基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。     

一种基于相关度统计的告警关联规则挖掘算法

挖掘告警序列间关联规则的算法都受到最小支持度的限制，仅能够得到频繁告警序列间的关联规则. 对此，提出了一种以高相关度、高置信度为条件，通过聚类找到特征相同的网元告警群，然后基于相关度统计的挖掘算法. 实验结果表明，该算法可以高效、准确地挖掘出电信网络告警数据库中频繁和非频繁告警序列间的关联规则.     

Honeynet中的告警日志分析

提出一种带有告警日志分析的蜜网（honeynet）架构设计和告警日志分析模型. 将网络入侵检测和主机入侵检测的告警信息相结合,利用网络信息和告警相似度函数进行告警过滤和融合,采用改进的Apriori算法挖掘告警的关联规则,并通过匹配规则形成最终的攻击报告. 实验表明,该方法能有效减少honeynet中冗余的告警,分析出honeynet系统遭受攻击的关联关系,并展现攻击场景.     

通信网告警加权关联规则挖掘算法的研究

关联规则挖掘算法是通信网告警相关性分析中的重要方法。在处理数量庞大的告警数据库时,算法的效率显得至关重要,而经典的FP-growth算法会产生大量的条件模式树,加权算法MINWAL (O)则需要多次扫描数据库,使得在通信网环境下挖掘关联规则的难度非常大。该文提出了一种高效的基于加权频繁模式树的通信网告警关联规则挖掘算法,算法性能测试表明,该算法与已有的加权关联规则挖掘算法相比较,节约了大量的存储空间,提高了算法的挖掘速度,对通信网的故障诊断和故障定位有着积极的意义。     

基于Rete规则推理的告警关联性分析

针对现有规则推理算法无法实现在当前大规模复杂多变的网络环境中准确、实时地推理告警规则的问题,提出了一种改进的规则推理算法Im_Rete.该算法结合网络告警数据的特点,采用面向告警缺失的模糊推理策略和基于概率关联模型的事实传播策略,在提高推理准确性的同时平衡推理速度,能够更加有效地对告警进行关联分析.通过仿真实验进行对比分析,结果表明Im_Rete算法在推理速度和准确性方面均具有较好的性能.     

通信网告警相关性分析中有效的关联规则挖掘算法

关联规则挖掘算法是通信网告警相关性分析中的重要方法。在处理数量庞大的告警数据库时,算法的效率显得至关重要,而经典的FP-growth算法会产生大量的条件模式树,使得在通信网环境下挖掘关联规则的难度非常大。针对上述问题,提出了一种基于分层频繁模式树的LFPTDP算法,采用分层模式树的方法产生频繁项集,从而避免了产生大量的条件模式树,并用动态剪枝的方法删除大量的非频繁项。算法分析及仿真表明,LFPTDP算法具有较好的时间和空间效率,是一种适合于通信网告警相关性分析的关联规则挖掘算法。     

基于序列模式挖掘的告警相关性分析算法

告警相关性分析在通信网络管理中有着重要的应用.提出了一种基于序列模式挖掘提取告警相关性规则的方法.针对引入时间约束的序列模式挖掘问题提出了较为完备的数学模型,定义了求解问题的规则,并构造了引入时间约束的序列模式挖掘算法(FSPTM算法).算法采用特定的数据结构记录序列的时间信息,提高了支持度的计算效率.对某省移动网络连续4个月告警数据的分析结果验证了算法的有效性.     

挖掘电信告警关联模式方法

关联模式挖掘算法通常受到最小支持度的限制,仅能得到频繁告警序列间的关联模式,针对这一问题,基于图论思想提出了一种挖掘电信网络告警间关联模式的方法.首先在单遍扫描数据库的条件下挖掘网络中的二项关联模式,然后直接发现其最大关联模式,从而避免大量中间项集的产生. 基于实际网络告警数据的实验结果表明,该方法不仅具有较高的效率,而且有效.     

一种有效的通信网络告警分析方法

以往大多告警分析研究都是假设通信网络中所有告警是平等的,考虑此假设的不合理性,提出了一种加权告警分析方法。首先,根据告警对网络的影响程度,采用熵值法为不同的告警分配不同的权值,并将其转换成适合于数据挖掘的序列数据集;然后,设计了一种加权告警序列模式挖掘算法,并采用了一种新颖的剪枝策略来缩减需要挖掘的数据集大小以提高算法的效率;最后,利用该算法挖掘告警数据中的时序关系。实验结果表明,这种加权告警分析方法在剪枝效果、挖掘重要告警序列模式和执行效率方面具有很好的性能。     

基于改进隐马尔可夫模型的复合攻击预测方法

提出了一种基于改进的隐马尔可夫模型和维特比算法的复合攻击预测方法.在训练数据较少时,采用最大似然估计得到的隐马尔可夫模型可能存在较大误差,针对这种情况,采用修正的概率矩阵计算方法以降低误差.针对告警事件序列中存在误报的情况,在维特比算法中引入了一个判决门限,用于在告警事件存在误报的情况下对预测结果进行修正.基于DARPA2000数据集对提出的方法进行了仿真和实验验证,实验结果表明该方法能有效地提高攻击预测的正确率.     

基于多代理的混合式入侵检测系统模型

在当前的网络环境下进行实时的入侵检测往往面临以下问题:一是网络的规模庞大,需要处理大量的信息,进而要求入侵检测系统有较大的吞吐量;二是网络的环境复杂,数据类型多样,相应的要求入侵检测系统有较大的准确度.针对这些问题,提出了一个入侵检测系统的模型,该模型基于多代理的分布式结构,能够适应网络规模和带宽的变化,具有很好的可扩展性;混合应用了异常和误用入侵检测技术,具有低的误警率和漏警率;采用了多属性的特征提取方法,能够精确的把握入侵行为的特征,从而有效的识别入侵行为;采用径向基函数来构造分类器,使得分类器具有较强的推广能力,能够对未知的入侵行为进行准确的判定,进一步增强了入侵检测的准确性.实验表明该系统吞吐量大,准确性高,适合于当前高速复杂的网络环境,具有很好的实用性.     

Application of Bayesian Dynamic Forecast in Anomaly Detection

A macroscopical anomaly detection method based on intrusion statistic and Bayesian dynamic forecast is presented. A large number of alert data that cannot be dealt with in time are always aggregated in control centers of large-scale intrusion detection systems. In order to improve the efficiency and veracity of intrusion analysis, the intrusion intensity values are picked from alert data and Bayesian dynamic forecast method is used to detect anomaly. The experiments show that the new method is effective on detecting macroscopical anomaly in largescale intrusion detection systems.     

生物免疫原理在网络入侵检测中的应用

针对目前入侵检测系统存在的问题,根据生物免疫原理,提出基于生物免疫原理的分布式网络入侵检测模型,对该模型中关键部分检测器的建立和检测规则进行重点研究．该模型通过现有检测规则对入侵行为的检测,抗体基因库不断自动进化,新的检测规则不断自动产生,从而提高了入侵检测系统对未知入侵的识别能力和系统的自适应性,提高了入侵检测效率．     

入侵检测灰色空间模型及应用

建立了基于粗糙集理论的入侵检测灰色空间模型,根据信息增益设计等价类获取和约简算法,提出了一种新的入侵检测系统模型。运用KDDCUP99数据集对网络入侵检测进行了测试。分析和对比实验结果表明,该模型具有分类规则简单、检测时间短和准确率高等特点,克服了检测系统不能有效判别未知行为的瓶颈。     

一种新颖的误用入侵检测自适应模型

针对目前入侵检测系统漏报率高、自适应能力差等问题,通过引入规则集的完备度、自相似度等概念,采用模糊模式识别方法,构造一种新颖的误用入侵检测自适应模型,使入侵检测系统能够根据自身的学习情况自动调节异常和正常的判断准则,从而有效降低系统的漏报率,增强系统的自适应能力,提高检测的准确度.     

入侵检测系统在电力信息网络中的应用

针对电力系统网络的特点,分析了电力系统网络安全的重要性,将基于数据挖掘技术的入侵检测系统应用到电力系统的安全体系中.通过将数据挖掘技术和入侵检测技术相结合,建立了基于数据挖掘的入侵检测系统的模型,利用关联分析算法生成规则,实现了入侵检测模型在电力系统网络中的应用.     

车载自组网中基于交通场景的入侵行为检测机制

为减少车载自组网中的各种入侵行为对司机和乘客的生命财产安全带来的损失,提出了一种基于不同交通场景的混合式入侵行为检测机制(mixed intrusion detection scheme,MIDS)。当车辆在同一道路上行驶时,选择基于消息一致性的MIM (message integrity method) 方法,否则使用VOTE方法,在网络条件允许的情况下,可以申请发送方发送相关的场景信息证明警告消息的真实性。实验结果表明,该方法具有较低的通信时延和较高的检测率,有效克服了现有方法的局限性,能够检测多种入侵行为。     

分布式防火墙环境的边界防御系统

针对传统边界防火墙在动态防御方面的缺陷,对防火墙和入侵检测系统之间的三种联动技术进行分析比较,提出了一种基于分布式防火墙环境,具备防火墙和入侵检测功能,采用系统嵌入方式的边界防御系统模型。模型利用队列通信机制实现防火墙和入侵检测协同工作,共同检测和防范对系统的入侵行为,并通过安全通信模块与分布式防火墙连接。最后给出了在Linux下的实现。     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.