基于因果知识发现的攻击场景重构方法。所提方法首先按照知识发现的过程，通过告警日志间IP属性的相关程度，构建攻击场景的序列集合；然后，采用时间序列建模的方式去除误告警，以精简攻击场景序列；最后，利用概率统计方法发现各告警类型问的关联关系。在DARPA2000数据集上对方法进行了实验验证，结果表明，该方法能有效识别多步攻击模式。

注：因版权方要求，不能公开全文，如需全文，请咨询杂志社