入侵告警关联系统及关键技术的研究

入侵检测系统的大部分攻击事件之间都存在某种联系,通过对这些告警的关联分析能够减少告警数量,降低误报率,更好地发现攻击以及动态地监控网络。论文提出了一种告警关联系统,系统包括聚合分析、告警确认、多步攻击关联分析和告警严重度分析等过程。文章还对系统中两种主要方法—步攻击关联进行了描述。     

IDS告警融合与关联模型的研究

入侵检测是保障网络安全的重要手段,针对现有入侵检测系统中告警数量多、协调性差等问题,论文提出了一种具有告警融合与关联功能的告警处理系统模型,该模型冗余告警量少、整体检测能力强,并能进行攻击企图的预测,能有效提高入侵检测的效率,有助于进一步增强网络的健壮性。     

基于模式匹配的告警关联

告警关联技术是入侵检测领域中一个新的发展方向，它对解决目前入侵检测系统存在的告警数量大、告警信息含量少、虚警数量大等问题具有十分重要的意义。文章介绍了在我们设计开发的分布式协同入侵检测系统（DACIDS）中通过对入侵行为模式的匹配而进行告警关联的方法。入侵行为模式是定义在时问基础上的一组谓词公式，其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时，对虚警的处理尤为有效。     

利用模糊聚类实现入侵检测告警关联图的重构

众多的入侵检测告警关联方法中,因果关联是最具代表性的方法之一。针对因果关联在一些条件下会引发关联图分裂的问题,提出利用模糊聚类的方法实现攻击场景重构。在聚类过程中,针对告警特性提出一种基于属性层次树的相似度隶属函数定义方法,并给出评价相似度度量和衡量攻击场景构建能力的若干指标。实验结果表明,该方法能够有效地组合分裂的关联图,重构攻击场景。     

方正入侵防御系统重装上阵

由方正信息安全公司推出的方正入侵防护系统集成了特征库和异常行为检测、行为关联及拒绝服务分析等技术,可智能地检测并实时阻断已知和未知的攻击,能在保持网络带宽可用性的同时自动阻断恶意攻击,无须     

考虑置信度的告警因果关联的研究

一个成功的网络攻击往往由若干个处于不同阶段的入侵行为组成,较早发生的入侵行为为下一阶段的攻击做好准备。在因果关联方法中,可以利用入侵行为所需的攻击前提和造成的攻击结果,重构攻击者的攻击场景。论文引入了告警关联置信度的属性描述,用于分析因果关联结果的可信度,进而能够进一步消除虚假关联关系。通过DARPA标准数据集分析,该方法取得了较好的实验结果。     

入侵检测技术研究

入侵检测是网络完全的一个重要技术之一,它通过对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。本文介绍了入侵检测中常用的检测技术,并对一些检测技术进行了详细的对比分析。     

基于改进关联规则的网络入侵检测方法的研究

研究关联规则的高效挖掘算法对于提高入侵检测的准确性和时效性具有非常重要的意义.针对现行的入侵检测方法建立的正常模式和异常模式不够准确、完善,容易造成误警或漏警的问题,本文将改进后的关联规则挖掘算法-XARM和关联规则增量更新算法-SFUP应用于网络入侵检测,提出了新的入侵检测方法,该方法通过挖掘训练审计数据中的频繁项集建立系统和用户的正常行为模型以及入侵行为模型.     

加权关联规则在网络入侵检测系统中的应用

为了解决将关联规则算法应用于入侵检测系统后,在提高系统检测率的同时系统误报率增加的问题,将加权关联规则算法应用于入侵模式的挖掘中,在一定程度上提高了入侵检测的检测率,并降低了误报率。在此基础上,提出了采用加权关联规则算法的网络入侵检测系统的结构。     

基于并行关联规则挖掘算法的入侵检测系统的研究

数据挖掘技术已经在入侵检测当中得到应用。为了进一步提高效率。提出将井行关联规则应用到入侵检测的挖掘中，以提高入侵检测的效率。本文提出一个新的分布式的入侵检测系统结构，重点介绍了井行关联规则挖掘算法如何应用于此系统．及其应用于此系统之后的优点。     

基于高级加密标准的远场电磁旁路攻击

电磁旁路攻击是旁路攻击中的一种有效方法，为了克服传统的电磁旁路攻击必须近距离获取电磁信息的局限性，针对没有电磁防护的密码设备提出一种基于相关性分析的远场攻击方法.使用微控制器运行高级加密标准算法，使用天线在远场探测电磁信号，先对采集的电磁信号均值和滤波以减少噪声的影响，再使用相关性分析方法进行旁路攻击，在天线距离微控制器10 m处成功破解出完整的密钥.同时也对远场电磁旁路攻击中的频率和样本量做了深入研究，带有密钥信息的电磁旁路主要集中在一段频率范围内，而且随着样本量的增加密钥信息越明显，以此为基础结合密码芯片产生密钥信息泄露的机理，提出了改进的电磁旁路攻击方法.     

组合生成器的多线性相关攻击

本文对组合生成器提出了一种相关攻击方法,这种方法同时利用组合生成器输入与输出之间多个线性关系的信息来恢复密钥,我们从理论上证明了该方法可有效的减少攻击所需的数据量.特别地,我们将这种方法用于攻击"蓝牙组合生成器",使攻击复杂度得到显著降低.     

针对SM4轮输出的改进型选择明文功耗分析攻击

The power analysis attack on SM4 using the chosen-plaintext method was proposed by Wang et al in 2013 CIS.The fixed data was introduced in the method when attacking the round key.However,the attack process was complex.There were many problems in the process,such as more power traces,more numbers of the chosen-plaintext and acquisition power traces.The correlation between the fixed data and the round key were presented,which could be used to decode the round key.Based on the correlation,the improved chosen-plaintext power analysis attack against SM4 at the round-output was proposed.The proposed method attacked the fixed data by analyzing the power traces of the special plaintext.And the round key was derived based on the correlation.The results show that the proposed attack algorithm is effective.The proposed method not only improves the efficiency of the attack by reducing number of power traces,number of the chosen-plaintext and number of acquisition power traces,but also can be applied to a chosen-plaintext power analysis attack against SM4 at the shift operation.     

一种基于One-Class SVM和GP安全事件关联规则生成方法研究

随着信息技术的快速发展,网络安全威胁造成的危害日愈严重.安全信息和事件管理（SIEM）在查找组织内部威胁,可疑行为及其它高级持续攻击（APT）中发挥了重要作用.SIEM的检测能力主要依赖于准确,可靠的关联规则.然而,传统的规则生成方式主要基于专家知识人工编写检测规则,因此成本高,效率低.本文给出了一种具备自适应能力的规则生成框架来自动生成关联规则.首先为了更好地识别未知攻击,提出一种基于单类支持向量机（One-Class SVM）的安全事件分类算法对安全事件进行有效分类,实验分类效果准确率高达97%.其次为了提高规则生成准确率,通过重新定义个体结构,交叉与变异方式,优化了基于遗传编程（GP）的规则生成算法,规则适应度高达94%.实验结果表明,本文提出的框架具备自适应能力来识别未知攻击,具备较高的检测准确率,可有效减少人工参与.同时该框架已经部署在实际生产环境中,和原系统相比可以检测更多攻击类型.     

软判决多步法相关攻击在PN码快速捕获中的应用

针对非协作接收的扩频通信系统,低信噪比情况下长周期且生成多项式抽头数较多的扩频码的快速捕获问题一直是研究的重点和难点。本文借鉴密码学中密钥攻击基本思想,提出一种基于软判决多步法快速相关攻击的长周期扩频码快速捕获新算法。通过将PN序列看成线性分组码,将序列相位捕获看成线性分组码的解码,采用软判决方法进行分步串行译码,充分利用序列本身的软信息,实现低信噪比情况下长周期扩频序列的快速捕获。理论分析和仿真结果表明本文算法与多项式抽头个数无关,具有较好的捕获性能,能够在低信噪比下稳定工作;与硬判决相关攻击方法相比,本文算法大约有3.5dB以上的性能提升。      

Multi-point joint power analysis attack against AES

For the power analysis attack of the AES cryptographic algorithm with the single information leakage point,the traditional attack method does not use as much information as possible in the algorithm and power trace.So there are some problems such as required more power traces,the low utilization rate of information and so on.A novel method of muti-point joint power analysis attack against AES was proposed to solve the problems.And taking the correlation power analysis attack as an example,the detailed attack process was presented.The operations of the round key addition and the SubBytes were chosen as the attack intermediate variable at the same time.Then the joint power leakage function was con-structed for the attack intermediate variable.And the multi-point joint correlation energy analysis attack was given.Aiming at the AES cryptographic algorithm implemented on the smart card,the multi-point joint power analysis attack,the correlation power analysis attack with the single information leakage point in the key addition and the SubBytes were conducted.The measured results validate the proposed method is effective.It also shows that the proposed method has the advantages of high success rate and less power traces comparing with the single information leakage point.     

基于攻击图的主机安全评估方法

针对目前主机安全评估方法中无法准确计算主机安全值,忽略攻击图中主机关联性等问题,提出一种基于攻击图的主机安全评估方法.首先,生成主机攻击图,从漏洞自身、时间、环境和操作系统可利用性4个角度量化原子攻击概率并计算主机攻击概率.然后,根据专家先验评估和相关性定权法计算主机资产重要性,依据攻击图中主机间的关联关系计算主机的拓...     

针对AES第一轮的汉明重代数攻击研究

将差分功耗分析的汉明重量模型与传统的代数攻击相结合,实现了针对128位密钥的AES密码算法第一轮的功耗代数攻击.在攻击实验中,改进了汉明重量函数,并证明了利用此函数能够通过进一步计算的相关系数r明显区分出正确密钥字节与错误密钥字节,在最短时间内获得正确的真实的全部密钥字节,对比其他同类研究更具适用性和高效性.     

前馈流密码的相关分析

提出了分析前馈流密码的一种相关攻击方法，此方法的基本思想是利用系统的多路输入信息和输出信息所具有的相关性，由输出序列构造出输入序列具有更大相关性的序列，进而达到有效地求解输入序列的目的。作为这种方法的应用，给出了一个具体的分析实例。