首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到18条相似文献,搜索用时 156 毫秒
1.
针对复杂多步攻击检测问题,研究面向云计算环境的攻击场景构建方法.首先,构建了动态概率攻击图模型,设计了概率攻击图更新算法,使之能够随着时空的推移而周期性更新,从而适应弹性、动态性的云计算环境.其次,设计了攻击意图推断算法和最大概率攻击路径推断算法,解决了误报、漏报导致的攻击场景错误、断裂等不确定性问题,保证了攻击场景的...  相似文献   

2.
基于树形规则的网络安全事件关联分析方法   总被引:1,自引:0,他引:1  
潘安群  李芝棠  雷杰 《通信学报》2006,27(Z1):76-80
为了解决网络安全管理中海量数据,误报严重,报警零散的问题,提出了一种基于树形关联规则的网络安全事件关联分析方法.该方法通过对告警出现率与相似度的计算来聚合网络安全事件,并通过对告警可信度的计算来识别误报警.同时,通过树形规则中树节点之间的关系来定义同一类告警,算法能有效地将零散存在的告警组织成为一个完整的攻击.初步的试验表明该方法能够有效地减少告警数量,识别误报和关联安全事件.  相似文献   

3.
樊宁  史国水  沈军  金华敏 《电信科学》2013,29(10):168-172
关联分析引擎通过把孤立的安全事件集合关联为一个安全事件链,从大量误报告警与低级别告警中找出真正威胁告警,是安全运营中心分析安全态势、做出及时响应的关键技术模块。提出了一种结合状态机与推理机两类关联分析机制优点的关联分析引擎技术——基于序列状态推导的关联分析引擎,通过自动序列控制攻击场景规则的匹配,实现高效准确的海量安全事件的关联分析,能够较好地解决传统关联分析引擎在电信级网络应用中的问题。  相似文献   

4.
使用因果关联方法构建攻击场景时,漏报警易引发关联图的分裂.针对此问题,提出了一种改进的基于因果关联的攻击场景重构方法.该方法根据报警相关度确定可组合的关联图,利用网络弱点和攻击关系推出漏报警,使得分裂的关联图能够组合起来,进而重建完整的攻击场景.实验结果表明了该方法的有效性.  相似文献   

5.
网络多告警信息融合处理是有效实施网络动态威胁分析的主要手段之一。基于此该文提出一种利用网络系统多告警信息进行动态威胁跟踪与量化分析的机制。该机制首先利用攻击图理论构建系统动态威胁属性攻击图;其次基于权限提升原则设计了前件推断算法(APA)、后件预测算法(CPA)和综合告警信息推断算法(CAIIA)进行多告警信息的融合与威胁分析,生成网络动态威胁跟踪图进行威胁变化态势的可视化展示。最后通过实验验证了该机制和算法的有效性。  相似文献   

6.
众多的入侵检测告警关联方法中,因果关联是最具代表性的方法之一。针对因果关联在一些条件下会引发关联图分裂的问题,提出利用模糊聚类的方法实现攻击场景重构。在聚类过程中,针对告警特性提出一种基于属性层次树的相似度隶属函数定义方法,并给出评价相似度度量和衡量攻击场景构建能力的若干指标。实验结果表明,该方法能够有效地组合分裂的关联图,重构攻击场景。  相似文献   

7.
入侵检测系统的大部分攻击事件之间都存在某种联系,通过对这些告警的关联分析能够减少告警数量,降低误报率,更好地发现攻击以及动态地监控网络。论文提出了一种告警关联系统,系统包括聚合分析、告警确认、多步攻击关联分析和告警严重度分析等过程。文章还对系统中两种主要方法—步攻击关联进行了描述。  相似文献   

8.
针对现有静态评估的漏洞威胁技术不能有效量化网络攻击危害的问题,提出一种基于告警关联的多步攻击意图识别方法。该方法通过告警数据的关联特点挖掘并还原攻击者的多步攻击序列,围绕攻击过程评估基础设施重要性和漏洞威胁探测攻击者意图,从而实现还原攻击场景、刻画攻击行为的目的。实验表明,与传统算法进行对比分析,在DARPA2000上验证了该算法对特定网络攻击场景的识别能力,且百分误差绝对值和均方误差绝对值均低于传统算法。由此可知,文中所述的结合漏洞威胁和基础设施重要性来关联攻击步骤能够有效解决攻击过程出现的虚假攻击问题,提升了网络多步攻击意图识别的准确性。  相似文献   

9.
网络攻击越来越复杂,入侵检测系统产生大量告警日志,误报率高,可用性低。为此,论文提出采用聚类分析、关联挖掘算法和基于彩色Petri网的联合挖掘多步骤攻击方法进行IDS告警关联,从宏观和微观攻击轨迹角度重建攻击场景,提高了入侵检测系统的可用性。  相似文献   

10.
针对网络攻击出现的大规模、协同、多阶段的特点,提出一种基于攻击图模型的网络安全态势评估方法。首先,结合攻击事件的时空特征融合多源告警数据构建网络攻击行为特征;其次,基于告警信息映射攻击节点,关联多步攻击的路径;再次,在构建攻击图的基础上,结合转移序列构建攻击节点转移概率表,将转移概率引入攻击图中,推断攻击者的攻击意图;最后,针对最大可能的攻击路径,对大概率的攻击节点进行安全态势评估,科学量化网络攻击后潜在攻击节点的安全态势,为网络安全管理人员提前做好防护提供理论支撑和科学依据。  相似文献   

11.
多IDS环境中基于可信度的警报关联方法研究   总被引:1,自引:0,他引:1  
梅海彬  龚俭 《通信学报》2011,32(4):138-146
针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组合规则来融合这些证据,最后决策判断警报所对应的攻击是否发生,从而消除各IDS报告警报的模糊性和冲突性,达到提高警报质量的目的。在DARPA 2000测试数据集上的实验结果表明,该方法能有效降低误报率,减少警报数目60%以上。  相似文献   

12.
努尔布力  柴胜  李红炜  胡亮 《电子学报》2011,39(12):2741-2747
文章研究了警报关联方法,模糊积分和模糊认知图基本理论,提出了一种基于Choquet模糊积分的入侵检测警报关联方法,设计并实现了一个能够识别多步攻击的警报关联引擎.通过DRDOS和LLDOS实验表明,该引擎能够有效的检测网络中存在的大规模分布式多步攻击.  相似文献   

13.
Intrusion detection systems (IDSs) are designed to monitor a networked environment and generate alerts whenever abnormal activities are detected. The number of these alerts can be very large, making their evaluation by security analysts a difficult task. Management is complicated by the need to configure the different components of alert evaluation systems. In addition, IDS alert management techniques, such as clustering and correlation, suffer from involving unrelated alerts in their processes and consequently provide results that are inaccurate and difficult to manage. Thus the tuning of an IDS alert management system in order to provide optimal results remains a major challenge, which is further complicated by the large spectrum of potential attacks the system can be subject to. This paper considers the specification and configuration issues of FuzMet, a novel IDS alert management system which employs several metrics and a fuzzy‐logic based approach for scoring and prioritizing alerts. In addition, it features an alert rescoring technique that leads to a further reduction in the number of alerts. Comparative results between SNORT scores and FuzMet alert prioritization onto a real attack dataset are presented, along with a simulation‐based investigation of the optimal configuration of FuzMet. The results prove the enhanced intrusion detection accuracy brought by our system. Copyright © 2011 John Wiley & Sons, Ltd.  相似文献   

14.
随着网络安全问题的日益突出,IDS被更多地用于安全防护,然而每天数以千计的告警信息却使得安全管理员无从招架。因此,自动关联有逻辑联系的告警信息从而减少告警数量已成为IDS日后发展的关键。论文以描述逻辑为基础,用它对攻击进行统一定义;以攻击场景为载体,用它来分析匹配相继出现的告警信息;以能力集为纽带,用它来串联起一幅幅攻击场景,从而能清晰地展现不同告警之间所隐含的逻辑关系,进而为实现关联归并提供依据。  相似文献   

15.
Intrusion detection systems (IDSs) often trigger a huge number of unnecessary alerts. Managing the overwhelming number of alerts, especially from multiple IDS products, is a concern to every security analyst. Analyzing and evaluating these alerts is a difficult task that frustrates the effort of analysts. In fact, true alerts are usually buried under heaps of false alerts. We have identified several research gaps in the existing alert management approaches that need to be addressed, especially when handling alerts from different IDS products. In this work, we present an efficient alert management approach that reduces the unnecessary alerts produced by different IDS products using two main modules: an enhanced alert verification module that validates alerts with vulnerability assessment data; and an enhanced alert aggregator module that reduces redundant alerts and presents them in the form of meta alerts. Finally, we have carried out experiments in our test bed and recorded impressive results in terms of high accuracy and low false positive rate for multiple IDS products. Copyright © 2014 John Wiley & Sons, Ltd.  相似文献   

16.
李志东  杨武  王巍  苘大鹏 《通信学报》2011,32(5):121-128
为了大幅降低对训练样本的要求,摒弃苛刻的约束条件,提出了一种支持在线增量训练的警报融合模型。将初级警报向量映射为表决模式,以缩小统计空间。通过训练统计出各种表决模式在正常或攻击流量下的条件概率分布,依据统计特征的变化即时推断待检测流量的构成情况,使用阈值约束法和贝叶斯推断做出融合决策。从而拓展了适用范围,并且能较好地跟踪适应待检测流量,仅需少量训练样本便可显著提升检测性能。  相似文献   

17.
Recent advances in mobile technologies have greatly extended traditional communication technologies to mobile devices. At the same time, healthcare environments are by nature "mobile" where doctors and nurses do not have fixed workspaces. Irregular and exceptional events are generated in daily hospital routines, such as operations rescheduling, laboratory/examination results, and adverse drug events. These events may create requests that should be delivered to the appropriate person at the appropriate time. Those requests that are classified as urgent are referred to as alerts. Efficient routing and monitoring of alerts are keys to quality and cost-effective healthcare services. Presently, these are generally handled in an ad hoc manner. In this paper, we propose the use of a healthcare alert management system to handle these alert messages systematically. We develop a model for specifying alerts that are associated with medical tasks and a set of parameters for their routing. We design an alert monitor that matches medical staff and their mobile devices to receive alerts, based on the requirements of these alerts. We also propose a mechanism to handle and reroute, if necessary, an alert message when it has not been acknowledged within a specific deadline.  相似文献   

18.
苏华安  张怡 《现代电子技术》2010,33(19):94-96,100
攻击图技术是一种基于模型的网络脆弱性评估方法。它通过对目标网络建模,以攻击规则对攻击者建模,然后根据二者之间的相互作用关系产生攻击图,展示目标网络内各个脆弱性之间的关系、脆弱性与网络安全配置之间的关系。早期的攻击图都是采用手工生成,速度慢效果差。为了方便研究人员使用攻击图分析目标网络安全状况,对攻击图的自动展示技术进行了研究。通过选用成熟的软件和设计合适的转换方法对攻击图进行解析,生成简洁清楚的攻击图,提高了攻击图的效能。  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号