一种基于数据挖掘的告警相关方法的研究与实现

通过分析入侵检测系统的现存问题,提出一种基于数据挖掘的告警相关方法,对告警进行高效关联和归并。实验结果表明,该方法减少告警数量72．4％以上．误告警减少21．2％以上。     

基于因果图的贝叶斯网络

在贝叶斯网络中引入了因果图的理论,提出了一种基于因果图的贝叶斯网络,经实验证明,很好地解决了贝叶斯网络中的问题,在现实中有着重要的应用价值.     

基于树扩展朴素贝叶斯的高效网络入侵检测系统

提出了一种基于树扩展朴素贝叶斯(tree augmented naive Bayes,TANB)的入侵检测方法.该方法基于传统的朴素贝叶斯(naive Bayes,NB)和贝叶斯网络(Bayes network,BN)方法,结合了前者计算简单和后者能表示属性间相关性的优点.同时我们提出使用增益比率进行网络特征选择来进一步提高检测性能.通过对DARPA数据的入侵检测实验,与传统方法做了比较,其结果表明,我们提出的入侵检测方法效果很好,对各种入侵类型的检测率都很高.     

基于半定性贝叶斯网络的建模方法研究

在定性贝叶斯网络的基础上,提出一种既包含定性符号信息,又包含概率分布定量信息的半定性贝叶斯网络,用以集成多个专家的知识和经验,通过一个与专家反复交互的过程,构建出相关问题领域的稳定的贝叶斯网络模型。提出利用区间数来统一表达多个专家的定性或定量的判断意见,给出了在半定性贝叶斯网络中进行概率推理的区间数传播算法,并通过算例验证其有效性。     

入侵检测中的告警分析研究

针对目前对入侵检测中告警分析技术研究的不足，讨论了网络入侵检测系统中的告警分析问题，完成了网络入侵检测系统的告警分析中心的方案设计，并给出了一种基于数据库的通用告警分析层次化实现模型．     

基于贝叶斯网络的网络安全态势评估方法研究

针对当前网络安全评估系统不能提供有用态势信息的缺陷,提出了一种新的网络安全态势评估方法。将贝叶斯网络应用于网络安全态势评估中,根据多树型网络推理,利用贝叶斯网络的图形结构,提出了由点到面、自下向上相互影响的多元化安全态势评估模型。并将网络及主机工具采集的信息作为事件节点的证据来更新态势节点的概率,并反过来影响事件节点的概率,从而预测网络安全态势。     

基于贝叶斯方法的网络攻击定位和追踪模型

在网络节点之间存在安全依赖关系的前提下,提出了一个基于贝叶斯方法的网络攻击定位和追踪模型.该模型根据网络节点间的安全依赖关系构造安全依赖树.进而采用贝叶斯方法计算各个节点的攻击因子,并据此确定攻击源和攻击路径.     

基于贝叶斯网络的分类器研究

研究了贝叶斯分类器家族中具有代表性的分类器,即朴素(naIve)贝叶斯分类器、贝叶斯网络分类器和TAN(tree augmented Bayesian)分类器;发现属性变量之间的依赖相对于属性变量与类变量之间的依赖是可以忽略的,因此在所有树形分类器中TAN分类器是最优的．     

支持高精度告警的入侵检测系统的设计与实现

目前入侵检测系统（IDS）得到了越来越广泛的重视,发展日益迅速。然而,IDS在可用性、易用性方面还存在着较大的问题,其中一个方面表现在IDS提供的告警信息过于简单,基于这些信息用户难以对攻击的特点有全面清晰的认识,从而给IDS的发展带来了困难。本文在对网络攻击进行有效分类的基础上,提出了一种支持高精度告警的入侵检测系统,使得IDS能够将网络攻击的主要特征反馈给用户,从而让用户能够准确全面的了解攻击,及时采取相应的防范措施。     

基于oCSE-BS方法的动态因果网络构建研究

科学构建观察现象背后因果关系是各领域研究的一个基本问题。oCSE是构建动态因果网络的一种经典方法,它通过依次寻找单个节点的因果父集逐层构建网络,区别于当前通用的由成对节点间因果关系简单合成网络的思路。oCSE能够更充分利用数据生成高质量网络,但其存在两点局限：当出现多重传递性或共因性因素时易误判因果关系;大量测算对比致使时间效率偏低。为克服上述局限,本研究提出一种改进方法oCSE-BS:引入贝叶斯评分推断特殊情况下测试节点与目标节点的因果关系,避免引入伪父节点,提升识别因果关系的正确率;采取早期丢弃策略过滤弱相关节点,避免完全搜索带来的高计算量,提升算法运行的时间效率。经验证oCSE-BS在生成网络质量和时间效率方面均优于oCSE,同时发现其运行效果对网络规模、网络稀疏度敏感度较高,对样本噪音敏感度较低。     

基于动态贝耶斯规划图的状态安全报警关联

提出状态报警关联的概念以及基于动态贝耶斯规划图的报警关联算法。动态贝耶斯规划图在规划图的基础上结合了动态贝耶斯网络推理,显式地表示系统状态以及状态和攻击动作之间的相互影响。算法用贝耶斯推理处理不确定信息,量化地评估系统安全状态,并且有效地消除误报。     

Two-Stage Algorithm for Correlating the Intrusion Alerts

To solve the problem of the alert flooding and information semantics in the existing Intrusion Detection System(IDS), we present a two-stage algorithm for correlating the alerts. In the first stage, the high-level alerts is integrated by using the Chronicle patterns based on time intervals, which describe and match the alerts with the temporal time constrains of an input sequence. In the second stage, the preparing relationship between the high-level alerts is defined, which is applied to correlate the high-level alerts, and the attack scenario is constructed by drawing the attack graph. In the end a given example shows the performances of this twostage correlation algorithm in decreasing the number and improving the information semantic of the intrusion alerts produced by the IDS.     

A graph based system for multi-stage attacks recognition

Building attack scenario is one of the most important aspects in network security. This paper proposed a system which collects intrusion alerts, clusters them as sub-attacks using alerts abstraction, aggregates the similar sub-attacks, and then correlates and generates correlation graphs. The scenarios were represented by alert classes instead of alerts themselves so as to reduce the required rules and have the ability of detecting new variations of attacks. The proposed system is capable of passing some of the missed attacks. To evaluate system effectiveness, it was tested with different datasets which contain multi-step attacks. Compressed and easily understandable correlation graphs which reflect attack scenarios were generated. The proposed system can correlate related alerts, uncover the attack strategies, and detect new variations of attacks.     

一个基于复合攻击路径图的报警关联算法

入侵检测系统作为保护计算机系统安全的重要手段其应用越来越广泛,然而随之产生的大量原始报警事件也带来了新的问题:数量巨大、误报警多、重复报警多,影响了对入侵检测系统的有效利用.针对此问题,警报关联技术成为网络安全研究的一个热点问题,研究者尝试对低级的报警信息进行关联,从而达到降低误报率的目的.本文提出一个基于复合攻击路径图的报警关联算法,使用报警信息在攻击中所处的攻击阶段并将其关联起来构建攻击场景从而达到揭示隐藏在大量攻击事件背后的入侵真实意图.该模型先对报警信息进行预处理,匹配到知识库中对应的攻击阶段,然后再将攻击链接起来,根据攻击路径图的权值计算对应主机的受威胁程度,并决定是否报警.该模型可以实现对报警信息的实时处理,并能重现攻击行为的实施路径,最后通过实验证明了该算法的有效性.     

反应式容侵系统入侵预测的混合式贝叶斯网络方法

为解决反应式容忍入侵系统中的入侵预测问题,提出了新的混合式贝叶斯网络方法。该方法中,提出了一种基于系统安全状态的入侵模型,以攻击者能力上升的过程来描述入侵,关注入侵对系统的影响,适合于反应式容侵系统根据当前状态选择合适的响应机制。提出了基于入侵模型的混合式贝叶斯网络(HyBN, hybrid bayesian network)模型,将入侵模型中攻击行为和系统安全状态节点分离为攻击层和状态层两个网络层次,两层间使用收敛连接,而两层内部的节点间使用连续连接。在特定的信度更新算法的支持下,实验说明该贝叶斯网络方法用于入侵预测的有效性,比较说明HyBN方法的优点。     

入侵检测中的报文交换

阐述了入侵检测中报文交换的产生背景与功能要求，探讨并分析了此领域中的相关技术与进展，包括通用入侵检测框架中的通用事件描述语言，以及IETF入侵检测工作组在这方面的工作：入侵检测报文交换格式(IDMEF)、入侵警报协议、入侵检测交换协议(IDXP)．最后就报文交换方面的未来趋势作出预测．     

聚类方法在警报数据分类与约简中的应用

提出了一个使用文本聚类方法进行警报数据分类与约简的处理框架.详细描述了警报特征向量的表示方法和直接聚类方法,以及警报数据的简约表示方法.