一个基于复合攻击路径图的报警关联算法

入侵检测系统作为保护计算机系统安全的重要手段其应用越来越广泛,然而随之产生的大量原始报警事件也带来了新的问题:数量巨大、误报警多、重复报警多,影响了对入侵检测系统的有效利用.针对此问题,警报关联技术成为网络安全研究的一个热点问题,研究者尝试对低级的报警信息进行关联,从而达到降低误报率的目的.本文提出一个基于复合攻击路径图的报警关联算法,使用报警信息在攻击中所处的攻击阶段并将其关联起来构建攻击场景从而达到揭示隐藏在大量攻击事件背后的入侵真实意图.该模型先对报警信息进行预处理,匹配到知识库中对应的攻击阶段,然后再将攻击链接起来,根据攻击路径图的权值计算对应主机的受威胁程度,并决定是否报警.该模型可以实现对报警信息的实时处理,并能重现攻击行为的实施路径,最后通过实验证明了该算法的有效性.     

基于自适应信任报警关联的P2P覆盖IDS

随着计算机网络安全需求的日益增长,分布式入侵检测技术成为一个至关重要的研究方向.但传统的分布式入侵检测系统仍存在一些缺陷,如在分布性、灵活性、协作性、检测效率和内部威胁应对等方面还不尽人意.为能更好地应对各种内部威胁,提出了一种基于自适应信任报警关联的对等覆盖入侵检测系统.在JXTA对等架构基础上实现了一个对等覆盖IDS原型,并在仿真网络环境中评估了该原型在检测应对Internet蠕虫传播和感染中的有效性.实验结果显示,该对等覆盖IDS能明显提高脆弱网络节点的平均幸存率.     

一种基于网络的入侵检测模型及其实现

在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一类关联事件进行回归分析,最终发现潜在的协同攻击和分布式入侵行为.仿真试验说明该算法模型能够检测出传统入侵检测系统难以发现的分布式入侵行为.     

报警融合及关联分析技术研究

网络中各种IDS在运行过程中会产生大量独立的、原始的报警信息,这些报警信息除了具有海量的特点外,还有比较高的误报率和漏报率,导致用户难于对攻击及时做出响应.利用报警融合和关联分析技术是能解决此问题的基本手段.本文对IDS报警融合和关联技术进行了介绍,并指出了需要进一步研究的问题.     

基于本体的报警分类技术在报警评估过程中的应用与实现

由于缺乏评估和关联报警的背景知识,IDS(入侵检测系统)产生的海量报警无法得到更进一步的真实化确认,从而使IDS成为当今安全产品中的诟病.在事件关联范畴内的报警评估是利用被监控系统的背景知识对IDS产生的大量报警进行进一步的分析,从而把真实的危害系统的报警呈现给用户的过程.这些用于评估IDS报警的背景知识包括受害主机系统信息和网络环境信息.本文介绍了事件关联的主要结构,并着重介绍报警评估的流程和所需背景知识库;然后详细描述了基于本体的背景知识库的分类技术;最后给出基于背景知识分类技术在报警评估过程中的具体实现过程.     

分布式智能入侵检测系统模型设计与实现

设计了一种分布式网络智能入侵检测系统模型.在该模型中采用了面向混合类型数据的快速聚类算法和基于属性约束的规则挖掘算法,对每一个IDS初始数据进行智能分类和关联;并且建立了入侵模式库,用于不同网段的实时检测;在数据融合中心采用基于D-S证据理论的数据融合方法处理来自不同IDS的初级报警,并生成高级报警,有效地抑制了海量警报.实验结果表明,该设计方案能够消除重复报警,降低误报率,提高报警所含的信息量,并为管理员提供一个网络安全的整体视图.     

关联分析技术在IDS中的应用

关联分析技术能从大量的数据中挖掘出许多数据属性之间隐藏的规律或关联知识,目前已被应用到入侵检测系统(Intrusion Detection System,简称IDS)中,用来从网络数据中挖掘出正常和攻击模式.对关联分析技术做了阐述,并对Apriori算法进行了两点改进,以提高效率,并给出相关的实验数据.     

一种基于节点关联的报警置信度计算方法

大部分入侵检测系统的实现都会产生大量的报警信息,在一定程度上影响了系统管理,误报率也较高,影响了入侵检测的效果.针对这个问题,提出了一种基于节点关联的报警置信度计算方法,位于对等网络之上,节点在收到一系列入侵报警之后,需要进行节点关联,从而对报警信息进行融合,提取有效报警信息.其中根据关联对象的不同,节点关联又包括报警关联和信任关联两个层次,报警关联可用来判断入侵报警的有效性,信任关联可用来判断发起报警节点的可信性,给出了相关算法.仿真实验表明,使用该报警置信度计算方法可以提高入侵报警的检测准确率.     

分布式智能人侵检测系统模型设计与实现

设计了一种分布式网络智能入侵检测系统模型。在该模型中采用了面向混合类型数据的快速聚类算法和基于属性约束的规则挖掘算法,对每一个IDS初始数据进行智能分类和关联;并且建立了入侵模式库,用于不同网段的实时检测;在数据融合中心采用基于D-S证据理论的数据融合方法处理来自不同IDS的初级报警,并生成高级报警,有效地抑制了海量警报。实验结果表明,该设计方案能够消除重复报警,降低误报率,提高报警所含的信息量,并为管理员提供一个网络安全的整体视图。     

分布式入侵检测监视代理及数据融合算法

对分布式拒绝服务攻击的防护,传统的方法是采用路由访问控制列表过滤的防护方法,无法识别虚假地址和针对应用层的攻击,而且容易造成服务器无法向外部提供正常的服务。为此,在探讨分布式拒绝服务攻击原理和特征的基础上,设计了分布式入侵检测系统的监视代理模块,提出和实现了用于多监视代理之间协同检测的数据融合算法。实验证明,该算法可在0.07~1 s之内检测出Syn洪水,Smurf,Land等多种分布式拒绝服务的攻击,并可及时地采取响应措施,阻断攻击者的网络连接。由于该算法建立在对多数据源的数据分析基础上,因此,大大提高了入侵检测的准确性,克服了路由访问控制列表过滤的局限性,基本实现了在不影响网络正常运行情况下的实时检测与报警功能。     

CPN攻击建模及警报相关性算法设计

为提高当前入侵检测系统的预警质量和分析预测能力,用染色Petri网(colored petrinet,CPN)构造了攻击模型,系统性地设计了警报信息相关性分析算法.通过把"警报"和"攻击"作为2个不同实体参与模型运算,将目前主要采用的过滤观察信息为基础的关联方法提升为信息推理的演算方法.应用CPN模型转换、极小覆盖集命题等方法,对本领域中的难点问题即复合攻击、合作攻击进行了理论分析和算法设计.在此基础上开发了警报信息相关性分析(alerts correlationanalvsis system,ACAS)实验系统,实验结果表明算法系统对于提高入侵检测系统的警报质量和分析预测能力是可行、有效的.     

Two-Stage Algorithm for Correlating the Intrusion Alerts

To solve the problem of the alert flooding and information semantics in the existing Intrusion Detection System(IDS), we present a two-stage algorithm for correlating the alerts. In the first stage, the high-level alerts is integrated by using the Chronicle patterns based on time intervals, which describe and match the alerts with the temporal time constrains of an input sequence. In the second stage, the preparing relationship between the high-level alerts is defined, which is applied to correlate the high-level alerts, and the attack scenario is constructed by drawing the attack graph. In the end a given example shows the performances of this twostage correlation algorithm in decreasing the number and improving the information semantic of the intrusion alerts produced by the IDS.     

一种基于数据挖掘的告警相关方法的研究与实现

通过分析入侵检测系统的现存问题,提出一种基于数据挖掘的告警相关方法,对告警进行高效关联和归并。实验结果表明,该方法减少告警数量72．4％以上．误告警减少21．2％以上。     

异常检测在报警关联分析中的应用

为了给报警关联提供时间控制以提高关联的合理性和效率将误报警流作为背景流量,真实报警作为整个报警流的异常.利用经典统计模型即均值方差模型检测报警流量强度的异常,进而把异常的时间段提供给报警关联,仅对异常时间段内的报警进行关联分析.实验显示,该检测模型能够为报警关联分析提供时间控制,使得关联分析能够取得更加精炼而有意义的结果.由于集中分析异常时间段内的报警,该模型可显著地帮助网络管理员节省时间和精力.     

A graph based system for multi-stage attacks recognition

Building attack scenario is one of the most important aspects in network security. This paper proposed a system which collects intrusion alerts, clusters them as sub-attacks using alerts abstraction, aggregates the similar sub-attacks, and then correlates and generates correlation graphs. The scenarios were represented by alert classes instead of alerts themselves so as to reduce the required rules and have the ability of detecting new variations of attacks. The proposed system is capable of passing some of the missed attacks. To evaluate system effectiveness, it was tested with different datasets which contain multi-step attacks. Compressed and easily understandable correlation graphs which reflect attack scenarios were generated. The proposed system can correlate related alerts, uncover the attack strategies, and detect new variations of attacks.     

入侵检测的规划识别模型研究

将AI领域中的规划概念引入入侵检测,建立了入侵检测的规划识别模型,采用因果告警关联分析和贝叶斯网推理模型实现规划识别,以找回因入侵检测自身的检测策略不足和网络覆盖范围漏洞而丢失的关键告警,重新构建了实际的攻击场景,并能预测攻击者的下一步行为或攻击意图,从而起到了提前预警的作用．     

一种计算网络告警因果关联置信度的新方法

为提高告警因果关联准确性,提出了将实施单次攻击所需的时间消耗作为随机变量,给出其概率分布模型,在此基础上计算任意2条因果相关告警的时间关联置信度。设计并实现了算法验证程序,利用DARPA 2000入侵检测数据集进行了验证。结果表明,新方法合理地量化了告警时间关联置信度,且计算复杂度低,能为正确关联攻击场景提供支持。     

入侵报警模式挖掘分析算法研究

为有效地缩减报警的数量,提取报警中的有用信息,提出了一个基于CLOSET算法的入侵报警模式挖掘分析算法,在分布式入侵检测系统中,帮助响应部件对入侵检测部件的报警消息进行挖掘分析,挖掘出报警中的频繁闭模式,以此为依据进行响应.为了发现潜在的入侵行为,扩展了IDMEF格式,提出了怀疑度概念.为了不忽略出现不频繁但怀疑度高的报警,对该算法进行了改进,增加了最小怀疑度参数.实验结果表明,两个算法都可以有效地缩减报警的数量,而改进的算法能够更好地提取报警中的有用信息.     

基于LM-BP神经网络的入侵检测系统的研究

针对传统BP神经网络存在收敛速度慢、易陷入局部最小点、计算量大的不足,提出一种结合Levenberg—Marquardt优化算法的BP神经网络,并应用在一个误用入侵检测系统。实验结果表明,新系统结合了异常检测和误用检测两者的优势,快速检测新型入侵,降低误警率和漏警率。