CPN攻击建模及警报相关性算法设计

为提高当前入侵检测系统的预警质量和分析预测能力,用染色Petri网(colored petrinet,CPN)构造了攻击模型,系统性地设计了警报信息相关性分析算法.通过把"警报"和"攻击"作为2个不同实体参与模型运算,将目前主要采用的过滤观察信息为基础的关联方法提升为信息推理的演算方法.应用CPN模型转换、极小覆盖集命题等方法,对本领域中的难点问题即复合攻击、合作攻击进行了理论分析和算法设计.在此基础上开发了警报信息相关性分析(alerts correlationanalvsis system,ACAS)实验系统,实验结果表明算法系统对于提高入侵检测系统的警报质量和分析预测能力是可行、有效的.     

基于本体的报警分类技术在报警评估过程中的应用与实现

由于缺乏评估和关联报警的背景知识,IDS(入侵检测系统)产生的海量报警无法得到更进一步的真实化确认,从而使IDS成为当今安全产品中的诟病.在事件关联范畴内的报警评估是利用被监控系统的背景知识对IDS产生的大量报警进行进一步的分析,从而把真实的危害系统的报警呈现给用户的过程.这些用于评估IDS报警的背景知识包括受害主机系统信息和网络环境信息.本文介绍了事件关联的主要结构,并着重介绍报警评估的流程和所需背景知识库;然后详细描述了基于本体的背景知识库的分类技术;最后给出基于背景知识分类技术在报警评估过程中的具体实现过程.     

基于地址关联图的分布式IDS报警关联算法

当前入侵检测系统产生的报警洪流往往使管理员无法处理,大大降低了IDS系统的有效性. 对原始报警事件的关联分析可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图,对大规模分布式入侵检测系统有重要意义. 为此综合分析了现有报警关联算法的优点和不足,提出了一种基于地址关联图(ACG)的报警关联算法. 该算法用地址关联图模型对分布式IDS原始报警事件进行分析,以得到不同攻击之间的关联和发生步骤,得到攻击者的攻击路径,进而分析攻击者的意图. 该算法无需提前制定关联知识库或提前训练关联模型,因此易于实现.     

入侵检测的规划识别模型研究

将AI领域中的规划概念引入入侵检测,建立了入侵检测的规划识别模型,采用因果告警关联分析和贝叶斯网推理模型实现规划识别,以找回因入侵检测自身的检测策略不足和网络覆盖范围漏洞而丢失的关键告警,重新构建了实际的攻击场景,并能预测攻击者的下一步行为或攻击意图,从而起到了提前预警的作用．     

关联规则挖掘结合简化粒子群优化的哈希回溯追踪协议

针对源路径隔离引擎(source path isolation engine,SPIE)不能回溯追踪早期经过路由器的攻击数据包问题,提出了一种IP回溯追踪协议(IP trace-back protocol,ITP),该协议根据压缩哈希表、Sinkhole路由算法和基于网络取证的数据挖掘技术抵抗网络攻击.其中包含简化粒子群优化(simplified particle swarm optimization,SPSO)关联算法的分析管理器(attack analysis manager,AAM)通过分析来自Sinkhole路由器和入侵检测系统(intrusion detection systems,IDS)的攻击包的关联性生成攻击模式和攻击包规则,并将该结果通知系统管理器,Sinkhole路由器和IDS通过数据挖掘技术分析攻击包之间的关联性.通过比较SPIE,概率包标记(probabilistic packet marking,PPM)和iTrace的性能可以看出,ITP不仅能实时追踪后向攻击,而且能定期使用压缩哈希表(compressed hash table,CHT)完成追踪任务.因此,在抵抗DoS攻击方面,ITP性能优于SPIE,PPM和iTrace,此外,在回溯执行时间方面,相同跳跃数下,ITP比iTrace低2-3 s.     

数据挖掘在入侵检测技术中的应用研究

针对入侵检测系统的特点,分析了数据挖掘在入侵检测技术中应用的研究现状,并利用数据挖掘技术在处理海量警报数据方面的优势,提出了一个入侵警报分析系统模型,通过对入侵检测系统产生的警报进行分析,减少了警报数量,提高了系统的检测效率和实用性.     

A New Honeynet Model

Based on citing Realm, a new Honeynet Model-BRHNS （Based Realm Honeynet） is presented. BRHNS makes use of cooperation between Realms, the efficiency of Honeynet is improved, in intrusion behavior analysis module, unknown attack data are classified by unsupervised clustering algorithm, accordingly, prepared for extracting intrusion rules and adding the new rules to IDS rule-lib, consequently, the detection efficiency of IDS is improved and the workload of Honeynet is effectively reduced. Had performed experiments through cross-validate, we found it was effective to classify the attack data by unsupervised clustering algorithm.     

入侵报警模式挖掘分析算法研究

为有效地缩减报警的数量,提取报警中的有用信息,提出了一个基于CLOSET算法的入侵报警模式挖掘分析算法,在分布式入侵检测系统中,帮助响应部件对入侵检测部件的报警消息进行挖掘分析,挖掘出报警中的频繁闭模式,以此为依据进行响应.为了发现潜在的入侵行为,扩展了IDMEF格式,提出了怀疑度概念.为了不忽略出现不频繁但怀疑度高的报警,对该算法进行了改进,增加了最小怀疑度参数.实验结果表明,两个算法都可以有效地缩减报警的数量,而改进的算法能够更好地提取报警中的有用信息.     

数据挖掘技术在入侵检测系统中的应用

将入侵检测系统中的攻击程度进行分类,并利用数据挖掘技术在入侵检测系统中加以应用。尽管入侵检测系统能够对攻击行为进行检测,但其结果还是具有不确定性的,利用这种划分能够对攻击行为的不确定性进行描述,也可以让用户对入侵行为进行灵活的调整。     

数据挖掘技术在入侵检测系统中的应用

将入侵检测系统中的攻击程度进行分类,并利用数据挖掘技术在入侵检测系统中加以应用.尽管入侵检测系统能够对攻击行为进行检测,但其结果还是具有不确定性的,利用这种划分能够对攻击行为的不确定性进行描述,也可以让用户对入侵行为进行灵活的调整.     

数据挖掘技术和攻击的不确定性

根据入侵检测的特点,将入侵检测系统中的攻击程度进行了分类,并将数据挖掘技术应用到入侵检测系统中.根据入侵检测系统对攻击行为进行检测结果的不确定性划分,能够对攻击行为的不确定性进行描述,也可以让用户对检测策略进行灵活的调整.     

面向安全态势的权限有效性定量评估方法

针对安全态势评估领域的权限有效性评估指标, 融合网络流量、入侵检测系统(IDS)报警和扫描信息, 提出一种全新的权限有效性定量评估方法.该方法将用户权限作为安全目标, 基于网络会话构建威胁用户权限的入侵迹, 并使用Markov数学模型度量安全目标失败的平均入侵代价, 进而定量评估权限有效性. 实验结果表明,当系统遭受缓冲区溢出攻击时, 权限有效性指数接近于0.该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁,有效监控黑客行为引起的系统安全态势变化. 与其他评估方法相比, 该方法考虑了报警之间的因果关系,降低了IDS误报以及无效入侵信息对安全态势评估精度的影响, 有助于管理员了解黑客入侵步骤、决策系统安全状况以及识别高危险的入侵路径.     

蜜罐检测系统与IDS的结合应用

随着网络入侵类型的多样化发展,入侵检测系统IDS作为防止黑客攻击的一种主要手段,日益显示出其在构建方法、检测效率、可移植性和可升级性等方面存在着普遍的缺陷。蜜罐技术的设计可以让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,这样可以弥补与改善IDS在设计上被动性的不足,为提前发现新的入侵检测规则提供有效的信息。蜜罐不直接给网络安全带来帮助,但它能收集和攻击者相关的攻击信息并分析这些信息,以此来研究攻击者和被蜜罐模仿的系统的漏洞,从而间接的为网络安全带来帮助。     

A graph based system for multi-stage attacks recognition

Building attack scenario is one of the most important aspects in network security. This paper proposed a system which collects intrusion alerts, clusters them as sub-attacks using alerts abstraction, aggregates the similar sub-attacks, and then correlates and generates correlation graphs. The scenarios were represented by alert classes instead of alerts themselves so as to reduce the required rules and have the ability of detecting new variations of attacks. The proposed system is capable of passing some of the missed attacks. To evaluate system effectiveness, it was tested with different datasets which contain multi-step attacks. Compressed and easily understandable correlation graphs which reflect attack scenarios were generated. The proposed system can correlate related alerts, uncover the attack strategies, and detect new variations of attacks.     

一种新的高速网格入侵检测系统模型

提出了一种新的高速网格入侵检测系统模型,将入侵检测系统部署于网格环境,并采用基于特征匹配的检测技术;为了实现网格中各种资源使用的负载均衡,采用改进的遗传算法进行任务的分配;为了实现对分布式攻击的检测,采用数据融合和频繁模式挖掘技术进行报警的合成与关联分析.该模型不仅能够利用网格资源进行攻击检测,而且实现了网格资源使用的负载均衡.     

基于粒子群算法的欠定盲源分离方法改进研究

欠定盲源分离技术是一个热门的研究领域,其广泛应用于信息理论、神经网络、统计信号处理、生物医学工程等领域。在大多数实际情况下,当接收到由多路源信号叠加而成的观测信号时,源信号的数量大于观测时长,采用通常的盲源分离技术难以恢复源信号。着重讨论基于"两步法"的欠定盲源分离问题;该分离技术分两个阶段,第一阶段采用基于粒子群算法的K-均值聚类改进算法求解混合矩阵,将蚁群算法信息素的概念应用其中;第二阶段采用最短路径法求解L1-范数模型获得源信号的估计。相比于现存的二阶段方法,该方法可达到更高的信号重构信噪比。     

一种基于数据挖掘的告警相关方法的研究与实现

通过分析入侵检测系统的现存问题,提出一种基于数据挖掘的告警相关方法,对告警进行高效关联和归并。实验结果表明,该方法减少告警数量72．4％以上．误告警减少21．2％以上。     

一种计算网络告警因果关联置信度的新方法

为提高告警因果关联准确性,提出了将实施单次攻击所需的时间消耗作为随机变量,给出其概率分布模型,在此基础上计算任意2条因果相关告警的时间关联置信度。设计并实现了算法验证程序,利用DARPA 2000入侵检测数据集进行了验证。结果表明,新方法合理地量化了告警时间关联置信度,且计算复杂度低,能为正确关联攻击场景提供支持。     

基于记忆的关键信息基础设施安全检测技术

提出基于记忆的关键信息基础设施安全检测技术,针对传统的入侵检测技术（IDS）、Web应用防火墙（WAF）技术在Web攻击检测方面的局限性,通过对Web应用攻击周期3个过程的全面分析理解,基于攻击链技术,可以对Web数据进行双向分析即时数据及历史数据,检测各种碎片化、持续性的攻击手段,并且能在黑客利用攻击时,同步感知各种漏洞,实时了解和掌握网络风险状况.      

基于网络的入侵检测技术研究

随着网络安全风险系数不断提高,作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,入侵检测系统能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。对基于网络的入侵检测技术的了解,有利于我们对基于主机的IDS、分布式IDS、智能IDS等方面的研究。