基于综合相关置信度的告警关联规则挖掘

采用置信度融合算法计算相邻告警的综合相关置信度,并根据计算结果形成告警关联事务,增强告警事务内告警之间的相关性,降低对支持度的选择要求,有效挖掘出“低支持度-置信度”告警关联规则.利用h-置信度理论筛选有意义的告警关联规则,并通过实验比较了传统方法和本文方法的执行效率和挖掘正确率.     

基于模式匹配的告警关联

告警关联技术是入侵检测领域中一个新的发展方向，它对解决目前入侵检测系统存在的告警数量大、告警信息含量少、虚警数量大等问题具有十分重要的意义。文章介绍了在我们设计开发的分布式协同入侵检测系统（DACIDS）中通过对入侵行为模式的匹配而进行告警关联的方法。入侵行为模式是定义在时问基础上的一组谓词公式，其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时，对虚警的处理尤为有效。     

一种基于因果关联的攻击场景产生方法

提出一种基于因果关联的攻击场景产生方法.利用因果关联能够发现新的攻击场景的特点,对定义好的超报警类型进行关联,得到所有可能的具有实际意义的攻击场景.实验表明,该方法能够有效解决攻击场景问题.     

基于数据挖掘的因果关联知识库构建方法

网络告警因果关联技术有助于管理员根据告警之间的因果关系构建攻击场景,及时调整防范措施。现有因果关联技术主要依靠专家经验人为定义因果关联知识库,无法适应攻击类型的不断变化。论文提出了一种基于数据挖掘技术的因果关联知识库构建方法,实现了关联知识库的自适应调整,降低了告警关联的漏警率。     

入侵告警关联系统及关键技术的研究

入侵检测系统的大部分攻击事件之间都存在某种联系,通过对这些告警的关联分析能够减少告警数量,降低误报率,更好地发现攻击以及动态地监控网络。论文提出了一种告警关联系统,系统包括聚合分析、告警确认、多步攻击关联分析和告警严重度分析等过程。文章还对系统中两种主要方法—步攻击关联进行了描述。     

集中告警系统软告警关联的业务逻辑

集中告警系统未实现告警关联,存在自动派单准确性低、有效性差等问题.通过查询统计原始告警生成软告警的方法,可以实现告警跨网管、跨地域、跨专业的关联.软告警关联不仅可以解决准确性及有效性问题,还可以解决故障定性、故障影响、故障原因以及故障定位等预诊断性问题,丰富的软告警业务逻辑还可将原系统提升为综合告警分析系统.     

一种基于关联的IDS告警分析模型

针对现有入侵检测系统中存在告警量过大、误报率高的问题,运用过滤检测、相关性分析等方法,对原始告警信息进行二次处理.实验证明,该模型能有效缩减告警数量,降低误警率.同时,还能将告警结果按照危险级别进行分类统计,以图形化的方式报告给用户,从而达到预警的目的.     

IDS告警融合与关联模型的研究

入侵检测是保障网络安全的重要手段,针对现有入侵检测系统中告警数量多、协调性差等问题,论文提出了一种具有告警融合与关联功能的告警处理系统模型,该模型冗余告警量少、整体检测能力强,并能进行攻击企图的预测,能有效提高入侵检测的效率,有助于进一步增强网络的健壮性。     

F150交换机告警关联规则的研究

为了提高电信网络运营效率，降低维护成本，电信运营企业在网络告警管理系统中需要引入数据挖掘技术。本文主要研究利用数据挖掘技术来进行故障的管理，即对告警进行关联性分析，详细分析了告警序列数据的关联规则挖掘算法，并在南昌本地网F150交换机的告警数据库中予以实现，同时对实际挖掘结果进行分析和整理，推导出一些实用的关联规则。     

基于支持度-置信度框架的负关联规则研究

基于支持度-置信度框架的关联规则存在一些缺陷,它可能产生负关联规则,而这种负关联规则又不容易被发现.实际上负关联规则对于实际应用上的研究很有价值.文中给出了一种负关联规则的判断方法并提出了一种挖掘负关联规则的算法.     

多IDS环境中基于可信度的警报关联方法研究

针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组合规则来融合这些证据,最后决策判断警报所对应的攻击是否发生,从而消除各IDS报告警报的模糊性和冲突性,达到提高警报质量的目的。在DARPA 2000测试数据集上的实验结果表明,该方法能有效降低误报率,减少警报数目60%以上。     

一种基于Choquet模糊积分的入侵检测警报关联方法

文章研究了警报关联方法,模糊积分和模糊认知图基本理论,提出了一种基于Choquet模糊积分的入侵检测警报关联方法,设计并实现了一个能够识别多步攻击的警报关联引擎.通过DRDOS和LLDOS实验表明,该引擎能够有效的检测网络中存在的大规模分布式多步攻击.     

基于描述逻辑的告警信息关联

随着网络安全问题的日益突出,IDS被更多地用于安全防护,然而每天数以千计的告警信息却使得安全管理员无从招架。因此,自动关联有逻辑联系的告警信息从而减少告警数量已成为IDS日后发展的关键。论文以描述逻辑为基础,用它对攻击进行统一定义;以攻击场景为载体,用它来分析匹配相继出现的告警信息;以能力集为纽带,用它来串联起一幅幅攻击场景,从而能清晰地展现不同告警之间所隐含的逻辑关系,进而为实现关联归并提供依据。     

基于警报序列聚类的多步攻击模式发现研究

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。     

基于频繁模式挖掘的报警关联与分析算法

提出了一个入侵检测与响应协作模型,结合入侵容忍的思想扩展了入侵检测消息交换格式IDMEF,增加了怀疑度属性.除了发现的入侵事件外,一些可疑的事件也会报告给协作部件.提出了一个基于修改的CLOSET频繁闭模式挖掘算法的报警关联与分析算法,在分布式入侵检测与响应协作系统中,帮助协作部件对收到的IDMEF格式的报警消息进行关联和分析,以便做出合适的响应.为此,修改了CLOSET算法来按照最小支持度和最小怀疑度来得到频繁闭模式.实验结果表明,应用该算法可以很好地缩减报警数量,同时对于所有可疑的和入侵事件,都可以做出适宜的响应.     

网络安全事件的关联分析方法的比较研究

随着当前攻击手段和技术的日益复杂化,一次入侵事件往往需要多个步骤才能完成,这些步骤都是彼此相关的。但是传统的入侵检测集中于检测底层的入侵或异常,所检测到的结果也仅仅是一次完整入侵的一部分,所以不能将不同的报警结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。关联分析技术将不同分析器上产生的报警进行融合与关联分析,极大地减少了报警的数量,降低了入侵检测的误报率,并且适当的减少了入侵检测的漏报率。文中在对网络安全事件关联分析方法的系统结构进行分析后,着重介绍了当前比较流行的几种网络安全事件关联分析方法,最后对各种方法进行了比较研究。