入侵告警关联系统及关键技术的研究

入侵检测系统的大部分攻击事件之间都存在某种联系,通过对这些告警的关联分析能够减少告警数量,降低误报率,更好地发现攻击以及动态地监控网络。论文提出了一种告警关联系统,系统包括聚合分析、告警确认、多步攻击关联分析和告警严重度分析等过程。文章还对系统中两种主要方法—步攻击关联进行了描述。     

基于模糊聚类的攻击预警

为提高攻击预警的准确性,本文在基于攻击意图的攻击预警方法的基础上提出了一种基于模糊聚类的攻击预警方法.该方法通过聚类攻击行为,量化和反映攻击者的攻击意图,从而对攻击者的下一步攻击行为进行准确预警.实验表明,该方法能够在有效的时间内更加准确地预测并报警攻击者下一步攻击行为,满足攻击预警时效性和准确性要求.     

利用模糊聚类实现入侵检测告警关联图的重构

众多的入侵检测告警关联方法中,因果关联是最具代表性的方法之一。针对因果关联在一些条件下会引发关联图分裂的问题,提出利用模糊聚类的方法实现攻击场景重构。在聚类过程中,针对告警特性提出一种基于属性层次树的相似度隶属函数定义方法,并给出评价相似度度量和衡量攻击场景构建能力的若干指标。实验结果表明,该方法能够有效地组合分裂的关联图,重构攻击场景。     

多IDS环境中基于可信度的警报关联方法研究

针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组合规则来融合这些证据,最后决策判断警报所对应的攻击是否发生,从而消除各IDS报告警报的模糊性和冲突性,达到提高警报质量的目的。在DARPA 2000测试数据集上的实验结果表明,该方法能有效降低误报率,减少警报数目60%以上。     

基于警报序列聚类的多步攻击模式发现研究

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。     

基于攻击图的多源告警关联分析方法

现有基于攻击图(attack graph)的告警关联分析方法难以全面处理告警关联关系,同时,漏报推断和告警预测带来大量冗余路径误报。针对以上问题提出了基于攻击图的多源告警关联分析算法,能够综合应用图关系和阈值限制进行联动推断和预测,达到更为全面解决攻击图中的告警漏报和减少误报数量的目的。同时,将告警处理算法并行化,提出了AG-PAP告警并行处理引擎。实验表明,该方法能够提升关联分析的有效性和性能表现。     

基于告警关联的“互联网”多步攻击意图识别方法

针对现有静态评估的漏洞威胁技术不能有效量化网络攻击危害的问题，提出一种基于告警关联的多步攻击意图识别方法。该方法通过告警数据的关联特点挖掘并还原攻击者的多步攻击序列，围绕攻击过程评估基础设施重要性和漏洞威胁探测攻击者意图，从而实现还原攻击场景、刻画攻击行为的目的。实验表明，与传统算法进行对比分析，在DARPA2000上验证了该算法对特定网络攻击场景的识别能力，且百分误差绝对值和均方误差绝对值均低于传统算法。由此可知，文中所述的结合漏洞威胁和基础设施重要性来关联攻击步骤能够有效解决攻击过程出现的虚假攻击问题，提升了网络多步攻击意图识别的准确性。     

一种安全事件模糊关联规则挖掘算法

随着信息技术和数据库技术的飞速发展,从大量的数据中获取有用的信息和知识变得越来越重要。模糊关联规则挖掘是数据挖掘中针对数量型属性关联规则发现的一种有效方法。提出了一种基于矩阵的模糊关联规则挖掘算法,并将其应用于网络安全事件关联分析中,通过对DARPA标准数据集的分析,得出了预期数量的关联规则,并成功验证了某些攻击场景,该模糊关联规则挖掘算法取得了较好的实验结果。     

DF关联规则及其挖掘算法的研究

针对动态模糊关联数据,运用DFS和DFL的理论提出了动态模糊关联规则的定义,并在此基础上进一步给出了面向动态模糊关联数据的一种数据挖掘算法;最后通过实例分析,表明该算法能够有效发现数据间的动态模糊关联模式.     

数据关联的神经——模糊融合方法

本文提出了基于神经－－模糊融合网络的数据关联新方法，解决了杂波背影下多目标２数据关联的实际问题，首衔为分级实现数据关联和降低关联模糊度，在文献（１）的基础上构造了多目标快速数据关联的系统结构，然后应秀神经－－模糊融合技术和改进的模糊基函数网络学习算法完成相关值的计算，该方法在地波超视距达站应用结果表明，这种方法提高了数据关联的性能和快速性，并为强海杂波背影下多目标跟踪提供了一种新的方法。     

基于描述逻辑的告警信息关联

随着网络安全问题的日益突出,IDS被更多地用于安全防护,然而每天数以千计的告警信息却使得安全管理员无从招架。因此,自动关联有逻辑联系的告警信息从而减少告警数量已成为IDS日后发展的关键。论文以描述逻辑为基础,用它对攻击进行统一定义;以攻击场景为载体,用它来分析匹配相继出现的告警信息;以能力集为纽带,用它来串联起一幅幅攻击场景,从而能清晰地展现不同告警之间所隐含的逻辑关系,进而为实现关联归并提供依据。     

FuzMet: a fuzzy‐logic based alert prioritization engine for intrusion detection systems

Intrusion detection systems (IDSs) are designed to monitor a networked environment and generate alerts whenever abnormal activities are detected. The number of these alerts can be very large, making their evaluation by security analysts a difficult task. Management is complicated by the need to configure the different components of alert evaluation systems. In addition, IDS alert management techniques, such as clustering and correlation, suffer from involving unrelated alerts in their processes and consequently provide results that are inaccurate and difficult to manage. Thus the tuning of an IDS alert management system in order to provide optimal results remains a major challenge, which is further complicated by the large spectrum of potential attacks the system can be subject to. This paper considers the specification and configuration issues of FuzMet, a novel IDS alert management system which employs several metrics and a fuzzy‐logic based approach for scoring and prioritizing alerts. In addition, it features an alert rescoring technique that leads to a further reduction in the number of alerts. Comparative results between SNORT scores and FuzMet alert prioritization onto a real attack dataset are presented, along with a simulation‐based investigation of the optimal configuration of FuzMet. The results prove the enhanced intrusion detection accuracy brought by our system. Copyright © 2011 John Wiley & Sons, Ltd.     

考虑置信度的告警因果关联的研究

一个成功的网络攻击往往由若干个处于不同阶段的入侵行为组成,较早发生的入侵行为为下一阶段的攻击做好准备。在因果关联方法中,可以利用入侵行为所需的攻击前提和造成的攻击结果,重构攻击者的攻击场景。论文引入了告警关联置信度的属性描述,用于分析因果关联结果的可信度,进而能够进一步消除虚假关联关系。通过DARPA标准数据集分析,该方法取得了较好的实验结果。     

网络安全事件的关联分析方法的比较研究

随着当前攻击手段和技术的日益复杂化,一次入侵事件往往需要多个步骤才能完成,这些步骤都是彼此相关的。但是传统的入侵检测集中于检测底层的入侵或异常,所检测到的结果也仅仅是一次完整入侵的一部分,所以不能将不同的报警结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。关联分析技术将不同分析器上产生的报警进行融合与关联分析,极大地减少了报警的数量,降低了入侵检测的误报率,并且适当的减少了入侵检测的漏报率。文中在对网络安全事件关联分析方法的系统结构进行分析后,着重介绍了当前比较流行的几种网络安全事件关联分析方法,最后对各种方法进行了比较研究。     

基于MANET的入侵检测系统

入侵检测系统(IDS)能够有效保障移动自组织网(MANET)的网络安全。但是当存在大规模入侵时,IDS很难及时准确地对入侵行为进行分析,与此同时,产生的警报会占用大量的通信带宽,影响正常的网络通信。论文在已有的混合型无线IDS模型的基础上,加入相关运算模块,能够显著减少无线节点的运算负荷与通信负荷,提高警报的准确度。     

多源入侵检测警报的决策级融合模型

为了大幅降低对训练样本的要求,摒弃苛刻的约束条件,提出了一种支持在线增量训练的警报融合模型。将初级警报向量映射为表决模式,以缩小统计空间。通过训练统计出各种表决模式在正常或攻击流量下的条件概率分布,依据统计特征的变化即时推断待检测流量的构成情况,使用阈值约束法和贝叶斯推断做出融合决策。从而拓展了适用范围,并且能较好地跟踪适应待检测流量,仅需少量训练样本便可显著提升检测性能。