基于关联分析的IDS报警信息的研究与设计

入侵检测系统的大部分报警事件之间都存在某种联系,通过对这些报警信息的关联分析,对解决目前入侵检测系统所存在的误报、漏报、重复报警、报警信息层次低等问题,具有重要的意义。该文基于因果关联方法,建立了一个入侵检测系统关联分析模型,该模型的关联分析过程分为聚合和关联分析,可以对不同入侵检测系统产生的报警信息进行关联分析。     

基于IDS报警信息源的入侵检测*

对入侵检测系统产生的报警信息进行二次分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。在对入侵检测系统报警信息进行分析的基础上,提出了全面对报警信息进行根源分析和关联分析的框架,并给出了具体实现方法。实验结果证实了该方法的有效性。     

基于数据挖掘的入侵检测告警关联分析研究

关联分析技术能够大大减少报警的数量、降低入侵检测误报警率 (false positive)和适当减少入侵检测漏报率 (falsenegative)。所以在入侵检测系统中引入报警关联分析功能具有重要的实际意义。目前入侵检测报警关联分析技术获得了广泛的研究。基于数据挖掘的入侵检测告警关联分析能够自动提取关联规则 ,分析告警并发现新的入侵模式 ,是一种智能性较强的解决方法。本文对基于数据挖掘的入侵检测告警关联分析进行了较详细的研究。     

利用弱点评估提高入侵检测系统性能的分析与实现

当前的入侵检测系统存在的虚警问题和报警量过大的问题严重影响了在实际中的应用效果。分析了系统弱点与入侵之间的关系,提出了弱点信息与入侵检测报警信息的关联的表示方法,给出了利用它们之间的关联提高入侵检测系统性能的实现框架。     

入侵检测系统报警信息融合模型的设计与实现*

开展入侵检测系统报警信息融合技术的研究,对解决目前入侵检测系统(IDS)存在的误报、漏报、报警信息难管理、报警信息层次低等问题,以及提高网络预警能力等均具有十分重要的意义。首先分析了目前入侵检测系统存在的问题,提出了进行报警信息融合的必要性,最后提出并实现了一个入侵检测系统报警信息融合的可视化模型。     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

增量挖掘实时报警关联研究

入侵检测技术通过实时获取网络攻击报警信息,对网络安全实施检测、分析和动态防御,有效弥补了防火墙的不足。通过有效处理网络报警信息提高入侵检测的检测率、精确度是当前入侵检测技术研究的重要课题之一。提出了一种实时的增量挖掘入侵检测报警关联方法。该方法使报警事件的聚合操作和报警关联分析控制在小规模数据范围内进行,有效克服了一些数据挖掘算法应用到入侵检测过程中存在的多遍扫描、误报率高和报警信息关联度低问题。实验结果表明,该方法不但可以处理大容量实时网络报警信息,而且在报警信息关联分析和报警事件约减都体现了良好的性能。     

分布式入侵检测中的报警关联方法述评

一个攻击者要完成一次成功的入侵通常要通过几个步骤来完成,而这些步骤之间往往不是互相独立的,前面的步骤通常是为后面步骤所作的铺垫。但传统的入侵检测集中于检测低层的入侵或异常,所检测到的结果仅仅是一次完整入侵的一部分,不能将不同的报警信息结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。如果将不同分析器上产生的报警信息进行融合与关联分析,则会更有效地检测入侵。文章介绍了几种报警关联方法,其中重点介绍了基于报警信息先决条件和结果的报警信息关联方法,并对这几种方法进行了比较和评价。     

基于不确定性知识发现的入侵报警关联方法

针对入侵检测系统报警信息量大、琐碎和分散的问题,提出了一种基于不确定性知识发现的入侵报警关联方法。该方法的知识发现部分采用提出的不确定性序列模式发现算法—CWINEPI对报警数据进行序列模式发现,并将经过筛选后获得的入侵报警序列模式转化成入侵报警精简规则;再对入侵报警序列模式进行关联以获取攻击模式,并转化为入侵场景重建规则。入侵报警关联部分利用获取的入侵报警精简规则和入侵场景重建规则,以模式匹配方法构造报警关联引擎,对多个入侵检测系统上报的入侵报警进行关联。美国国防部高级研究计划局2000年入侵评测数据（DARPA2000）的报警数据验证了知识发现部分的良好性能;测试环境中的入侵报警的关联结果表明了该方法是高效、可行的。     

基于模糊综合评判的入侵检测报警信息处理

提出一种基于模糊综合评判的方法来处理入侵检测系统的报警信息、关联报警事件,并引入有监督的确信度学习方法,通过确信度来对报警信息进行进一步的过滤．通过对这些技术手段的综合使用,力求降低误报率和重复报警,逐步减轻网络管理员的工作强度．这种模糊评判所实现的事件关联有助于发现入侵者的行为序列,为事件威胁分析和入侵响应决策打下了基础,并有利于将不同安全产品集成在一起,实现网络系统的立体防御．     

利用关联和风险评估方法减少误报和漏报 *

高误报和漏报率是入侵检测系统面临的主要问题。提出了一种利用关联和风险评估的方法 ,利用构建的安全关联模型 ,计算出每个安全事件 (如告警事件、系统安全日志记录等 )的实时风险值 ,对风险值较高的事件给出新的警告 ,并摈弃那些风险值较低的事件 ,从而降低漏报和误报率。实验结果表明 ,利用这种方法实现的事件关联系统能够显著降低检测系统的误报和漏报率。     

分布式入侵检测中的数据融合模型

针对传统的入侵检测系统存在的误警率高、存在告警洪流、告警孤立等缺点，引入了数据融合方法，提出了一个分布式入侵检测中的数据融合模型。该模型对告警进行分类，采用D-S理论对多IDS告警进行融合，基于前提和后果的方法对告警进行关联，最后量化系统受威胁程度，提供了一个解决上述问题的框架和方法。     

一种基于警报数据关联的入侵检测系统模型

入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。     

入侵检测报警关联技术

报警关联技术分析不同安全产品产生的报警，从中识别出真正有意义的攻击警报，并减少大量的误报警，降低安全管理员的工作量。该文介绍了报警关联的基本模型和主要技术，分析了主要的关联方法，探讨了报警关联技术的发展方向。这些讨论对应用或发展报警关联技术都有参考价值。     

Alert correlation in collaborative intelligent intrusion detection systems—A survey

As complete prevention of computer attacks is not possible, intrusion detection systems (IDSs) play a very important role in minimizing the damage caused by different computer attacks. There are two intrusion detection methods: namely misuse- and anomaly-based. A collaborative, intelligent intrusion detection system (CIIDS) is proposed to include both methods, since it is concluded from recent research that the performance of an individual detection engine is rarely satisfactory. In particular, two main challenges in current collaborative intrusion detection systems (CIDSs) research are highlighted and reviewed: CIDSs system architectures and alert correlation algorithms. Different CIDSs system, architectures are explained and compared. The use of CIDSs together with other multiple security systems raise certain issues and challenges in, alert correlation. Several different techniques for alert correlation are discussed. The focus will be on correlation of CIIDS alerts. Computational, Intelligence approaches, together with their applications on IDSs, are reviewed. Methods in soft computing collectively provide understandable, and autonomous solutions to IDS problems. At the end of the review, the paper suggests fuzzy logic, soft computing and other AI techniques, to be exploited to reduce the rate of false alarms while keeping the detection rate high. In conclusion, the paper highlights opportunities for an integrated solution to large-scale CIIDS.     

分布式入侵告警关联分析

为了精简分布式入侵检测系统中重复性的、不完善的或不完整的告警数据，降低误告警率，解决具有因果关系和非因果关系共存的告警关联问题，提出了一种分级关联算法．利用告警数据的检测时间属性的接近度将关联分析分为两类：概率关联和因果关联．给出了自调节增量贝叶斯分类器和实时因果关联算法，从而实现了多种特征混合的告警关联，提高了告警关联率．使用MIT Lincoln Lab提供的2000 DARPA入侵检测攻击场景数据集LLDOS1．0对该算法进行了性能测试，实验结果验证了算法的有效性．     

报警信息关联模型的构建和实现

协同和分布式的网络攻击对传统的网络安全防护提出了巨大的挑战,同时也对分布式入侵检测技术提出了更高的要求,而有效融合多种入侵检测系统报警信息能够提高告警的准确性。首先给出了五维度报警信息关联的定义;然后设计与实现了带有实时响应机制的层次化关联模型,该模型具有较广泛的适用性,每一层都可以作为一个单独的模块完成相应的功能;最后给出了报警信息融合模块的实现。实验证明：报警信息融合可以降低误报、漏报率,并能识别攻击意图,达到预警的目的。