一种基于数据挖掘的告警相关方法的研究与实现

通过分析入侵检测系统的现存问题,提出一种基于数据挖掘的告警相关方法,对告警进行高效关联和归并。实验结果表明,该方法减少告警数量72．4％以上．误告警减少21．2％以上。     

基于因果图的贝叶斯网络

在贝叶斯网络中引入了因果图的理论,提出了一种基于因果图的贝叶斯网络,经实验证明,很好地解决了贝叶斯网络中的问题,在现实中有着重要的应用价值.     

基于树扩展朴素贝叶斯的高效网络入侵检测系统

提出了一种基于树扩展朴素贝叶斯(tree augmented naive Bayes,TANB)的入侵检测方法.该方法基于传统的朴素贝叶斯(naive Bayes,NB)和贝叶斯网络(Bayes network,BN)方法,结合了前者计算简单和后者能表示属性间相关性的优点.同时我们提出使用增益比率进行网络特征选择来进一步提高检测性能.通过对DARPA数据的入侵检测实验,与传统方法做了比较,其结果表明,我们提出的入侵检测方法效果很好,对各种入侵类型的检测率都很高.     

基于半定性贝叶斯网络的建模方法研究

在定性贝叶斯网络的基础上,提出一种既包含定性符号信息,又包含概率分布定量信息的半定性贝叶斯网络,用以集成多个专家的知识和经验,通过一个与专家反复交互的过程,构建出相关问题领域的稳定的贝叶斯网络模型。提出利用区间数来统一表达多个专家的定性或定量的判断意见,给出了在半定性贝叶斯网络中进行概率推理的区间数传播算法,并通过算例验证其有效性。     

入侵检测中的告警分析研究

针对目前对入侵检测中告警分析技术研究的不足，讨论了网络入侵检测系统中的告警分析问题，完成了网络入侵检测系统的告警分析中心的方案设计，并给出了一种基于数据库的通用告警分析层次化实现模型．     

一种计算网络告警因果关联置信度的新方法

为提高告警因果关联准确性,提出了将实施单次攻击所需的时间消耗作为随机变量,给出其概率分布模型,在此基础上计算任意2条因果相关告警的时间关联置信度。设计并实现了算法验证程序,利用DARPA 2000入侵检测数据集进行了验证。结果表明,新方法合理地量化了告警时间关联置信度,且计算复杂度低,能为正确关联攻击场景提供支持。     

基于贝叶斯网络的分类器研究

研究了贝叶斯分类器家族中具有代表性的分类器，即朴素(naIve)贝叶斯分类器、贝叶斯网络分类器和TAN(tree augmented Bayesian)分类器；发现属性变量之间的依赖相对于属性变量与类变量之间的依赖是可以忽略的，因此在所有树形分类器中TAN分类器是最优的．     

基于贝叶斯网络的网络安全态势评估方法研究

针对当前网络安全评估系统不能提供有用态势信息的缺陷,提出了一种新的网络安全态势评估方法。将贝叶斯网络应用于网络安全态势评估中,根据多树型网络推理,利用贝叶斯网络的图形结构,提出了由点到面、自下向上相互影响的多元化安全态势评估模型。并将网络及主机工具采集的信息作为事件节点的证据来更新态势节点的概率,并反过来影响事件节点的概率,从而预测网络安全态势。     

基于贝叶斯方法的网络攻击定位和追踪模型

在网络节点之间存在安全依赖关系的前提下,提出了一个基于贝叶斯方法的网络攻击定位和追踪模型.该模型根据网络节点间的安全依赖关系构造安全依赖树.进而采用贝叶斯方法计算各个节点的攻击因子,并据此确定攻击源和攻击路径.     

支持高精度告警的入侵检测系统的设计与实现

目前入侵检测系统（IDS）得到了越来越广泛的重视,发展日益迅速。然而,IDS在可用性、易用性方面还存在着较大的问题,其中一个方面表现在IDS提供的告警信息过于简单,基于这些信息用户难以对攻击的特点有全面清晰的认识,从而给IDS的发展带来了困难。本文在对网络攻击进行有效分类的基础上,提出了一种支持高精度告警的入侵检测系统,使得IDS能够将网络攻击的主要特征反馈给用户,从而让用户能够准确全面的了解攻击,及时采取相应的防范措施。     

基于贝叶斯分类算法的安全检测

准确率和效率对一个入侵检测系统来说是至关重要的。介绍了分类的模型及其评价方法,采用基于贝叶斯算法的分类模型,给出了入侵检测系统的基本框架及实验结果。     

基于动态贝耶斯规划图的状态安全报警关联

提出状态报警关联的概念以及基于动态贝耶斯规划图的报警关联算法。动态贝耶斯规划图在规划图的基础上结合了动态贝耶斯网络推理,显式地表示系统状态以及状态和攻击动作之间的相互影响。算法用贝耶斯推理处理不确定信息,量化地评估系统安全状态,并且有效地消除误报。     

基于相关系数的加权朴素贝叶斯分类算法

朴素贝叶斯分类算法的条件独立性假设在很少情况下能够满足,为了克服该问题,提出了一种基于相关系数的加权朴素贝叶斯分类模型.通过计算条件属性和决策属性之间的相关系数,对不同的条件属性赋予不同的权重,从而在保持简单性的基础上有效地提高了朴素贝叶斯算法的分类性能.首先给出了基于相关系数的属性权值求解方法,然后描述了相应的算法,并对算法原理进行了分析与证明.通过在中医小儿肺炎病例数据集和UCI数据集上的仿真实验,验证了该方法的有效性.     

基于属性相关的朴素贝叶斯分类算法

朴素贝叶斯分类器是一种简单、高效的分类算法,它以贝叶斯定理和最大后验假设为理论基础,然而朴素贝叶斯分类器属性之间相互独立的假设,影响了朴素贝叶斯分类器的性能.提出先使用基于相关的属性选择算法进行属性选择,然后在选择的属性集上,用朴素贝叶斯分类器对数据集进行分类.实验证明,与未使用属性选择的实验结果相比,使用基于相关的属性选择算法进行属性选择后,朴素贝叶斯分类器平均分类正确率提高,分类效率显著提升.     

一种基于数据挖掘的多步入侵警报关联模型

基于传统网络入侵检测系统, 提出一种基于数据挖掘的多步入侵警报关联模型. 该模型能将多个入侵检测系统的警报信息进行融合, 对大量、 无序的警报信息进行分析, 发现其中的内在联系, 精简攻击事件警报, 并通过不断更新场景知识库发现融合后警报中的多步入侵行为. 与已有模型进行对比的结果表明, 该模型的关联分析方法及多步入侵知识库的建立有助于更好地结合系统的特征实现多步入侵的警报关联.     

A graph based system for multi-stage attacks recognition

Building attack scenario is one of the most important aspects in network security. This paper proposed a system which collects intrusion alerts, clusters them as sub-attacks using alerts abstraction, aggregates the similar sub-attacks, and then correlates and generates correlation graphs. The scenarios were represented by alert classes instead of alerts themselves so as to reduce the required rules and have the ability of detecting new variations of attacks. The proposed system is capable of passing some of the missed attacks. To evaluate system effectiveness, it was tested with different datasets which contain multi-step attacks. Compressed and easily understandable correlation graphs which reflect attack scenarios were generated. The proposed system can correlate related alerts, uncover the attack strategies, and detect new variations of attacks.     

IIDS的行为特征提取方法研究

针对目前的入侵检测系统存在先验知识较少的情况下推广能力差的问题，基于免疫原理，将肽链定义为在操作系统中由特权进程执行的系统调用及参数段序列；基于广义后缀树、粗集和神经网络理论，提出一种新的免疫入侵检测模型的行为特征提取方法，有效解决了行为特征的获取和知识库的构建。该方法设计有独立而完整的特征数据库，提高检测系统的强壮性和可伸缩性；对高频度行为模式优先分析和处理，提高检测的速度。该方法不仅去除了降低检测效率的规则，而且生成了更强的规则子集。实验结果表明，该方法的有效性和检测的高效性。     

基于贝叶斯算法的未知病毒检测的研究

随着计算机技术的发展 ,计算机病毒也层出不穷 ,严重地危害了计算机世界的安全。当前的病毒检测技术对未知病毒还做不到事先检测。基于贝叶斯算法的未知病毒检测技术 ,对代码的特征提取、机器学习方法进行了研究和探讨 ,给出了未知病毒检测系统的基本框架 ,并给出了评估方法和实验结果。