一种基于因果关联的攻击场景产生方法

提出一种基于因果关联的攻击场景产生方法.利用因果关联能够发现新的攻击场景的特点,对定义好的超报警类型进行关联,得到所有可能的具有实际意义的攻击场景.实验表明,该方法能够有效解决攻击场景问题.     

基于模式匹配的告警关联

告警关联技术是入侵检测领域中一个新的发展方向，它对解决目前入侵检测系统存在的告警数量大、告警信息含量少、虚警数量大等问题具有十分重要的意义。文章介绍了在我们设计开发的分布式协同入侵检测系统（DACIDS）中通过对入侵行为模式的匹配而进行告警关联的方法。入侵行为模式是定义在时问基础上的一组谓词公式，其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时，对虚警的处理尤为有效。     

基于多挖掘方法和CPN的告警关联系统

网络攻击越来越复杂,入侵检测系统产生大量告警日志,误报率高,可用性低。为此,论文提出采用聚类分析、关联挖掘算法和基于彩色Petri网的联合挖掘多步骤攻击方法进行IDS告警关联,从宏观和微观攻击轨迹角度重建攻击场景,提高了入侵检测系统的可用性。     

集中告警系统软告警关联的业务逻辑

集中告警系统未实现告警关联,存在自动派单准确性低、有效性差等问题.通过查询统计原始告警生成软告警的方法,可以实现告警跨网管、跨地域、跨专业的关联.软告警关联不仅可以解决准确性及有效性问题,还可以解决故障定性、故障影响、故障原因以及故障定位等预诊断性问题,丰富的软告警业务逻辑还可将原系统提升为综合告警分析系统.     

考虑置信度的告警因果关联的研究

一个成功的网络攻击往往由若干个处于不同阶段的入侵行为组成,较早发生的入侵行为为下一阶段的攻击做好准备。在因果关联方法中,可以利用入侵行为所需的攻击前提和造成的攻击结果,重构攻击者的攻击场景。论文引入了告警关联置信度的属性描述,用于分析因果关联结果的可信度,进而能够进一步消除虚假关联关系。通过DARPA标准数据集分析,该方法取得了较好的实验结果。     

基于描述逻辑的CIM模型

分析了CIM模型在自主计算中的研究现状和存在的问题,在GLanfranchi和ACali的基础上提出了一种具有演化功能的CIM模型。针对CIM模型的特点和需求,提出了一种基于描述逻辑DLRifd的CIM模型,即给出了将CIM模型转化为描述逻辑DLRifd知识库的方法,证明了该转化方法的正确性。以及给出了自动判断CIM模型一致性、冗余性、包含关系的方法,也证明了这些判断方法的正确性。     

入侵告警关联系统及关键技术的研究

入侵检测系统的大部分攻击事件之间都存在某种联系,通过对这些告警的关联分析能够减少告警数量,降低误报率,更好地发现攻击以及动态地监控网络。论文提出了一种告警关联系统,系统包括聚合分析、告警确认、多步攻击关联分析和告警严重度分析等过程。文章还对系统中两种主要方法—步攻击关联进行了描述。     

P2P环境下基于描述逻辑的信息集成

分析了描述逻辑与信息集成的关系,以及描述逻辑在信息集成中的研究现状和存在的问题。在DCal-vanese的工作基础上,进一步研究了P2P环境下基于描述逻辑DLR的信息集成机制,提出了基于DLR的P2P信息集成系统的形式化定义,重点研究了如何将P2P信息集成系统转化为一个统一的描述逻辑系统GDL,并证明了该转化方法的正确性,给出了P2P环境下基于DLR的信息查询方法及其实现方法。     

一种模糊时态描述逻辑

针对现实生活中信息的时间性和模糊性,在模糊描述逻辑和时态逻辑的基础上,提出了一种模糊时态描述逻辑FTDL,并给出了其语法和语义的相关说明。与模糊描述逻辑FALC相比,FTDL的提出为语义Web服务的建模和推理提供了一种有效的途径。     

SDH设备告警信息的关联性分析

告警信息的关联性分析是进行告警过滤和故障识别、定位的基础，本文在SDH设备原子功能结构的基础上，对SDH设备的通信告警以及告警之间的关联性作了分析和研究。     

一种基于关联的IDS告警分析模型

针对现有入侵检测系统中存在告警量过大、误报率高的问题,运用过滤检测、相关性分析等方法,对原始告警信息进行二次处理.实验证明,该模型能有效缩减告警数量,降低误警率.同时,还能将告警结果按照危险级别进行分类统计,以图形化的方式报告给用户,从而达到预警的目的.     

IDS告警融合与关联模型的研究

入侵检测是保障网络安全的重要手段,针对现有入侵检测系统中告警数量多、协调性差等问题,论文提出了一种具有告警融合与关联功能的告警处理系统模型,该模型冗余告警量少、整体检测能力强,并能进行攻击企图的预测,能有效提高入侵检测的效率,有助于进一步增强网络的健壮性。     

基于警报序列聚类的多步攻击模式发现研究

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。     

应用移动代理的入侵检测系统（IDS）的分析与设计

简要介绍了入侵检测系统和移动代理技术,在分析现有的入侵检测系统的基础上,提出了对基于移代理的分布式入侵检测系统的模型的分析与设计。     

利用模糊聚类实现入侵检测告警关联图的重构

众多的入侵检测告警关联方法中,因果关联是最具代表性的方法之一。针对因果关联在一些条件下会引发关联图分裂的问题,提出利用模糊聚类的方法实现攻击场景重构。在聚类过程中,针对告警特性提出一种基于属性层次树的相似度隶属函数定义方法,并给出评价相似度度量和衡量攻击场景构建能力的若干指标。实验结果表明,该方法能够有效地组合分裂的关联图,重构攻击场景。     

多IDS环境中基于可信度的警报关联方法研究

针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组合规则来融合这些证据,最后决策判断警报所对应的攻击是否发生,从而消除各IDS报告警报的模糊性和冲突性,达到提高警报质量的目的。在DARPA 2000测试数据集上的实验结果表明,该方法能有效降低误报率,减少警报数目60%以上。     

一种基于Choquet模糊积分的入侵检测警报关联方法

文章研究了警报关联方法,模糊积分和模糊认知图基本理论,提出了一种基于Choquet模糊积分的入侵检测警报关联方法,设计并实现了一个能够识别多步攻击的警报关联引擎.通过DRDOS和LLDOS实验表明,该引擎能够有效的检测网络中存在的大规模分布式多步攻击.     

基于MapReduce并行计算模型的报警聚合算法

随着网络攻击以及网络流量的飞速增长,分析入侵检测系统产生的海量报警信息越来越困难。MapReduce是由Google提出的一个软件架构,用于大规模数据集(大于1TB)的并行运算,提出了一种基于MapReduce并行计算模型的报警聚合算法,用于执行高效的报警归并。最后使用DARPA 2000数据集,验证了本算法可以高效地聚合报警信息,大量减少冗余报警数量。     

集成化网络安全监控平台的研究与实现

入侵检测系统 (IDS) 意在检测对计算机系统的未授权使用、误用和滥用。针对目前IDS普遍存在的缺乏有效监控平台的情况,我们提出了一种能够支持多种异构Sensor、多源证据关联以及可视化推理判断的集成化网络安全监控平台NSMS,给出了NSMS的体系结构,并就“证据获取”、“证据处理”、“结果可视化报告”三个关键技术进行了详细阐述。本平台已经在集成化网络安全监控及防卫系统Net-Keeper中得到实现和应用,实际应用表明本平台是一个开放、高效和可视化的网络安全实时监控平台。1