入侵告警关联系统及关键技术的研究

入侵检测系统的大部分攻击事件之间都存在某种联系,通过对这些告警的关联分析能够减少告警数量,降低误报率,更好地发现攻击以及动态地监控网络。论文提出了一种告警关联系统,系统包括聚合分析、告警确认、多步攻击关联分析和告警严重度分析等过程。文章还对系统中两种主要方法—步攻击关联进行了描述。     

IDS告警融合与关联模型的研究

入侵检测是保障网络安全的重要手段,针对现有入侵检测系统中告警数量多、协调性差等问题,论文提出了一种具有告警融合与关联功能的告警处理系统模型,该模型冗余告警量少、整体检测能力强,并能进行攻击企图的预测,能有效提高入侵检测的效率,有助于进一步增强网络的健壮性。     

基于多挖掘方法和CPN的告警关联系统

网络攻击越来越复杂,入侵检测系统产生大量告警日志,误报率高,可用性低。为此,论文提出采用聚类分析、关联挖掘算法和基于彩色Petri网的联合挖掘多步骤攻击方法进行IDS告警关联,从宏观和微观攻击轨迹角度重建攻击场景,提高了入侵检测系统的可用性。     

隐马尔可夫模型应用于入侵检测系统的研究

现在入侵检测系统面临着巨大挑战，越来越复杂的计算机网络系统，越来越高明的入侵手段要求入侵检测技术不断快速向前发展。对于入侵检测的实现手段也要多样化。 本文提出了一种基于隐马尔可夫模型的异常检测新方法——隐马尔可夫状态时延序列嵌入法（HMMTide）。这种方法的主要思想是用HMM模型的隐含状态序列的局部模型，即隐马尔可夫状态短序列，实现对正常行为的特征的刻画。通过对被测行为产生的隐马尔科夫状态序列局部模式与已建立的正常模型进行比较实现异常检测。该方法具有从不完整的数据中进行异常分析的能力，减少了对系统资源的需求。对HMMTjde方法进行了仿真实验，实验结果表明采用HMM方法后，虚警率大大降低了，而且在构建正常行为特征库时，对数据完整性的要求也大大降低了。     

入侵检测系统中的行为模式挖掘

提出了一种利用模式挖掘技术进行网络入侵防范的方法及其入侵检测系统模型,设计并实现了一个基于关联规则的增量式模式挖掘算法。通过对网络数据包的分析,挖掘出网络系统中频繁发生的行为模式,并运用模式相似度比较对系统的行为进行检测,进而自动建立异常和误用行为的模式库。实验结果证明,本文提出的方法与现有的入侵检测方法相比,具有更好的环境适应性和数据协同分析能力,相应的入侵检测系统具有更高的智能性和扩展性。     

基于改进关联规则的网络入侵检测方法的研究

研究关联规则的高效挖掘算法对于提高入侵检测的准确性和时效性具有非常重要的意义.针对现行的入侵检测方法建立的正常模式和异常模式不够准确、完善,容易造成误警或漏警的问题,本文将改进后的关联规则挖掘算法-XARM和关联规则增量更新算法-SFUP应用于网络入侵检测,提出了新的入侵检测方法,该方法通过挖掘训练审计数据中的频繁项集建立系统和用户的正常行为模型以及入侵行为模型.     

一种基于关联的IDS告警分析模型

针对现有入侵检测系统中存在告警量过大、误报率高的问题,运用过滤检测、相关性分析等方法,对原始告警信息进行二次处理.实验证明,该模型能有效缩减告警数量,降低误警率.同时,还能将告警结果按照危险级别进行分类统计,以图形化的方式报告给用户,从而达到预警的目的.     

基于加权关联规则的入侵检测研究

提出了采用加权关联规则技术的网络入侵检测系统的结构，将加权关联规则算法应用于入侵模式的挖掘中，在一定程度上提高了入侵检测的检测率，同时使误报率大大降低。     

考虑置信度的告警因果关联的研究

一个成功的网络攻击往往由若干个处于不同阶段的入侵行为组成,较早发生的入侵行为为下一阶段的攻击做好准备。在因果关联方法中,可以利用入侵行为所需的攻击前提和造成的攻击结果,重构攻击者的攻击场景。论文引入了告警关联置信度的属性描述,用于分析因果关联结果的可信度,进而能够进一步消除虚假关联关系。通过DARPA标准数据集分析,该方法取得了较好的实验结果。     

浅析网络的入侵检测

入侵检测问题是目前针对网络攻击现象的一种有效的解决途径，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象．文章介绍了入侵检测系统的概念、技术以及入侵检测的方法，并展望了入侵检测系统的发展趋势．     

基于粗糙集-支持向量机理论的过滤误报警方法

为过滤入侵检测系统报警数据中的误报警,根据报警的根源性和时间性总结出了区分真报警和误报警的19个相关属性,并提出了一种基于粗糙集-支持向量机理论的过滤误报警的方法。该方法首先采用粗糙集理论去除相关属性中的冗余属性,然后将具有约简后的10个属性的报警数据集上的误报警过滤问题转化为分类问题,采用支持向量机理论构造分类器以过滤误报警。实验采用由网络入侵检测器Snort监控美国国防部高级研究计划局1999年入侵评测数据(DARPA99)产生的报警数据,结果表明提出的方法在漏报警约增加1.6%的代价下,可过滤掉约98%的误报警。该结果优于文献中使用相同数据、相同入侵检测系统的其它方法的结果。     

FuzMet: a fuzzy‐logic based alert prioritization engine for intrusion detection systems

Intrusion detection systems (IDSs) are designed to monitor a networked environment and generate alerts whenever abnormal activities are detected. The number of these alerts can be very large, making their evaluation by security analysts a difficult task. Management is complicated by the need to configure the different components of alert evaluation systems. In addition, IDS alert management techniques, such as clustering and correlation, suffer from involving unrelated alerts in their processes and consequently provide results that are inaccurate and difficult to manage. Thus the tuning of an IDS alert management system in order to provide optimal results remains a major challenge, which is further complicated by the large spectrum of potential attacks the system can be subject to. This paper considers the specification and configuration issues of FuzMet, a novel IDS alert management system which employs several metrics and a fuzzy‐logic based approach for scoring and prioritizing alerts. In addition, it features an alert rescoring technique that leads to a further reduction in the number of alerts. Comparative results between SNORT scores and FuzMet alert prioritization onto a real attack dataset are presented, along with a simulation‐based investigation of the optimal configuration of FuzMet. The results prove the enhanced intrusion detection accuracy brought by our system. Copyright © 2011 John Wiley & Sons, Ltd.     

大数据环境下的入侵检测系统框架

入侵检测技术在现代网络安全防护技术中占有重要地位,但面对现代大数据环境,传统的入侵检测技术面对瓶颈,很难在大数据量的情况下,做出及时准确的判断分析。简要介绍了现有的Hadoop、Spark等主要大数据软件,并在传统的入侵检测技术的基础上,结合现有的大数据技术,给出了在大数据环境下的入侵检测技术框架。从网络拓扑图的角度,描述了整个网络环境,然后以模块化、流程化的方式,分别详细的描述了流量采集模块、检测分析流程、入侵检测软件栈、报警模块等大数据环境下入侵检测系统的构成部分。最终以此构建了大数据环境下的入侵检测系统。     

聚类分析在入侵检测系统中的应用研究

入侵检测系统是计算机网络安全的重要组成部分.本文通过对两种入侵检测模型的分析,提出了一种基于聚类分析的非监督式异常检测方法,并以KDD99 Cup的数据集为基础做了相应实验.实验结果证明这种方法具有比较高的检测性能.     

基于频繁模式挖掘的报警关联与分析算法

提出了一个入侵检测与响应协作模型,结合入侵容忍的思想扩展了入侵检测消息交换格式IDMEF,增加了怀疑度属性.除了发现的入侵事件外,一些可疑的事件也会报告给协作部件.提出了一个基于修改的CLOSET频繁闭模式挖掘算法的报警关联与分析算法,在分布式入侵检测与响应协作系统中,帮助协作部件对收到的IDMEF格式的报警消息进行关联和分析,以便做出合适的响应.为此,修改了CLOSET算法来按照最小支持度和最小怀疑度来得到频繁闭模式.实验结果表明,应用该算法可以很好地缩减报警数量,同时对于所有可疑的和入侵事件,都可以做出适宜的响应.     

基于多层模式匹配技术的高速以太网NIDS实现方案

目前多数基于网络的入侵检测系统(NIDS)无法适用于对高速以太网链路的实时流量分析和入侵检测任务.本文在传统模式匹配方法的基础上,引入了基于协议分析的多层模式匹配概念:采用FPGA硬件逻辑对长度和偏移量相对固定的数据包包首部分进行模式匹配;采用核心态软件逻辑对长度和偏移量变化的数据包负载部分进行模式匹配.新的模式匹配技术有效提高了NIDS的整体性能.最后,本文给出了一种基于多层模式匹配的高速以太网NIDS实现方案.并对FPGA硬件逻辑和核心态软件逻辑采用的检测策略进行了详细说明.     

网络入侵防御技术研究

对网络入侵防御技术进行了分类，并分析了每种技术的特点，最后提出一种入侵防御系统的结构模型，该模型采用在线检测模式．融合使用状态检测、特征检测、异常检测以及协议分析等多种检测技术来提高检测的准确性及检测效率，并通过对报警的可信度进行评判，进一步降低误报率，提高系统的检测防御性能。     

网络入侵检测技术研究(下)

入侵检测是近几年发展起来的新型网络安全策略，它实现了网络系统安全的动态检测和监控。文章介绍了入侵检测系统的体系结构和检测方法，指出了入侵检测系统应具有的功能以及入侵检测系统的分类，分析了现有的入侵检测技术以及多种检测技术在入侵检测系统中的应用。     

入侵检测技术分类与比较研究

入侵检测是信息安全保障的关键技术之一,近年来成为网络安全领域的研究热点。论述了入侵检测的基本概念,依据不同标准对入侵检测系统进行分类,阐述并比较了各种入侵检测技术和方法,分析现存的三种入侵检测体系结构。     

网络入侵检测技术研究(上)

入侵检测是近几年发展起来的新型网络安全策略。它实现了网络系统安全的动态检测和监控。文章介绍了入侵检测系统的体系结构和检测方法，指出了入侵检测系统应具有的功能以及入侵检测系统的分类，分析了现有的入侵检测技术以及多种检测技术在入侵检测系统中的应用。