一个基于复合攻击路径图的报警关联算法

入侵检测系统作为保护计算机系统安全的重要手段其应用越来越广泛,然而随之产生的大量原始报警事件也带来了新的问题:数量巨大、误报警多、重复报警多,影响了对入侵检测系统的有效利用.针对此问题,警报关联技术成为网络安全研究的一个热点问题,研究者尝试对低级的报警信息进行关联,从而达到降低误报率的目的.本文提出一个基于复合攻击路径图的报警关联算法,使用报警信息在攻击中所处的攻击阶段并将其关联起来构建攻击场景从而达到揭示隐藏在大量攻击事件背后的入侵真实意图.该模型先对报警信息进行预处理,匹配到知识库中对应的攻击阶段,然后再将攻击链接起来,根据攻击路径图的权值计算对应主机的受威胁程度,并决定是否报警.该模型可以实现对报警信息的实时处理,并能重现攻击行为的实施路径,最后通过实验证明了该算法的有效性.     

基于地址关联图的分布式IDS报警关联算法

当前入侵检测系统产生的报警洪流往往使管理员无法处理,大大降低了IDS系统的有效性. 对原始报警事件的关联分析可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图,对大规模分布式入侵检测系统有重要意义. 为此综合分析了现有报警关联算法的优点和不足,提出了一种基于地址关联图(ACG)的报警关联算法. 该算法用地址关联图模型对分布式IDS原始报警事件进行分析,以得到不同攻击之间的关联和发生步骤,得到攻击者的攻击路径,进而分析攻击者的意图. 该算法无需提前制定关联知识库或提前训练关联模型,因此易于实现.     

基于漏洞知识库的8031单片机系统软件漏洞检测算法

针对基于8031单片机系统软件的安全问题,对各权威漏洞数据库进行了分析研究,采用一种基于ECV规则的攻击分析方法从攻击事件中提取漏洞知识,根据漏洞种类及特征将漏洞从代码安全的角度分类,设计了三层结构的漏洞知识库,并根据漏洞知识库的设计提出了一种基于知识的漏洞检测算法,用于检测8031单片机系统漏洞。基于上述方法设计并实现了软件安全性逆向分析系统,对8031单片机系统进行漏洞检测。实验结果表明,基于该漏洞知识库的漏洞检测算法可以对目标程序正确进行漏洞检测,有利于降低软件代码漏洞量,并在一定程度上降低成本和资源消耗。      

分布式IDS动态可信度反馈调整算法

在分布式IDS与安全设备联动系统中,为了对各个IDS的性能进行区别对待,并能对IDS的可信度进行实时调整,设计了动态可信度反馈算法.该算法首先使用D-S证据理论得到各IDS报警信息的综合可信度,然后使用综合可信度对各个报警节点的可信度进行反馈调整,使可信度随着节点的报警行为而实时发生变化,经过一定时间的训练,节点的可信度将成为其性能的准确量化评价,这样聚合后报警将更加真实准确,在一定程度上消除了虚警引起的系统错误联动.     

基于执行反馈的动态调度知识更新

以合同网协议为协调方式,构建了基于多Agent的动态调度框架;通过粗糙集理论,由调度专家经验知识获取调度规则知识;通过对比任务执行的条件属性组合与标书中条件属性组合,重新计算资源条件属性组合可信度;根据任务完成情况的满意度,提取条件属性组合的满意度集合,对比知识库中的决策属性与以满意度的均值定义的决策属性,更新不一致的决策属性,并用熵重新计算规则知识的可信度.最后给出实例并进行分析.     

云计算环境中移动网络低匹配度异质信息入侵感知预测算法

针对传统灰色神经网络组合预测算法对网络中入侵信息预测时, 缺乏对低匹配度异质信息的预处理过程, 未对信息入侵攻击意图进行预测, 存在预测准确率低以及入侵防御性能差等问题, 提出一种新的云计算环境中移动网络低匹配度异质信息入侵感知预测算法, 通过灰色模型对初始网络低匹配度异质信息进行预处理. 先采用基于元路径的低匹配度异质信息入侵感知预测算法得到入侵攻击意图矩阵, 再根据该矩阵获取入侵攻击意图函数关系, 实现低匹配度异质信息入侵攻击意图预测. 仿真实验结果表明, 该算法可全面预测信息入侵的意图和过程, 对入侵信息节点防御成功率约为85%, 误警率和漏警率较低, 并具有较高的预测精度.     

云计算环境中移动网络低匹配度异质信息入侵感知预测算法

针对传统灰色神经网络组合预测算法对网络中入侵信息预测时, 缺乏对低匹配度异质信息的预处理过程, 未对信息入侵攻击意图进行预测, 存在预测准确率低以及入侵防御性能差等问题, 提出一种新的云计算环境中移动网络低匹配度异质信息入侵感知预测算法, 通过灰色模型对初始网络低匹配度异质信息进行预处理. 先采用基于元路径的低匹配度异质信息入侵感知预测算法得到入侵攻击意图矩阵, 再根据该矩阵获取入侵攻击意图函数关系, 实现低匹配度异质信息入侵攻击意图预测. 仿真实验结果表明, 该算法可全面预测信息入侵的意图和过程, 对入侵信息节点防御成功率约为85%, 误警率和漏警率较低, 并具有较高的预测精度.     

基于FP-Growth算法及补偿性入侵证据的攻击意图识别

针对现有方法的入侵证据单一,系统资源消耗大及最终结果不准确等问题,提出了一种新的攻击意图识别方法.将IDS的告警事件与其他安全工具如扫描器等的数据相融合,构成补偿性入侵证据,并在此基础上使用贝叶斯网络构建攻击场景;使用FP-Growth算法从攻击场景中挖掘出频繁攻击模式;最终将产生的频繁攻击模式关联以重构攻击路径,从而推断最可能的攻击意图.实验结果表明,该方法可准确识别攻击意图并有效节省系统资源.     

网络环境下自适应入侵响应系统研究与设计

根据对攻击类型、攻击检测时间、攻击报警可信度和环境因素等信息的考虑,将入侵响应分类,对警报可信度、攻击频率、风险评估和响应成本进行数学分析,利用以上研究结果设计了一种能对入侵做出自动响应并根据环境变化动态调整安全策略的自适应入侵响应系统.     

基于FP-tree候选组合模式的低速率拒绝服务攻击检测

低速率拒绝服务攻击(LDoS)比传统的DDoS攻击更加难以检测与防范,为此,分析了加入LDoS攻击的网络流分布特性,通过设置流信息熵阈值定位出可疑IP流对,并采用基于FP-Tree候选组合频繁模式的挖掘算法,将候选频繁端口模式在FP树路径中进行匹配来发现LDoS攻击及其攻击特性.仿真实验表明,该方法效果显著.     

带可信度评估的连续小波分布式拒绝服务攻击检测算法

针对传统方法难以实时、有效检测分布式拒绝服务(DDoS)攻击的问题,提出了一种带可信度评估的连续小波DDoS攻击检测算法.首先用不间断的连续小波变换对流量信号进行同步分析,通过发现平台突发信号来实时检测DDoS攻击,然后用报警可信度评估算法对经连续小波变换的检测结果进行二次处理,以消除单点突发信号和网络流量噪声带来的影响.经离散小波变换法、N点平均法以及梯度法的实验对比表明,所提算法对流量数据中的平台突发信号的检测效果比较好.     

一种基于意图隐藏的对等网推荐可信度评价模型

对等网信誉系统的一个关键问题是如何提高推荐信息的可用性。现有模型将推荐节点的交易可信度等同于其推荐可信度,因而容易造成恶意推荐节点对信誉系统的虚假推荐和共谋推荐攻击。提出了一种基于意图隐藏的推荐可信度评价模型。在该模型中,一方面恶意推荐节点无法判断节点的查询意图,因而很难采取针对性行为;另一方面,基于历史推荐满意度的评价方法能对节点的推荐可信度进行有效评价。分析和仿真结果验证了模型的有效性。     

基于上下文感知计算的网络攻击组织追踪方法

对大部分网络监管单位和企业来说,网络安全运营很大程度上已经变为一个大数据分析和处理问题。如何从海量多模态的告警数据中快速发现高危安全事件是目前监管单位和企业的一个重要课题。文章针对这一问题提出了一种基于上下文感知计算框架的攻击组织追踪方法。首先结合上下文感知计算框架从多源威胁情报和本地沙箱告警日志中采集攻击组织相关威胁语义知识构建攻击组织知识库;然后基于大数据流式计算对实时、海量和多模态告警数据进行范式化理解和攻击链关联;结合构建的攻击组织知识库进行事件威胁语义富化和攻击组织特征关联计算,最终发现海量告警背后值得关注的攻击组织相关高危事件。经过在实际生产环境中部署系统,验证了文章提出方法的有效性。     

基于本体的报警分类技术在报警评估过程中的应用与实现

由于缺乏评估和关联报警的背景知识,IDS(入侵检测系统)产生的海量报警无法得到更进一步的真实化确认,从而使IDS成为当今安全产品中的诟病.在事件关联范畴内的报警评估是利用被监控系统的背景知识对IDS产生的大量报警进行进一步的分析,从而把真实的危害系统的报警呈现给用户的过程.这些用于评估IDS报警的背景知识包括受害主机系统信息和网络环境信息.本文介绍了事件关联的主要结构,并着重介绍报警评估的流程和所需背景知识库;然后详细描述了基于本体的背景知识库的分类技术;最后给出基于背景知识分类技术在报警评估过程中的具体实现过程.     

基于特征点校正的几何鲁棒性水印算法

提出了一种基于SIFT特征点几何校正的抗几何攻击水印算法.该算法首先利用SIFT从原始图像中提取特征点集,并将其作为密钥保存;水印在检测前,再用SIFT从含水印图像中提取特征点集,根据特征点匹配算法(欧式距离)实现两个特征点集的匹配;然后利用匹配点对的几何特性校正几何攻击,恢复含水印图像的同步性.一个可标志的二值图像水印通过量化的方式自适应地嵌入到Coutourlet变换域的低频子带中;水印提取时不用原始图像,水印存在与否不仅可以通过阈值检测,也可以通过视觉直接判定.实验结果可验证,算法对常见的图像处理攻击、几何攻击和多种组合攻击均具有较强的抵抗能力.     

带可信度评估的连续小波DDoS攻击检测算法

针对传统方法难以实时有效检测DDoS攻击,提出了一种带可信度评估的连续小波DDoS攻击检测算法,可以简单、高效、实时地检测DDoS攻击．首先,对流量信号进行不间断地连续小波变换同步分析,通过发现平台突发信号来实现DDoS攻击的实时检测．然后,用报警可信度评估算法对连续小波变换的检测结果进行二次处理,以消除单点突发信号和网络流量噪声带来的影响．实验结果与离散小波变换、N点平均以及梯度法相比表明,所提算法对流量数据中的平台突发信号有着更好的检测效果．     

基于改进Rete算法的RFID复合事件检测方法

针对现有RFID复合事件检测方法将复合事件的规则表达式和相应的处理代码绑定在一起,不利于应用系统扩展的弊端,提出了能将二者分离的基于规则引擎的RFID复合事件检测方法.针对传统的规则引擎算法——Rete算法会缓存大量的部分匹配结果,而RFID事件通常具有时间约束的特点,提出一种基于部分匹配过期的过期数据回收机制,及时删除过期的部分匹配结果,减小计算过程中缓存的压力.仿真测试结果表明,改进的Rete算法有效地缓解了Rete规则网络中缓存的压力,更适用于RFID复合事件检测.     

基于Apriori算法的安全报警事件分析研究

广泛应用的防火墙、DS、防病毒系统等安全设备提供的安全报警信息,除了具有海量的特点外,还具有很高的误报率和漏报率,导致网络管理员难于对攻击及时响应。本文在关联分析Apriopri算法的基础上,针对网络报警事件的特点,讨论了将Apriori算法应用与安全报警事件的分析中。     

基于动态描述逻辑的语义Web服务PE匹配算法

将基于描述逻辑断言构成的PE描述公理的有限集合看作一个本体知识库,因此有关PE的语义匹配问题就转化到两个基于描述逻辑的本体知识库之间的逻辑蕴含判定问题,然后将逻辑蕴含推理问题转化为本体库的可满足性检测问题,并通过可判的扩展算法解决,同时对匹配结果进行有意义的排序及分类.所提方法与现有方法相当的情况下,具有更高的查全率,能够更好地区分匹配结果.     

基于原型匹配的模式识别方法

现有的模式识别主要基于事物的区分机理,而不是基于认知机理.文中结合认知心理学中有关模式识别的研究成果,提出了一种基于原型匹配的模式识别方法,给出了该方法的识别机理、数学模型和识别算法.该方法将一个模式识别问题定义为由原型、结构、组合法则构成,由这三要素组成原型库和知识库对被识别客体进行识别,对数字字符图像识别问题的实验结果表明了文中方法的有效性.