一种面向网络行为因果关联的攻击检测方法

为了能在攻击目标受损之前检测到攻击事件,提出了一种面向网络行为因果关联的攻击检测方法．基于SNMPMIB数据,根据攻击目标的异常行为,利用GCT从检测变量中挖掘出与异常变量存在整体行为关联的基本攻击变量,然后针对异常行为特征,再次利用GCT从基本攻击变量中挖掘出与异常变量存在局部行为关联的攻击变量,最后根据攻击变量和异常变量之间的因果关系,构建面向攻击方检测的攻击关联规则．在Trin00 UDP Flood检测实验中,所提方法在挖掘出攻击变量udp Out Datagrams上取得了满意的检测效果．     

基于报警数据融合的智能电网攻击检测方法

智能电网中信息技术的广泛使用为攻击者提供了更多的途径入侵和攻击电力系统,这已成为智能电网安全的最大隐患之一。提出了一种基于异常数据融合的智能电网攻击检测方法,通过入侵检测系统发现信息网络中的异常流量,利用标准化残差方法检测电力系统中的异常量测数据,通过关联信息网络和物理系统的异常报警数据来检测智能电网攻击事件。仿真实验表明该方法可以消除入侵检测与标准化残差检测产生的大量错误报警,显著提高智能电网攻击的检测精度。     

基于动态分析的控制流劫持攻击检测

控制流完整性策略能够有效地防御控制流劫持类攻击,但复杂的控制流图构建使该策略的实际部署非常困难.为了有效地针对控制流劫持攻击的检测手段,提出一种基于程序异常行为来检测控制流劫持攻击的方法,并基于该方法实现了控制流劫持攻击检测系统.实验表明,该方法能够有效地检测出由控制流劫持攻击造成的各种程序异常行为,基于该方法的攻击检测系统运行效果良好,能够方便的部署到实际应用环境中.     

基于免疫和模糊逻辑的自适应入侵检测

随着网络入侵方法和网络计算环境的变化,入侵越来越难以被检测和防范.本文针对当前入侵检测中存在的问题给出了一种基于生物免疫机制和模糊逻辑的自适应入侵检测模型, 分别对正常行为模式和待检测行为模式建立模糊关联规则集,通过比较待检测行为模式的规则集与正常行为模式的规则集的相似度,确定是否有入侵事件发生;此外,模型还可以自适应在线升级自身的抗体规则,从而提高了抵御新型攻击的能力和自适应性.经过仿真测试,证明该模型可以有效地检测异常攻击事件.     

基于免疫和模糊逻辑的自适应入侵检测

随着网络入侵方法和网络计算环境的变化,入侵越来越难以被检测和防范.本文针对当前入侵检测中存在的问题给出了一种基于生物免疫机制和模糊逻辑的自适应入侵检测模型,分别对正常行为模式和待检测行为模式建立模糊关联规则集,通过比较待检测行为模式的规则集与正常行为模式的规则集的相似度,确定是否有入侵事件发生;此外,模型还可以自适应在线升级自身的抗体规则,从而提高了抵御新型攻击的能力和自适应性.经过仿真测试,证明该模型可以有效地检测异常攻击事件.     

一个基于复合攻击路径图的报警关联算法

入侵检测系统作为保护计算机系统安全的重要手段其应用越来越广泛,然而随之产生的大量原始报警事件也带来了新的问题:数量巨大、误报警多、重复报警多,影响了对入侵检测系统的有效利用.针对此问题,警报关联技术成为网络安全研究的一个热点问题,研究者尝试对低级的报警信息进行关联,从而达到降低误报率的目的.本文提出一个基于复合攻击路径图的报警关联算法,使用报警信息在攻击中所处的攻击阶段并将其关联起来构建攻击场景从而达到揭示隐藏在大量攻击事件背后的入侵真实意图.该模型先对报警信息进行预处理,匹配到知识库中对应的攻击阶段,然后再将攻击链接起来,根据攻击路径图的权值计算对应主机的受威胁程度,并决定是否报警.该模型可以实现对报警信息的实时处理,并能重现攻击行为的实施路径,最后通过实验证明了该算法的有效性.     

基于关系事件的网络复杂攻击检测技术研究

应用传统的入侵检测方法无法实现对网络复杂攻击的检测,传统检测算法的重点在于观测独立事件或独立用户的行为特征,缺乏对事件之间相互作用关系的考量和分析,而复杂攻击可供检测的显性特征就在于事件间的关联特征.提出了一种基于复杂攻击子事件和子事件关系的检测方法,通过复杂攻击的检测范例,证明了该方法的有效性.     

关联分析技术在IDS中的应用

关联分析技术能从大量的数据中挖掘出许多数据属性之间隐藏的规律或关联知识,目前已被应用到入侵检测系统(Intrusion Detection System,简称IDS)中,用来从网络数据中挖掘出正常和攻击模式.对关联分析技术做了阐述,并对Apriori算法进行了两点改进,以提高效率,并给出相关的实验数据.     

基于行为关联的Web自适应入侵检测系统设计与实现

提出了一种适用于Web服务器的自适应入侵检测机制,将检测模块直接嵌入Web服务器中,采用客户访问行为关联预测,配合异常检测和误用检测,动态产生和调整特征规则,确定合法请求,过滤异常请求并确认攻击类型,从而达到预防新型攻击与检测已知攻击事件的目的. 对实现的系统进行了测试验证,在一般攻击扫描情况下攻击检测准确率可高达95.8%.     

基于FP-Growth算法及补偿性入侵证据的攻击意图识别

针对现有方法的入侵证据单一,系统资源消耗大及最终结果不准确等问题,提出了一种新的攻击意图识别方法.将IDS的告警事件与其他安全工具如扫描器等的数据相融合,构成补偿性入侵证据,并在此基础上使用贝叶斯网络构建攻击场景;使用FP-Growth算法从攻击场景中挖掘出频繁攻击模式;最终将产生的频繁攻击模式关联以重构攻击路径,从而推断最可能的攻击意图.实验结果表明,该方法可准确识别攻击意图并有效节省系统资源.