一个基于规则匹配入侵检测系统的设计

给出了一个基于规则匹配的入侵检测系统RMIDS的体系结构、组织结构.详细设计并阐述了RMIDS系统数据采集、规则匹配、入侵响应、操作日志记录和攻击日志记录五大功能模块的工作原理和模块间的处理流程.     

入侵检测中基于序列模式的告警关联分析

提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式挖掘算法,用于关联规则发现;在线关联模块匹配规则库形成攻击场景图,并预测未知攻击事件。使用2000 DARPA攻击数据集测试表明,该模型能够明显改善入侵检测系统的性能,验证了模型和算法的有效性。     

一个基于规则匹配入侵检测系统的设计

给出了一个基于规则匹配的入侵检测系统RMIDS的体系结构、组织结构。详细设计并阐述了RMIDS系统数据采集、规则匹配、入侵响应、操作日志记录和攻击日志记录五大功能模块的工作原理和模块间的处理流程。     

基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。     

基于自扩展时间窗的告警多级聚合与关联方法

针对传统告警聚合与关联方法在合理性和准确性上的不足,提出了基于多级划分思想的告警聚合方法和基于马尔可夫链模型的告警关联方法。首先,使用入侵检测消息交换格式来描述网络告警,利用告警的时序接近关系进行时间窗口的自动扩展,将时间间隔小于预设阈值的告警划分到同一个时间窗内;进而,分别根据攻击类型、时间窗口、子网掩码、IP地址和端口信息依次划分告警,利用属性匹配方法进行子网级、主机级和服务级聚合,有效聚合攻击者利用同一路由器、傀儡主机或服务端口实施攻击而产生的相似告警;在此基础上,利用1阶马尔可夫链模型生成告警关联图,将攻击类型间的条件转移概率作为关联图的有向边,并利用告警的时序紧邻关系计算出攻击类型间的转移概率。实验中,利用入侵检测系统Snort的最严格模式处理DARPA2000流量数据,得到LLDoS1.0攻击场景所对应的入侵告警集合;利用本文方法对集合中的5类告警进行聚合和关联,通过参数寻优得到自扩展时间窗口最理想的间隔阈值,使得告警多级聚合结果能够有效精简告警,并与告警源IP和源端口的分布情况一致;通过比较告警关联结果与攻击场景的官方描述来计算告警关联的准确率。与传统方法进行对比,本文方法的告警关联准确率为97.94%,比传统方法提高了2.29%。     

遗传算法在入侵检测规则提取中的应用

传统入侵检测系统的攻击规则库需要专家手工建立,为了实现入侵检测系统中攻击规则生成的自动化,提出将遗传算法应用于入侵检测规则学习问题中.遗传算法依据网络审计记录推导出分类规则,用支持度-置信度函数作为适应度函数进行规则评估,产生的规则用于实时环境中的检测或分类网络入侵.最后通过入侵实例验证了方法的有效性.     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

一种基于遗传算法的误用检测模型自适应建立算法

传统入侵检测系统的攻击模型库需要专家手工建立,不利于系统的推广和应用.为了实现入侵检测系统中入侵特征提取和攻击规则生成的自动化,提出将遗传算法应用于入侵检测规则学习问题中.采用遗传进化操作启发式搜索网络特征数据空间,通过操作算子进行遗传运算,产生出具有高适应度的个体,从而自动归纳出某种入侵的共同属性.采用DARPA入侵检测评价计划数据库进行了仿真实验,该方法归纳总结出的攻击特征符合客观事实,与专家建立的攻击规则一致,并且较好地处理了噪音数据,具有鲁棒性.误用检测模型自适应建立算法能够在无专家参与的情况下自动建立攻击类型库,增强了入侵检测系统的可移植性.     

基于关联规则自动建模的入侵检测模型

介绍了入侵检测的作用、类型和原理,针对入侵检测系统中由于模式库更新不及时造成的高误报率和漏报率,提出了协同数据挖掘的入侵检测模型.该技术依据关联规则,自动发现事物间联系的特性,利用关联规则自动生成模式库,并针对传统Apriori算法的缺陷引入加权关联规则.实验结果表明,该模型对已有的典型攻击检测率为90%以上.     

Linux环境下的日志分析系统LASL

日志文件是计算机系统运行轨迹的写照,是入侵检测分析中重要的数据来源.日志分析主要用于入侵事件后采取相应的应急响应措施,最大可能地减少入侵造成的损失.LASL把传统的日志分析技术和移动Agent技术相结合,实现了Linux环境下的主机日志分析系统,具有智能化、自动化和分布式的特点.     

基于扩展CPN的多源数据报警相关性

针对网络安全管理员要处理来自IDS、防火墙、防病毒软件以及漏洞扫描器等安全工具所产生的报警信息来获得计算机网络中攻击的高级描述,提出基于多源数据报警相关性的方法。首先,对CPN(Colored Petri Net)进行扩充,增加了反映安全工具报警信息的观测集,形成了ECPN(Extended Colored Petri Net),并对其进行了形式化描述与图形建模;其次,提出了基于ECPN攻击场景的构建关联算法ECPN-Scenario-Constructor以及攻击动作提取算法Multistep-Abstract;最后,对DARPA 2000入侵场景关联评测数据集进行了实验。实验结果表明:该算法可以对报警进行有效的关联,及早地发现攻击者的攻击策略,并能有效地避免误报和减少漏报。     

基于对象感知的入侵检测技术

常规入侵检测系统对被保护的网络对象一无所知,仅根据对比网络事件和入侵知识库进行异常判断,不能准确告知网络事件对被保护网络的实际威胁,造成大量误警。采用被动和主动网络对象感知技术可以有效分析网络异常事件的实际威胁性,只对有实际威胁的事件进行高级别报警,提高入侵检测系统的有效性。     

蜜网系统的设计与实现

阐述了网络安全领域的新技术——honeypot技术的理论，分析了honeynet的关键技术，以此为基础设计了一个honeynet网络诱骗系统，并在实验环境中进行了测试，结果表明：该系统能对网络进行有效的监控．     

蜜网系统的设计与实现

阐述了网络安全领域的新技术——honeypot技术的理论,分析了honeynet的关键技术,以此为基础设计了一个honeynet网络诱骗系统,并在实验环境中进行了测试,结果表明:该系统能对网络进行有效的监控.     

数据挖掘在入侵检测技术中的应用研究

针对入侵检测系统的特点,分析了数据挖掘在入侵检测技术中应用的研究现状,并利用数据挖掘技术在处理海量警报数据方面的优势,提出了一个入侵警报分析系统模型,通过对入侵检测系统产生的警报进行分析,减少了警报数量,提高了系统的检测效率和实用性。     

入侵检测系统的数据挖掘模型及算法研究

分析了目前入侵检测系统存在的错报、漏报等问题，阐述了在网络入侵检测系统中运用数据挖掘技术的基本原理，提出了基于数据挖掘的入侵检测框架模型，探讨了通过对网络连接特性的挖掘来提高警报准确率以及检测未知入侵的方法，最后设计了一个对网络连接性能参数进行数据挖掘的分类算法，并对其具体实现过程进行了描述。     

Openflow下的动态虚拟蜜网系统

提出了一种Openflow下的动态虚拟蜜网系统,利用Openflow交换机及其控制器的软件定义网络的新型网络架构,解决现有蜜网系统中流量控制困难的问题,替代现有基于重定向网关的半软件半硬件的转发方案. 设计了一种虚拟蜜罐系统,可以虚拟运行任意服务的任意主机,能够动态调整蜜罐结构. 提出了叠加虚拟蜜网的概念,在一个蜜网物理实体中叠加运行多个不同的虚拟蜜网系统. 部署设计的蜜网系统验证了密网系统转发时延低、动态性强的特性和叠加虚拟蜜网系统的有效性.     

遗传算法在蜜网中的应用研究

分析了网络攻击和入侵行为日趋复杂的现状,传统的网络被动防御技术已经无法有效地保护网络安全。研究了蜜网技术和遗传算法,根据遗传算法在动态环境中的鲁棒性、自适应性的特点,提出了将遗传算法应用到蜜网系统中,并设计了遗传算法在蜜网中的数据分析流程,该算法弥补了传统的统计检测方法的缺陷。仿真实验证明,该系统能有效地捕捉恶意行为,防御多种新型攻击,该算法具有一定的优越性。     

一种分层实现的分布式告警融合算法

在大规模高速网络环境下,分布式入侵检测系统中使用的告警融合算法把底层模块产生的多个简单告警融合生成少量包含更多信息的告警.以减少冗余告警,提高入侵检测的检测效率,降低误报率,最终为管理员提供简练精确的告警.算法通过"聚集--合并--关联"二个步骤,实现了对告警的融合.