共查询到20条相似文献,搜索用时 93 毫秒
1.
2.
3.
本文提出了一种入侵检测告警的质量框架,用各种质量参数填充告警,并将告警采用IDMEF(Intrusion Detection Message Exchange Format)标准格式进行规范化,用于高层次的安全事件关联分析。 相似文献
4.
黑客的入侵是一个逐步积累、逐步深入的过程。在入侵过程中,黑客所积累的有关目标系统的信息越多,越有利下一步入侵的成功。现有的告警相关方法不能识别带分支的入侵过程,也不能识别属于某个入侵过程的失败的入侵步骤。该文针对这两种情况提出了一种基于知识积累的告警相关方法,这种方法不仅能识别完整入侵过程,而且能对入侵过程的相关程度及其入侵结果进行评估。 相似文献
5.
周期性误告警去除方法研究 总被引:1,自引:0,他引:1
网络入侵检测系统是发现网络安全事件的有力工具.然而在实际的应用中它会产生大量的冗余告警,极大地增加了实时安全分析的难度.提出具有周期性告警是误告警的思想,并通过实际周期的寻找和确定来消除相关冗余告警.算法在中国教育科研网的一个分支网络测试,实验中能够实时去除90%以上的告警,同时对网络中部分周期性告警产生的原因也进行了分析,分析发现这些告警的确是误告警. 相似文献
6.
为解决IDS产生大量相似的或无用的告警信息的问题,需要应用告警融合技术对告警信息进行处理。在已有的算法基础上设计了一种告警合成算法。有效地减少了无用警报的数量,又保持了警报处理的及时性,为后期的关联工作做好了准备。 相似文献
7.
一种基于聚类的有指导的入侵检测方法 总被引:6,自引:0,他引:6
提出了一种新的距离定义和基于聚类的有指导的入侵检测方法CBSID(Clustering-based and Supervised Interusion Detection).该方法在带标记的训练集上进行聚类.以聚类结果作为分类模型对未见数据进行分类.该方法对于参数和数据输入顺序具有稳健性.可增量更新分类模型.不同于一般的有指导的入侵检测方法.该方法对未知入侵有一定的检测能力.在KDDCUP99数据集上的测试结果表明,CBSID有理想的性能(高的检测率和低的误报率). 相似文献
8.
为提高数据分类的性能,提出了一种基于信息熵[1]的多分类器动态组合方法(EMDA)。此方法在多个UCI标准数据集上进行了测试,并与由集成学习算法—AdaBoost,训练出的各个基分类器的分类效果进行比较,证明了该算法的有效性。 相似文献
9.
10.
增强的基于GCA(Gravity-based clustering approach)的入侵检测方法是先对训练集采用GCA进行聚类,然后依据凝聚层次聚类算法的思想,以簇间的差异度和整体相似度作为聚类质量评价标准对GCA聚类产生的簇进行一些合并,合并后能使簇中心更集中,簇内对象更紧密。再根据标记算法标记出哪些簇属于正常簇,哪些属于异常簇,最后用检测算法对测试集数据进行检测。实验表明该方法对未知攻击的检测能力有所增强,特别是能有效降低误报率。 相似文献
11.
入侵检测系统的大部分报警事件之间都存在某种联系,通过对这些报警信息的关联分析,对解决目前入侵检测系统所存在的误报、漏报、重复报警、报警信息层次低等问题,具有重要的意义。该文基于因果关联方法,建立了一个入侵检测系统关联分析模型,该模型的关联分析过程分为聚合和关联分析,可以对不同入侵检测系统产生的报警信息进行关联分析。 相似文献
12.
信息熵理论与入侵检测聚类问题研究 总被引:6,自引:0,他引:6
将信息熵理论应用到入侵检测聚类问题中.实现了一种启发式入侵检测聚类算法HBEC,它能递增地处理巨大的网络连接记录数据库.通过实验证明了算法HBEC对解决入侵检测问题是有效的,并且具有很强的增量挖掘能力。 相似文献
13.
14.
针对目前入侵检测系统(Intrusion Detection System,IDS)对未知异常检测误报率率比较高的问题,提出了一种基于信息反馈的入侵检测方法。首先设计了一个IDS与主机协作检测的模型,然后详细介绍了IDS根据反馈信息利用行为分析技术对未知异常的检测过程。最终实现了高效的入侵检测系统。 相似文献
15.
16.
基于粗糙集的入侵检测方法研究 总被引:1,自引:0,他引:1
为了改善入侵检测系统的性能,常采用特征提取的方法精简初始数据,以减轻系统的处理负荷,提高检测速度。本文首先采用粗糙集理论对入侵检测系统进行了形式化描述,以信息熵作为测度对连续数值属性进行离散化,使用知识约简对入侵检测的属性特征进行提取,通过信息增益控制属性特征的约简过程,有效剔除了冗余特征,减少了系统的处理负荷,提高了系统的检测时效。实验证实所提出的方法使系统对于PROBING、DoS等典型攻击的训练时间分别缩短2.8和3.2倍,而检测速度分别提高3.3和3.8倍。 相似文献
17.
基于条件信息熵的网络攻击特征选择技术 总被引:1,自引:0,他引:1
用知识的条件信息熵定义了特征的相对重要性,建立一种基于条件信息熵的网络攻击特征选择算法,选出的特征属性不仅可以大大减少数据在存储、分析以及各组件共享中的代价,还能够降低构建神经网络系统的复杂性,简化训练集,减少检测时间,保持并提高入侵分类的准确性. 相似文献
18.
入侵检测技术旨在有效地检测网络中异常的攻击,对网络安全至关重要.针对传统的入侵检测方法难以从工业控制系统通信数据中提取有效数据特征的问题,提出一种基于相关信息熵和CNN-BiLSTM的入侵检测模型,该模型将基于相关信息熵的特征选择和融合的深度学习算法相结合,因此能够有效去除噪声冗余,减少计算量,提高检测精度.首先针对不平衡样本等问题进行相应预处理,并通过基于相关信息熵的算法进行特征选择,达到去除噪声数据和冗余特征的目的;然后分别运用卷积神经网络(CNN)和双向长短期记忆神经网络(BiLSTM)从时间和空间维度提取数据特征,通过多头注意力机制进行特征融合,进而得出最终检测结果;最后通过单一变量原则和交叉验证方式获得最优的模型.通过与其他传统入侵检测方法实验对比得出:该模型具有更高的准确率(99.21%)和较低的漏报率(0.77%). 相似文献
19.
采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境条件。当入侵检测系统发现可疑入侵时,依据环境条件加以实时确认查核,从而减少误报。 相似文献
20.