利用模糊聚类实现入侵检测告警关联图的重构

众多的入侵检测告警关联方法中,因果关联是最具代表性的方法之一。针对因果关联在一些条件下会引发关联图分裂的问题,提出利用模糊聚类的方法实现攻击场景重构。在聚类过程中,针对告警特性提出一种基于属性层次树的相似度隶属函数定义方法,并给出评价相似度度量和衡量攻击场景构建能力的若干指标。实验结果表明,该方法能够有效地组合分裂的关联图,重构攻击场景。     

一种基于因果关联的攻击场景产生方法

提出一种基于因果关联的攻击场景产生方法.利用因果关联能够发现新的攻击场景的特点,对定义好的超报警类型进行关联,得到所有可能的具有实际意义的攻击场景.实验表明,该方法能够有效解决攻击场景问题.     

基于数据挖掘的因果关联知识库构建方法

网络告警因果关联技术有助于管理员根据告警之间的因果关系构建攻击场景,及时调整防范措施。现有因果关联技术主要依靠专家经验人为定义因果关联知识库,无法适应攻击类型的不断变化。论文提出了一种基于数据挖掘技术的因果关联知识库构建方法,实现了关联知识库的自适应调整,降低了告警关联的漏警率。     

基于因果关联的电力工控系统攻击场景还原

随着电力系统自动化程度的快速提升,电力工控系统已成为网络攻击的重要目标。文中将因果关联方法应用于电力工控系统攻击场景还原,并提出一个完整的场景还原框架。该框架在攻击取证阶段通过入侵检测和监测设备得到多源原始告警信息,然后采用入侵检测信息交换格式将多源告警信息标准化并去除冗余,获得有效攻击证据;在场景还原阶段,引入告警信息差异度计算方法,并结合因果关联方法推理还原攻击路径。配电网攻击还原案例分析验证了所提框架的可行性。     

考虑置信度的告警因果关联的研究

一个成功的网络攻击往往由若干个处于不同阶段的入侵行为组成,较早发生的入侵行为为下一阶段的攻击做好准备。在因果关联方法中,可以利用入侵行为所需的攻击前提和造成的攻击结果,重构攻击者的攻击场景。论文引入了告警关联置信度的属性描述,用于分析因果关联结果的可信度,进而能够进一步消除虚假关联关系。通过DARPA标准数据集分析,该方法取得了较好的实验结果。     

基于模糊—隐马尔可夫模型的复合式攻击预测方法

通过对复合式攻击预测方法的研究,将关联规则、模糊评价法和隐马尔可夫模型相结合,提出了基于模糊—隐马尔可夫模型的复合式攻击预测方法。该方法首先将原始报警信息融合为超级报警信息,进而基于攻击行为的初始概率分布确定初始状态矩阵,根据关联规则确定状态转移矩阵,应用模糊判别法确定观察矩阵,最后应用隐马尔可夫模型中的Forward算法对报警信息隶属的攻击场景进行了识别,Viterbi算法对攻击意图序列进行了预测。仿真实验验证了该方法的有效性。     

基于贝叶斯网络的攻击图方法在网络安全评估中的应用

随着网络的发展,网络安全评估成为网络维护中不可或缺的组成部分,尽管攻击图、攻击树和其他技术已被广泛地用于预测所有漏洞,但仍然缺少一个有效的手段来量化地分析网络安全.介绍一个新方法构建一个带标记的攻击图,图中的每个节点都被标注了一个概率值用来说明该漏洞被成功利用的可能性,每条边都代表了漏洞间的关联.采用通用漏洞评分系统(CVSS)作为基础计算每个漏洞被利用的概率,采用贝叶斯网络计算累积的概率,并用一些典型场景评估了该方法的有效性和准确性.     

基于动态概率攻击图的云环境攻击场景构建方法

针对复杂多步攻击检测问题,研究面向云计算环境的攻击场景构建方法.首先,构建了动态概率攻击图模型,设计了概率攻击图更新算法,使之能够随着时空的推移而周期性更新,从而适应弹性、动态性的云计算环境.其次,设计了攻击意图推断算法和最大概率攻击路径推断算法,解决了误报、漏报导致的攻击场景错误、断裂等不确定性问题,保证了攻击场景的...     

基于参数差异假设的图卷积网络对抗性攻击

图神经网络容易受到对抗性攻击安全威胁.现有图神经网络对抗性攻击思想可以概括为构造矛盾的训练数据.矛盾数据假设不能很好地解释图神经网络过拟合训练数据的攻击场景.本文以有效攻击前后图神经网络模型的训练参数应该具有较大差异为基本出发点，以图卷积网络为具体研究对象，建立基于参数差异假设的对抗性攻击模型.将统计诊断的重要结果 Cook距离引入对抗性攻击，提出基于Cook距离的参数差异度量方法 .采用基于Cook距离梯度的攻击方法，首次得出了攻击梯度的闭式解，并结合梯度下降算法思想和贪心算法思想提出完整的攻击算法.最后设计实验验证了参数差异假设的合理性和基于该假设导出方法的有效性；验证了梯度信息对图场景离散数据的可用性；仿真示例说明了攻击梯度闭式解的正确性；与其他攻击方法对比分析了攻击方法的有效性.     

基于树形规则的网络安全事件关联分析方法

为了解决网络安全管理中海量数据,误报严重,报警零散的问题,提出了一种基于树形关联规则的网络安全事件关联分析方法.该方法通过对告警出现率与相似度的计算来聚合网络安全事件,并通过对告警可信度的计算来识别误报警.同时,通过树形规则中树节点之间的关系来定义同一类告警,算法能有效地将零散存在的告警组织成为一个完整的攻击.初步的试验表明该方法能够有效地减少告警数量,识别误报和关联安全事件.