基于多源安全信息的告警校验与聚合技术

针对网络入侵检测系统产生大量低质量告警的问题,提出了基于多源安全信息的告警校验与聚合技术,采用一阶谓词逻辑对告警校验进行了建模,并综合分析告警的时间、空间、攻击类型三维属性,对告警进行聚合。提出的方法能够实时、有效地滤除无关告警,消除冗余度,实现告警的精简。     

基于信息熵和K均值的船舶网络入侵检测方法

船舶网络是维护船舶正常功能的重要结构,当船舶网络被入侵时,网络流量会呈现异常状态,严重影响船舶功能。而当前的船舶网络入侵检测方法不能兼顾检测速度和准确度,无法满足入侵检测要求。为了克服目前船舶网络入侵检测方法存在的不足,以改善船舶入侵检测方法的性能,提出基于信息熵和K均值算法的船舶网络入侵检测方法,通过信息熵理论找到最优特征子集,然后利用K均值算法实现入侵检测,并与普通K均值算法进行对比测试。结果表明:本文方法可以有效检测出船舶网络入侵状况,并且在保证准确性的同时极大的缩短了检测时间,是一种高效的入侵检测方法。     

一种基于减少入侵检测误报警的告警质量框架的研究

本文提出了一种入侵检测告警的质量框架,用各种质量参数填充告警,并将告警采用IDMEF(Intrusion Detection Message Exchange Format)标准格式进行规范化,用于高层次的安全事件关联分析。     

基于知识积累的告警相关方法

黑客的入侵是一个逐步积累、逐步深入的过程。在入侵过程中,黑客所积累的有关目标系统的信息越多,越有利下一步入侵的成功。现有的告警相关方法不能识别带分支的入侵过程,也不能识别属于某个入侵过程的失败的入侵步骤。该文针对这两种情况提出了一种基于知识积累的告警相关方法,这种方法不仅能识别完整入侵过程,而且能对入侵过程的相关程度及其入侵结果进行评估。     

周期性误告警去除方法研究

网络入侵检测系统是发现网络安全事件的有力工具.然而在实际的应用中它会产生大量的冗余告警,极大地增加了实时安全分析的难度.提出具有周期性告警是误告警的思想,并通过实际周期的寻找和确定来消除相关冗余告警.算法在中国教育科研网的一个分支网络测试,实验中能够实时去除90%以上的告警,同时对网络中部分周期性告警产生的原因也进行了分析,分析发现这些告警的确是误告警.     

一种分布式告警融合模型的分析

为解决IDS产生大量相似的或无用的告警信息的问题,需要应用告警融合技术对告警信息进行处理。在已有的算法基础上设计了一种告警合成算法。有效地减少了无用警报的数量,又保持了警报处理的及时性,为后期的关联工作做好了准备。     

一种基于聚类的有指导的入侵检测方法

提出了一种新的距离定义和基于聚类的有指导的入侵检测方法CBSID(Clustering-based and Supervised Interusion Detection)．该方法在带标记的训练集上进行聚类．以聚类结果作为分类模型对未见数据进行分类．该方法对于参数和数据输入顺序具有稳健性．可增量更新分类模型．不同于一般的有指导的入侵检测方法．该方法对未知入侵有一定的检测能力．在KDDCUP99数据集上的测试结果表明，CBSID有理想的性能(高的检测率和低的误报率)．     

一种基于信息熵的多分类器动态组合方法

为提高数据分类的性能,提出了一种基于信息熵[1]的多分类器动态组合方法（EMDA）。此方法在多个UCI标准数据集上进行了测试,并与由集成学习算法—AdaBoost,训练出的各个基分类器的分类效果进行比较,证明了该算法的有效性。     

一种新的告警关联聚类算法

针对网络中的告警泛洪和故障处理复杂问题, 提出一种结合元胞学习自动机(CLA)和决策树ID3的新告警关联聚类算法。在CLA算法中使用学习自动机对告警信号进行分簇, 但是在一个簇内如果出现任何子群或交错, 则决策树ID3学习算法通过分割数据样本训练在该簇上来优化决策边界, 从而大大减少分簇告警数目以及完成对根源性告警的定位。仿真表明, 该算法能有效地对大量告警信号进行分析, 并且能比较准确地鉴定出根源性告警。     

一种增强的基于GCA的入侵检测方法

增强的基于GCA（Gravity-based clustering approach）的入侵检测方法是先对训练集采用GCA进行聚类,然后依据凝聚层次聚类算法的思想,以簇间的差异度和整体相似度作为聚类质量评价标准对GCA聚类产生的簇进行一些合并,合并后能使簇中心更集中,簇内对象更紧密。再根据标记算法标记出哪些簇属于正常簇,哪些属于异常簇,最后用检测算法对测试集数据进行检测。实验表明该方法对未知攻击的检测能力有所增强,特别是能有效降低误报率。     

基于关联分析的IDS报警信息的研究与设计

入侵检测系统的大部分报警事件之间都存在某种联系,通过对这些报警信息的关联分析,对解决目前入侵检测系统所存在的误报、漏报、重复报警、报警信息层次低等问题,具有重要的意义。该文基于因果关联方法,建立了一个入侵检测系统关联分析模型,该模型的关联分析过程分为聚合和关联分析,可以对不同入侵检测系统产生的报警信息进行关联分析。     

信息熵理论与入侵检测聚类问题研究

将信息熵理论应用到入侵检测聚类问题中．实现了一种启发式入侵检测聚类算法HBEC，它能递增地处理巨大的网络连接记录数据库．通过实验证明了算法HBEC对解决入侵检测问题是有效的，并且具有很强的增量挖掘能力。     

一种基于新的条件信息熵的高效知识约简算法

分析了在知识约简过程中现有条件信息熵的不足,给出一种新的条件信息熵,由此定义新的属性重要性.将其与基于正区域和基于现有条件信息熵的属性重要性进行比较,结果表明新的属性重要性是一种更准确、更全面的启发信息.以新的属性重要性为启发信息设计约简算法,并给出计算新的条件信息熵的高效算法.理论分析和实验结果表明,与基于现有条件信息熵的约简算法相比,该约简算法时间复杂度较低,且在搜索最小或次优约简方面更优.     

基于信息反馈的入侵检测模型研究

针对目前入侵检测系统（Intrusion Detection System,IDS）对未知异常检测误报率率比较高的问题,提出了一种基于信息反馈的入侵检测方法。首先设计了一个IDS与主机协作检测的模型,然后详细介绍了IDS根据反馈信息利用行为分析技术对未知异常的检测过程。最终实现了高效的入侵检测系统。     

基于条件信息熵的覆盖约简算法

针对覆盖算法中识别精度与泛化能力存在的矛盾,在信息论观点的Rough集理论基础上,提出覆盖熵概念,以决策属性相对于分类器的条件信息熵为约束条件,在确保算法分类能力不降低的情况下,对一组覆盖中信息熵最大的覆盖进行约简,减少了分类器的不确定因素。实验结果证明,该算法具有很好的识别精度与泛化能力,对模糊、不确定的数据也具有较好的处理能力。     

基于粗糙集的入侵检测方法研究

为了改善入侵检测系统的性能,常采用特征提取的方法精简初始数据,以减轻系统的处理负荷,提高检测速度。本文首先采用粗糙集理论对入侵检测系统进行了形式化描述,以信息熵作为测度对连续数值属性进行离散化,使用知识约简对入侵检测的属性特征进行提取,通过信息增益控制属性特征的约简过程,有效剔除了冗余特征,减少了系统的处理负荷,提高了系统的检测时效。实验证实所提出的方法使系统对于PROBING、DoS等典型攻击的训练时间分别缩短2.8和3.2倍,而检测速度分别提高3.3和3.8倍。     

基于条件信息熵的网络攻击特征选择技术

用知识的条件信息熵定义了特征的相对重要性,建立一种基于条件信息熵的网络攻击特征选择算法,选出的特征属性不仅可以大大减少数据在存储、分析以及各组件共享中的代价,还能够降低构建神经网络系统的复杂性,简化训练集,减少检测时间,保持并提高入侵分类的准确性.     

基于相关信息熵和CNN-BiLSTM的工业控制系统入侵检测

入侵检测技术旨在有效地检测网络中异常的攻击,对网络安全至关重要.针对传统的入侵检测方法难以从工业控制系统通信数据中提取有效数据特征的问题,提出一种基于相关信息熵和CNN-BiLSTM的入侵检测模型,该模型将基于相关信息熵的特征选择和融合的深度学习算法相结合,因此能够有效去除噪声冗余,减少计算量,提高检测精度.首先针对不平衡样本等问题进行相应预处理,并通过基于相关信息熵的算法进行特征选择,达到去除噪声数据和冗余特征的目的;然后分别运用卷积神经网络(CNN)和双向长短期记忆神经网络(BiLSTM)从时间和空间维度提取数据特征,通过多头注意力机制进行特征融合,进而得出最终检测结果;最后通过单一变量原则和交叉验证方式获得最优的模型.通过与其他传统入侵检测方法实验对比得出：该模型具有更高的准确率(99.21%)和较低的漏报率(0.77%).     

基于环境信息降低入侵检测误报率

采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境条件。当入侵检测系统发现可疑入侵时,依据环境条件加以实时确认查核,从而减少误报。     

基于信息熵和聚类分析的评价模型

建立一个基于信息熵和聚类分析的评价模型,由信息熵确定指标权重,并通过聚类分析进行综合评价。通过实例分析验证该模型的有效性。