基于隐马尔可夫模型的入侵场景构建

提出了一种基于隐马尔可夫模型的入侵场景构建方法,实现自动地从大量低级的入侵检测告警信息中构建出更高层次的入侵场景的目的。为了简化处理过程,对数据流采用两次抽象描述和一次回溯处理过程完成对入侵场景的构建,在DARPA2000测试数据集上的实验表明该方法是有效的。     

基于状态机的入侵场景重构关键技术研究

分析了现有的各种安全事件关联算法,提出了一种基于状态机的攻击场景重构技术.基于状态机的攻击场景重构技术将聚类分析和因果分析统一起来对安全事件进行关联处理,为每一种可能发生的攻击场景构建一个状态机,利用状态机来跟踪、记录攻击活动的发展过程,以此来提高关联过程的实时性和准确性.最后通过DARPA2000入侵场景测试数据集对所提出的技术进行了分析验证.     

一种入侵场景构建模型——BPCRISM

就单一传统入侵检测系统而言,其异构性和自治性使得针对同一攻击行为产生的警报,在包含内容、详略程度、不确定性等方面存在很大的差异,导致大量重复性警报涌现.而这些大量、重复的警报信息不仅影响了入侵检测系统的性能,又不能体现出完整的黑客入侵过程.为了有效地分析和处理入侵警报,提出了一种入侵场景构建模型--BPCRISM,其能够利用警报的检测时间属性的接近程度将警报关联分为两大类:警报概率关联和警报因果关联,然后给出了概率关联和因果关联的算法,并从关联的警报信息中分辨出完整的黑客攻击流程和重构出入侵场景.初步实现该模型后,使用DARPA Cyber Panel Program Grand Challenge Problem Release 3.2(GCP)入侵场景模拟器进行了测试,实验结果验证了该模型的有效性.     

三维场景建模技术的可视化分析

计算机可视化技术的不断普及,使虚拟现实技术成为一种新的科学。三维场景建模技术被广泛的应用在科学计算、人工智能仿真以及三维图形的制作等个个方面。而OpenGL是一个图形硬件的软件接口,它是公认的高性能图形视景标准,运用基于OpenGL的图形建模技术并结合3DSmax软件可以快速的构建三维场景。那么如何快速使用这种技术,该文首先对可视化虚拟现实技术进行分析,再讨论基于OpenGL的三维场景构建技术。     

基于场景和PN机的入侵检测研究

攻击者通过从一个攻击序列衍生出大量变种攻击序列来逃避基于规则及其它误用检测技术的检测.基于此,针对可序列化的入侵,从攻击机理入手,提取攻击的关键操作序列,构造入侵行为表达式,再对攻击序列进行拓扑排序和同构变换,以扩展形成一个入侵场景或一类入侵.进而提出了面向场景和检测一类入侵行为的方法,通过构建基于场景和检测一类入侵行为的PN(Petri Net)机来实现检测已知攻击及其未知变种攻击的目标.未知变种攻击也是一些新的攻击形态,因而从这种意义上说,该方法能检测到新的攻击行为.     

一种构造攻击场景的推理方法

本文为了表达攻击发生的前提条件和结果之间的逻辑关系,引入了攻击原子的概念,并使用因果关联算法重新构造出攻击场景。针对多阶段攻击的一些中间步骤无法检测出来的问题,采用了攻击原子假设方法,来完善因果关联算法。     

一种基于入侵管理的入侵检测系统

从入侵技术分析开始,简要总结了目前的主流入侵检测技术及入侵检测系统;展望入侵检测系统未来的发展方向.并在现有入侵检测系统基础上提出一种新的基于入侵管理的入侵管理系统构想,对入侵检测系统未来进一步的研究方向有一定的启示.     

LIDS:一种基于Linux内核的入侵检测系统

LIDS是一种基于Linux内核的入侵检测系统。文章简单介绍了入侵检测系统，详细介绍了LIDS的概念、主要功能及其原理。     

攻击树在多阶段入侵检测系统中的应用

本文在对多阶段的网络攻击行为进行剖析的基础上,结合攻击树模型及其描述语言,给出了对入侵行为进行可视化检测的方法,从而可以指导系统管理员提高网络自身安全。     

一种基于攻击图的入侵响应方法

针对当前入侵响应工作中存在的不能充分考虑系统的收益,以及不能充分考虑攻击者策略变化因素等问题,提出了一种基于攻击图的入侵响应IRAG(intrusion response based on attack graph)模型.该模型较好地解决了攻击意图及策略变化的问题,并全面考虑了系统、攻击者的收益等因素.实验结果表明,IRAG模型有效地提高了响应的准确性和效果.     

入侵检测系统中基于辐射状面板的可视化方法

现代互联网络存在认知负担重、缺乏全局认知、交互性较差等安全问题。为此,利用可视化方法识别网络中的攻击和异常事件,并提出一种新型的入侵检测分析系统（IDs）——基于辐射状面板可视化技术的IDSView。根据现有可视化系统的不足,考虑用户接口与体验,采用颜色混合算法、多段拟合贝塞尔曲线算法、数据预处理及端口映射算法,降低图像的闭塞性,提高可扩展性及增强入侵识别与态势感知能力。应用结果表明,应用该方法分析人员可以直观地从宏观和微观2个层面感知网络安全状态,有效地识别网络攻击,辅助分析人员决策。     

基于线性表示的协同入侵检测模型

针对现有入侵检测算法误报率较高和鲁棒性较差的问题,提出一种基于线性表示的协同入侵检测模型,按照网络协议产生3类基于K-均值聚类算法的检测代理,以协同的方式对其相应网络数据做出决策。实验对比结果表明,该协同模型具有较高的检测率和较低的误警率。     

基于稀疏表示的协同入侵检测算法

针对现有入侵检测算法误报率较高和鲁棒性较差的问题,提出一种基于稀疏表示的协同入侵检测算法。通过构建正常类和攻击类训练字典获取类别内在本质特征,结合子空间结构理论计算重构误差,从而判定测试样本类别。实验结果表明,该算法能保证较高的检测率和较低的误报率,对不平衡数据集有较好的鲁棒性,对正常行为和异常行为有较好的区分度。     

可视化密度场模型及其在入侵检测中的应用

随着Internet的飞速发展，Web应用系统在电子政务与电子商务中得到广泛应用，安全问题随之产生．入侵检测是保障Web应用系统安全的重要手段之一，利用可视化技术辅助安全专家创建轮廓有助于提高正常行为轮廓的准确程度，进而提高入侵检测性能．然而，传统基于散乱点的可视化模型对大样本数据的显示效果较差，在Internet环境中应用受限．本文针对传统模型的缺陷，提出了基于密度场的可视化模型及其相关算法，为安全专家提供更丰富的可视信息，以便安全专家能更准确地创建正常用户行为轮廓．本文还通过实验对两种可视化模型的显示效果进行了对比．     

基于系统漏洞的攻击场景构建

在分析基于攻击前提和后果关联方法的基础上,提出了一种基于系统漏洞和报警相关度的攻击场景构建方法。它不仅能够利用系统漏洞信息验证报警的可靠性,排除误报,而且能够通过报警之间的相关度关联多跳攻击过程。实验结果表明,此方法能够有效地减少误报和漏报,从而有助于构建更加真实完整的攻击场景。     

一种基于双库协同机制的入侵检测系统

基于数据挖掘的入侵检测是当前入侵检测技术的重要研究方向,但大多数基于数据挖掘的入侵检测系统都采用传统的数据挖掘算法,性能不够令人满意。论文结合知识发现的双库协同机制,对该机制在入侵检测系统中的应用作了深入的探讨,提出了一种高效的入侵检测系统的模型。     

基于入侵容忍的IPS模型设计

入侵容忍是信息保障技术、信息保护技术之后的第三代网络安全-信息生存技术的的核心,并且已经变成整个系统的最后防线.而入侵防护是一项新的关于网络安全的技术,在网络安全领域中有举足轻重的地位.本文就是把入侵容忍加载到入侵防护系统中.数据进入内网时,经过入侵防护系统审查,假如漏检,入侵容忍系统可以保护本系统.本论文所设计的模型就是在网络入口处采用带容侵的入侵防护技术,系统的其他组件亦采用忍侵机制来设计.     

基于入侵容忍的IPS模型设计

入侵容忍是信息保障技术、信息保护技术之后的第三代网络安全-信息生存技术的的核心,并且已经变成整个系统的最后防线。而入侵防护是一项新的关于网络安全的技术,在网络安全领域中有举足轻重的地位。本文就是把入侵容忍加载到入侵防护系统中。数据进入内网时,经过入侵防护系统审查,假如漏检,入侵容忍系统可以保护本系统。本论文所设计的模型就是在网络入口处采用带容侵的入侵防护技术,系统的其他组件亦采用忍侵机制来设计。     

基于特征可视化分析深度神经网络的内部表征

基于可视化的方式理解深度神经网络能直观地揭示其工作机理,即提供了黑盒模型做出决策的解释,在医疗诊断、自动驾驶等领域尤其重要。大部分现有工作均基于激活值最大化框架,即选定待观测神经元,通过优化输入值(如隐藏层特征图谱、原始图片),定性地将待观测神经元产生最大激活值时输入值的改变作为一种解释。然而,这种方法缺乏对深度神经网络深入的定量分析。文中提出了结构可视化和基于规则可视化两种可视化的元方法。结构可视化从浅至深依层可视化,发现浅层神经元具有一般性的全局特征,而深层神经元更针对细节特征。基于规则可视化包括交集与差集规则,可以帮助发现共享神经元与抑制神经元的存在,它们分别学习了不同类别的共有特征与抑制不相关的特征。实验针对代表性卷积网络VGG和残差网络ResNet在ImageNet和微软COCO数据集上进行了分析。通过量化分析发现,ResNet和VGG均有很高的稀疏性,通过屏蔽一些低激活值的"噪音"神经元,发现其对深度神经网络分类准确率均没有影响,甚至有一定程度的提高作用。文中通过可视化和量化分析深度神经网络的隐藏层特征,揭示其内部特征表达,从而为高性能深度神经网络的设计提供指导和借鉴。     

入侵进程的层次化在线风险评估

提出了从服务、主机和网络自下到上的层次化在线风险评估模型,实时地评估一个正在发生的入侵进程在这3个层面所产生的风险情况.在服务层面,使用了证据理论来融合报警线程中多个能够反映风险变化情况的变量来计算风险指数,通过风险指数反映入侵风险的客观情况,同时结合主观安全意识所反映出的目标风险分布,综合评估目标的风险状态.在主机层面提出了基于木桶原理的风险评估方法,在网络层面提出了安全依赖网络概念,利用了改进的风险传播算法,完成了网络层面的风险评估.提出的评估算法将报警验证、聚合与关联,以及报警置信度学习这些报警处理过程同风险评估紧密结合起来,很好地处理了风险评估中主观性、模糊性和不确定性等问题.实验表明对各种入侵进程进行的层次化在线风险评估结果与攻击实际特点相符合,为响应决策提供了有利的支持.