多步攻击告警关联模型构建与实现

为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。     

基于可信报警事件的在线攻击场景重构算法

传统的入侵检测系统仅提供大量独立的、原始的攻击报警信息，不利于用户和入侵响应系统对攻击及时做出响应，迫切需要根据低层的报警信息，建立高层的攻击场景，提高安全管理员对当前发生的攻击的认知度。本文利用贝叶斯规则首先对多个安全设备产生的报警信息进行过滤，生成了可信的报警事件集，在此基础上完成攻击场景的重构工作，减少了安全设备产生的误报信息对关联算法的影响，提高了关联算法的健壮性和可扩展性。描述的关联方法可以使报警事件的聚合操作和攻击场景重构同时进行，实现了对报警事件的在线分析功能，弥补了现有算法的不足。试验结果表明，该算法在场景重构和报警事件约减两个方面都表现出了良好的性能。     

加权最近邻聚类在SOC中的应用

本文对网络安全管理中心（SOC）的报警技术进行了研究,提出了一种具有权值的最近邻算法的聚类方法,对经过初步过滤、规范化后的报警信息与知识库中已有规则进行聚类,获取真正的攻击事件并完成攻击场景的重构,对报警信息进一步进行关联分析提供了有力保障。通过测试及应用表明,本文所应用的方法在可用性、灵活性、获取攻击事件的准确性以及处理效率上要优于其它方法。     

一种集成化网络安全事件关联分析模型

针对当前分布在网络中的各种安全设备海量的报警信息,导致管理员很难从中获取有用信息的问题,文章给出了一种集成化的网络安全事件关联分析模型,并对安全事件关联流程进行了详细的描述。     

入侵检测报警信息融合系统的构建与实现

针对目前入侵检测系统(IDS)存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。     

入侵检测报警信息融合系统的构建与实现

针对目前入侵检测系统（IDS）存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。     

网络安全报警关联研究

随着网络攻击的日趋智能化,大量安全设备被部署在网络中,它们在保护网络的同时,也为网络管理员的分析工作带来了新的挑战,如何从这些安全设备产生的海量信息中挑选出有效信息,并还原攻击场景,仅靠人工操作是难以完成的。在这种情况下,网络安全报警关联技术应运而生。该文在分析了几种传统的安全报警关联系统体系结构后,着重介绍了当前比较流行的几种网络安全报警关联方法,并分析了其优缺点。     

安全事件关联模型的研究与实现

基于攻击前提和后果关联的技术有多种,在此基础上,研究并实现了一种面向分布式的多源实时报警收集及关联分析的框架。初步实验证明,该框架在复杂的网络环境下能够有效地减少和分析报警事件,帮助管理员从大量数据中找到重要信息。     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

安全事件关联模型的研究与实现

基于攻击前提和后果关联的技术有多种,在此基础上,研究并实现了一种面向分布式的多源实时报警收集及关联分析的框架。初步实验证明,该框架在复杂的网络环境下能够有效地减少和分析报警事件,帮助管理员从大量数据中找到重要信息。     

江苏软件和集成电路业专项基金资助项目统一网络安全管理平台的研究与实现*

针对防火墙、入侵检测系统等异构安全设备的广泛应用而产生的海量的不可靠的安全事件难以有效管理的现状,提出了统一网络安全管理平台,平台利用风险评估和事件关联技术来实时地分析网络的风险状况,降低误报率和漏报率。首先给出了平台的体系结构,并介绍了各模块的基本功能,然后就安全事件预处理、实时风险评估、事件关联三个关键技术的具体实现进行了详细的描述。     

一种基于多因素的告警关联方法

入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。     

安全事件关联分析引擎的研究与设计

入侵检测系统是动态安全防御里的重要环节，现有的入侵检测系统（IDS）存在一个致命的缺陷：误报率高居不下，IDS无法展现事件之间的逻辑关系，结果用户很难了解事件背后隐藏的攻击策略或逻辑步骤。为了解决IDS存在的上述问题，在深入分析入侵技术的基础上提出了基于入侵序列的启发式关联方法，设计并实现了一个事件关联分析引擎，最后验证了有效性。     

攻击案例综合学习系统研究

随着入侵检测系统在安全领域的广泛应用，入侵报警学习和分析已经成为一个研究热点。针对目前入侵报警泛滥和知识贫乏等问题，设计了一个完整的攻击案例学习系统框架。该学习系统分为两个阶段：入侵报警精简和典型攻击案例挖掘。前者利用改进的密度聚类方法实现相似报警聚合以及报警聚类的自动精简表示，后者利用序列模式挖掘方法挖掘频繁入侵事件序列。进一步提出一种基于入侵执行顺序约束关系的攻击案例评估算法实现典型攻击案例的自动筛选。最后，利用真实入侵报警数据测试了该攻击案例学习系统，结果表明该系统能够实现高效报警精简和典型攻击案例的准确学习。     

一种基于警报数据关联的入侵检测系统模型

入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。     

基于安全管理中心的关联引擎技术的研究

安全管理中心作为安全信息抽取平台、风险管理平台和安全决策平台,通过安全策略的集中部署、安全事件的深度感知、安全部件的协同响应提高网络系统整体应对安全威胁的能力.为了解决海量安全数据管理和安全事件高误报率问题,依托安全管理中心环境,对关联引擎技术进行了研究.通过对基于规则关联的关联引擎原型设计、实现和测试,结果表明统一安全数据格式、关联安全消息使关联引擎技术成为解决海量安全数据管理和安全事件高误报率问题的有效技术手段.     

报警信息关联模型的构建和实现*

协同和分布式的网络攻击对传统的网络安全防护提出了巨大的挑战,同时也对分布式入侵检测技术提出了更高的要求,而有效融合多种入侵检测系统报警信息能够提高告警的准确性。首先给出了五维度报警信息关联的定义;然后设计与实现了带有实时响应机制的层次化关联模型,该模型具有较广泛的适用性,每一层都可以作为一个单独的模块完成相应的功能;最后给出了报警信息融合模块的实现。实验证明：报警信息融合可以降低误报、漏报率,并能识别攻击意图,达到预警的目的。     

IDS alerts correlation using grammar-based approach

Intrusion Detection System (IDS) is a security technology that attempts to identify intrusions. Defending against multi-step intrusions which prepare for each other is a challenging task. In this paper, we propose a novel approach to alert post-processing and correlation, the Alerts Parser. Different from most other alert correlation methods, our approach treats the alerts as tokens and uses modified version of the LR parser to generate parse trees representing the scenarii in the alerts. An Attribute Context-Free Grammar (ACF-grammar) is used for representing the multi-step attacks. Attack scenarii information and prerequisites/consequences knowledge are included together in the ACF-grammar enhancing the correlation results. The modified LR parser depends on these ACF-grammars to generate parse trees. The experiments were performed on two different sets of network traffic traces, using different open-source and commercial IDS sensors. The discovered scenarii are represented by Correlation Graphs (CGs). The experimental results show that Alerts Parser can work in parallel, effectively correlate related alerts with low false correlation rate, uncover the attack strategies, and generate concise CGs.