基于模糊综合评判的入侵检测报警信息处理 被引量：50

1

作者 穆成坡 黄厚宽 +2 位作者 田盛丰 林友芳 秦远辉 《计算机研究与发展》 EI CSCD 北大核心 2005年第10期1679-1685,共7页

提出一种基于模糊综合评判的方法来处理入侵检测系统的报警信息、关联报警事件,并引入有监督的确信度学习方法,通过确信度来对报警信息进行进一步的过滤·通过对这些技术手段的综合使用,力求降低误报率和重复报警,逐步减轻网络管理... 提出一种基于模糊综合评判的方法来处理入侵检测系统的报警信息、关联报警事件,并引入有监督的确信度学习方法,通过确信度来对报警信息进行进一步的过滤·通过对这些技术手段的综合使用,力求降低误报率和重复报警,逐步减轻网络管理员的工作强度·这种模糊评判所实现的事件关联有助于发现入侵者的行为序列,为事件威胁分析和入侵响应决策打下了基础,并有利于将不同安全产品集成在一起,实现网络系统的立体防御· 展开更多

关键词 入侵检测 报警关联 报警处理 模糊综合评判

在线阅读 下载PDF 职称材料

一种基于马尔可夫性质的因果知识挖掘方法 被引量：29

2

作者 冯学伟 王东霞 +1 位作者 黄敏桓 李津 《计算机研究与发展》 EI CSCD 北大核心 2014年第11期2493-2504,共12页

攻击者对网络目标设施的渗透破坏过程往往是渐进的,通过执行多个攻击步骤实现最终目的,如何掌握攻击活动的全貌、重建攻击场景是网络安全态势感知等诸多研究领域面临的主要难题之一.基于因果知识的告警关联分析是复杂事件处理(complex e... 攻击者对网络目标设施的渗透破坏过程往往是渐进的,通过执行多个攻击步骤实现最终目的,如何掌握攻击活动的全貌、重建攻击场景是网络安全态势感知等诸多研究领域面临的主要难题之一.基于因果知识的告警关联分析是复杂事件处理(complex event processing,CEP)技术的主要方法之一,它为识别多步攻击过程、重建攻击场景提供了较好的技术途径.针对告警关联分析中因果知识难以自动获得这一问题,提出了一种基于马尔可夫性质的因果知识挖掘方法.该方法利用马尔可夫链模型对因果知识进行建模,以真实网络中的原始告警流为数据源:首先通过对地址相关的告警事件进行聚类,得到相关性类簇;然后再基于马尔可夫链的无后效性,挖掘各个类簇中不同攻击类型间的一步转移概率矩阵,得到因果知识,并对具有重复步骤的因果知识进行匹配融合,构建因果知识库;最后对所提出的因果知识挖掘方法进行了实验验证和对比分析.结果表明,该方法是可行的. 展开更多

关键词 入侵检测 告警关联 因果知识 数据挖掘 攻击场景

在线阅读 下载PDF 职称材料

入侵检测系统报警信息聚合与关联技术研究综述 被引量：70

3

作者 穆成坡 黄厚宽 田盛丰 《计算机研究与发展》 EI CSCD 北大核心 2006年第1期1-8,共8页

报警的聚合与关联是入侵检测领域一个很重要的发展方向·阐述了研发报警聚合与关联系统的必要性通过对报警的聚合与关联可以实现的各项目标;重点讨论了现有的各种报警聚合与关联算法,并分析了各算法的特点;介绍了在开发入侵报警管... 报警的聚合与关联是入侵检测领域一个很重要的发展方向·阐述了研发报警聚合与关联系统的必要性通过对报警的聚合与关联可以实现的各项目标;重点讨论了现有的各种报警聚合与关联算法,并分析了各算法的特点;介绍了在开发入侵报警管理系统(IDAMS)中如何根据算法特点选择算法的原则;总结了现有聚合与关联系统的体系结构;简要介绍了IDMEF标准数据格式以及它在报警关联中的作用;最后,介绍了现有聚合与关联系统的发展现状,并提出了研发入侵报警聚合与关联系统所面临的重要技术问题和发展方向· 展开更多

关键词 入侵检测 报警聚合 报警关联 网络安全

在线阅读 下载PDF 职称材料

基于模式挖掘和聚类分析的自适应告警关联 被引量：20

4

作者 田志宏 张永铮 +2 位作者 张伟哲 李洋 叶建伟 《计算机研究与发展》 EI CSCD 北大核心 2009年第8期1304-1315,共12页

大部分攻击事件都不是孤立产生的,相互之间存在着某种联系,如冗余关系和因果关系等.大多数入侵检测系统忽略了上述关联性,从而暴露出高误报率的严重问题.在分析比较了目前较为流行的几种告警关联方法的优缺点基础上,提出了一种基于模式... 大部分攻击事件都不是孤立产生的,相互之间存在着某种联系,如冗余关系和因果关系等.大多数入侵检测系统忽略了上述关联性,从而暴露出高误报率的严重问题.在分析比较了目前较为流行的几种告警关联方法的优缺点基础上,提出了一种基于模式挖掘和聚类分析的自适应告警关联模型A3PC.以告警的行为模式概念为中心,A3PC将异常检测思想引入告警关联的问题上,通过提取关联规则和序列模式生成告警的分类模型,对误报进行自动鉴别,同时采用模式挖掘和聚类分析算法相结合的处理思想以及人机交互的半自动处理模式,从而形成真实有效、精简的管理员告警视图.使用MIT Lincoln实验室提供的DARPA入侵检测攻击场景数据集进行了测试,实验分析表明,A3PC较传统方法在告警关联准确程度、实时性和自适应性等方面更具优势. 展开更多

关键词 入侵检测 告警关联 模式挖掘 聚类分析 误报率

在线阅读 下载PDF 职称材料

集成化网络安全监控平台的研究与实现 被引量：13

5

作者 张慧敏 钱亦萍 +2 位作者 郑庆华 董世杰 管晓宏 《通信学报》 EI CSCD 北大核心 2003年第7期155-163,共9页

入侵检测系统 (IDS) 意在检测对计算机系统的未授权使用、误用和滥用。针对目前IDS普遍存在的缺乏有效监控平台的情况,我们提出了一种能够支持多种异构Sensor、多源证据关联以及可视化推理判断的集成化网络安全监控平台NSMS,给出了NSMS... 入侵检测系统 (IDS) 意在检测对计算机系统的未授权使用、误用和滥用。针对目前IDS普遍存在的缺乏有效监控平台的情况,我们提出了一种能够支持多种异构Sensor、多源证据关联以及可视化推理判断的集成化网络安全监控平台NSMS,给出了NSMS的体系结构,并就“证据获取”、“证据处理”、“结果可视化报告”三个关键技术进行了详细阐述。本平台已经在集成化网络安全监控及防卫系统Net-Keeper中得到实现和应用,实际应用表明本平台是一个开放、高效和可视化的网络安全实时监控平台。 展开更多

关键词 网络安全 入侵检测系统 入侵关联分析 贝叶斯算法 目标树推理 可视化显示

在线阅读 下载PDF 职称材料

基于动态关联分析的网络安全风险评估方法 被引量：23

6

作者 葛海慧 肖达 +1 位作者 陈天平 杨义先 《电子与信息学报》 EI CSCD 北大核心 2013年第11期2630-2636,共7页

该文针对入侵检测系统(IDS)实时报警具有关联性的特点,对一定时间间隔内的报警事件进行动态关联分析,在此基础上提出一种实时的风险评估方法。首先,考虑到安防措施强度与节点漏洞对攻击执行结果的影响,提出了攻击成功率算法;其次,提出... 该文针对入侵检测系统(IDS)实时报警具有关联性的特点,对一定时间间隔内的报警事件进行动态关联分析,在此基础上提出一种实时的风险评估方法。首先,考虑到安防措施强度与节点漏洞对攻击执行结果的影响,提出了攻击成功率算法;其次,提出攻击威胁度算法,较好地区分了多步关联性攻击行为连续发生与多个孤立攻击行为单独发生之间的威胁度差异;最后利用各节点风险态势值加权计算系统整体的风险态势值,从而获得系统实时的风险态势曲线图。为了验证所提方法的有效性,搭建了攻击测试平台,实验结果表明该方法是科学的、有效的,能够提高评估结果准确度,为安全管理员及时改进安防策略提供了重要依据。 展开更多

关键词 网络安全 风险评估 入侵检测系统报警 事件关联分析

在线阅读 下载PDF 职称材料

基于警报序列聚类的多步攻击模式发现研究 被引量：18

7

作者 梅海彬 龚俭 张明华 《通信学报》 EI CSCD 北大核心 2011年第5期63-69,共7页

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。... 研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。 展开更多

关键词 入侵检测 警报关联 多步攻击 聚类

在线阅读 下载PDF 职称材料

新的入侵检测数据融合模型——IDSFP 被引量：15

8

作者 田俊峰 赵卫东 +1 位作者 杜瑞忠 蔡红云 《通信学报》 EI CSCD 北大核心 2006年第6期115-120,共6页

以多传感器数据融合技术为基础,提出了新的入侵检测融合模型——IDSFP。其具有对多个IDS入侵检测系统的警报进行关联、聚合,产生对安全态势判断的度量,从而构成证据的特点。IDSFP应用D-S证据理论来形成对当前安全态势进行评估的信息,并... 以多传感器数据融合技术为基础,提出了新的入侵检测融合模型——IDSFP。其具有对多个IDS入侵检测系统的警报进行关联、聚合,产生对安全态势判断的度量,从而构成证据的特点。IDSFP应用D-S证据理论来形成对当前安全态势进行评估的信息,并动态地反馈、调整网络中各个IDS(intrusiondetectionsystem),加强对与攻击意图有关的数据的检测,进而提高IDS检测效率,降低系统的误报率和漏报率。 展开更多

关键词 网络安全 入侵检测 警报关联 数据融合 D-S证据理论 态势分析

在线阅读 下载PDF 职称材料

一种基于Choquet模糊积分的入侵检测警报关联方法 被引量：5

9

作者 努尔布力 柴胜 +1 位作者 李红炜 胡亮 《电子学报》 EI CAS CSCD 北大核心 2011年第12期2741-2747,共7页

文章研究了警报关联方法,模糊积分和模糊认知图基本理论,提出了一种基于Choquet模糊积分的入侵检测警报关联方法,设计并实现了一个能够识别多步攻击的警报关联引擎.通过DRDOS和LLDOS实验表明,该引擎能够有效的检测网络中存在的大规模分... 文章研究了警报关联方法,模糊积分和模糊认知图基本理论,提出了一种基于Choquet模糊积分的入侵检测警报关联方法,设计并实现了一个能够识别多步攻击的警报关联引擎.通过DRDOS和LLDOS实验表明,该引擎能够有效的检测网络中存在的大规模分布式多步攻击. 展开更多

关键词 入侵检测 模糊积分 模糊测度 警报关联 告警关联

在线阅读 下载PDF 职称材料

一种入侵场景构建模型——BPCRISM 被引量：3

10

作者 刘玉玲 杜瑞忠 +1 位作者 赵卫东 蔡红云 《计算机研究与发展》 EI CSCD 北大核心 2007年第4期589-597,共9页

就单一传统入侵检测系统而言,其异构性和自治性使得针对同一攻击行为产生的警报,在包含内容、详略程度、不确定性等方面存在很大的差异,导致大量重复性警报涌现.而这些大量、重复的警报信息不仅影响了入侵检测系统的性能,又不能体现出... 就单一传统入侵检测系统而言,其异构性和自治性使得针对同一攻击行为产生的警报,在包含内容、详略程度、不确定性等方面存在很大的差异,导致大量重复性警报涌现.而这些大量、重复的警报信息不仅影响了入侵检测系统的性能,又不能体现出完整的黑客入侵过程.为了有效地分析和处理入侵警报,提出了一种入侵场景构建模型---BPCRISM,其能够利用警报的检测时间属性的接近程度将警报关联分为两大类:警报概率关联和警报因果关联,然后给出了概率关联和因果关联的算法,并从关联的警报信息中分辩出完整的黑客攻击流程和重构出入侵场景.初步实现该模型后,使用DARPA Cy-ber Panel Program Grand Challenge ProblemRelease3.2(GCP)入侵场景模拟器进行了测试,实验结果验证了该模型的有效性. 展开更多

关键词 入侵检测 警报关联 入侵场景 概率关联 因果关联

在线阅读 下载PDF 职称材料

安全报警事件关联算法研究 被引量：4

11

作者 郭山清 阳雪林 +2 位作者 曾英佩 谢立 高丛 《计算机应用》 CSCD 北大核心 2005年第10期2276-2279,共4页

已经获得广泛应用的防火墙、IDS、防病毒软件等安全设备在运行过程中会产生大量独立的、原始的报警信息,这些报警信息除了具有海量的特点外,还有比较高的误报率和漏报率,导致用户难于对攻击及时做出响应。利用关联分析的方法对海量报警... 已经获得广泛应用的防火墙、IDS、防病毒软件等安全设备在运行过程中会产生大量独立的、原始的报警信息,这些报警信息除了具有海量的特点外,还有比较高的误报率和漏报率,导致用户难于对攻击及时做出响应。利用关联分析的方法对海量报警事件进行分析并提取攻击场景是解决此问题的基本手段。通过简单的分类综述了安全领域中报警事件关联算法的研究现状,并指出了需要进一步研究的问题。 展开更多

关键词 安全管理 报警事件关联 入侵检测

在线阅读 下载PDF 职称材料

安全事件关联分析引擎的研究与设计 被引量：6

12

作者 熊云艳 毛宜军 丁志 《计算机工程》 EI CAS CSCD 北大核心 2006年第13期280-282,共3页

入侵检测系统是动态安全防御里的重要环节,现有的入侵检测系统(IDS)存在一个致命的缺陷:误报率高居不下,IDS无法展现事件之间的逻辑关系,结果用户很难了解事件背后隐藏的攻击策略或逻辑步骤。为了解决IDS存在的上述问题,在深入分析入侵... 入侵检测系统是动态安全防御里的重要环节,现有的入侵检测系统(IDS)存在一个致命的缺陷:误报率高居不下,IDS无法展现事件之间的逻辑关系,结果用户很难了解事件背后隐藏的攻击策略或逻辑步骤。为了解决IDS存在的上述问题,在深入分析入侵技术的基础上提出了基于入侵序列的启发式关联方法,设计并实现了一个事件关联分析引擎,最后验证了有效性。 展开更多

关键词 入侵检测系统 误报 关联分析 入侵序列

在线阅读 下载PDF 职称材料

分布式入侵检测中的报警关联方法述评 被引量：4

13

作者 孙晶茹 董晓梅 于戈 《计算机工程》 CAS CSCD 北大核心 2005年第7期58-59,107,共3页

一个攻击者要完成一次成功的入侵通常要通过几个步骤来完成,而这些步骤之间往往不是互相独立的,前面的步骤通常是为后面步骤所作的铺垫。但传统的入侵检测集中于检测低层的入侵或异常,所检测到的结果仅仅是一次完整入侵的一部分,不能将... 一个攻击者要完成一次成功的入侵通常要通过几个步骤来完成,而这些步骤之间往往不是互相独立的,前面的步骤通常是为后面步骤所作的铺垫。但传统的入侵检测集中于检测低层的入侵或异常,所检测到的结果仅仅是一次完整入侵的一部分,不能将不同的报警信息结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。如果将不同分析器上产生的报警信息进行融合与关联分析,则会更有效地检测入侵。文章介绍了几种报警关联方法,其中重点介绍了基于报警信息先决条件和结果的报警信息关联方法,并对这几种方法进行了比较和评价。 展开更多

关键词 入侵检测 攻击 报警关联 超报警类

在线阅读 下载PDF 职称材料

多IDS环境中基于可信度的警报关联方法研究 被引量：8

14

作者 梅海彬 龚俭 《通信学报》 EI CSCD 北大核心 2011年第4期138-146,共9页

针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组... 针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组合规则来融合这些证据,最后决策判断警报所对应的攻击是否发生,从而消除各IDS报告警报的模糊性和冲突性,达到提高警报质量的目的。在DARPA 2000测试数据集上的实验结果表明,该方法能有效降低误报率,减少警报数目60%以上。 展开更多

关键词 网络安全 入侵检测系统 警报关联 证据理论 可信度

在线阅读 下载PDF 职称材料

入侵检测中基于序列模式的告警关联分析 被引量：3

15

作者 武斌 杨义先 郑康锋 《电子科技大学学报》 EI CAS CSCD 北大核心 2009年第3期415-418,475,共5页

提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式... 提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式挖掘算法,用于关联规则发现;在线关联模块匹配规则库形成攻击场景图,并预测未知攻击事件。使用2000 DARPA攻击数据集测试表明,该模型能够明显改善入侵检测系统的性能,验证了模型和算法的有效性。 展开更多

关键词 告警关联 数据挖掘 增量式更新 入侵检测 序列模式

在线阅读 下载PDF 职称材料

支持告警序列差分隐私保护的网络入侵关联方法 被引量：9

16

作者 李洪成 吴晓平 《计算机工程》 CAS CSCD 北大核心 2018年第5期128-132,共5页

在网络入侵情报协同分析过程中,告警数据的共享使被攻击者面临隐私泄露的风险。针对现有告警信息隐私保护方法无法应对背景知识下恶意分析的问题,提出一种新的网络告警关联分析方法。以原始告警序列数据集作为输入,利用Laplace机制构建... 在网络入侵情报协同分析过程中,告警数据的共享使被攻击者面临隐私泄露的风险。针对现有告警信息隐私保护方法无法应对背景知识下恶意分析的问题,提出一种新的网络告警关联分析方法。以原始告警序列数据集作为输入,利用Laplace机制构建支持差分隐私保护的噪声告警序列前缀树。在此基础上,通过遍历噪声前缀树生成泛化告警序列数据集,使用频繁序列挖掘算法实现告警关联。从理论角度证明该方法支持ε-差分隐私保护,并在典型多步攻击场景LLDoS1.0 inside数据集上进行验证。实验结果表明,该方法在保护告警序列隐私的同时,能够提高告警关联准确性。 展开更多

关键词 入侵检测 告警关联 差分隐私保护 频繁序列挖掘 前缀树

在线阅读 下载PDF 职称材料

一个融合网络安全信息的安全事件分析与预测模型 被引量：13

17

作者 彭雪娜 赵宏 《东北大学学报（自然科学版）》 EI CAS CSCD 北大核心 2005年第3期228-231,共4页

提出了一种融合网络安全信息的安全事件分析与预测模型·该模型能够对来自以IDS为主的多种安全部件和关键主机日志系统的网络安全信息进行校验、聚集和关联,从而整体上降低安全部件的误报率,扩展对网络中复杂攻击识别能力;能够结合... 提出了一种融合网络安全信息的安全事件分析与预测模型·该模型能够对来自以IDS为主的多种安全部件和关键主机日志系统的网络安全信息进行校验、聚集和关联,从而整体上降低安全部件的误报率,扩展对网络中复杂攻击识别能力;能够结合目标网络安全策略,对目标网络的安全状况进行准确评估,分析出网络真正威胁所在;还能够基于特定攻击场景,对未来可能发生的具体攻击行为做预测,从而尽早发现潜在威胁,为采取有效响应措施赢得宝贵时间· 展开更多

关键词 入侵检测系统 网络安全信息融合 告警聚集 事件关联 安全状态评估 安全事件预测

在线阅读 下载PDF 职称材料

分布式入侵检测系统中告警相关的研究与实现 被引量：3

18

作者 秦拯 龚发根 张大方 《计算机工程与科学》 CSCD 2005年第4期63-65,共3页

现有的告警相关方法处理开销比较大,特别是在告警风暴的情况下有可能无法处理。该文针对这种情况,提出一种改进的、适用于分布式入侵检测系统的告警相关方法,并给出了一个采用这种方法的实现框架及其实验结果。结果表明,改进后的告警相... 现有的告警相关方法处理开销比较大,特别是在告警风暴的情况下有可能无法处理。该文针对这种情况,提出一种改进的、适用于分布式入侵检测系统的告警相关方法,并给出了一个采用这种方法的实现框架及其实验结果。结果表明,改进后的告警相关方法能在告警相关识别率和告警相关准确率保持基本不降低的条件下,告警相关数据处理率降低40%以上,从而可保证告警相关部件在告警风暴的情况下仍有效地工作。 展开更多

关键词 计算机网络 网络安全 分布式入侵检测系统 告警相关准确率

在线阅读 下载PDF 职称材料

入侵检测系统中告警相关部件的设计与实现 被引量：1

19

作者 秦拯 沈亚敏 +1 位作者 李娜 张大方 《计算机科学》 CSCD 北大核心 2005年第8期46-48,共3页

随着网络的迅猛发展,管理入侵检测系统产生的大量告警变得越来越重要。本文基于因果相关的思想,设计并实现了一个入侵检测系统中的告警相关部件。实验表明,该部件能有效减少告警数量,其告警减少率达到83.26％。

关键词 入侵检测 告警相关 因果相关 入侵检测系统 部件 设计 减少率

在线阅读 下载PDF 职称材料

基于知识积累的告警相关方法 被引量：1

20

作者 龚发根 秦拯 张大方 《计算机科学》 CSCD 北大核心 2005年第6期133-136,共4页

黑客的入侵是一个逐步积累、逐步深入的过程。在入侵过程中,黑客所积累的有关目标系统的信息越多,越有利下一步入侵的成功。现有的告警相关方法不能识别带分支的入侵过程,也不能识别属于某个入侵过程的失败的入侵步骤。该文针对这两种... 黑客的入侵是一个逐步积累、逐步深入的过程。在入侵过程中,黑客所积累的有关目标系统的信息越多,越有利下一步入侵的成功。现有的告警相关方法不能识别带分支的入侵过程,也不能识别属于某个入侵过程的失败的入侵步骤。该文针对这两种情况提出了一种基于知识积累的告警相关方法,这种方法不仅能识别完整入侵过程,而且能对入侵过程的相关程度及其入侵结果进行评估。 展开更多

关键词 相关方法 知识积累 告警 目标系统 相关程度 入侵 识别 黑客

在线阅读 下载PDF 职称材料