增量挖掘实时报警关联研究

入侵检测技术通过实时获取网络攻击报警信息,对网络安全实施检测、分析和动态防御,有效弥补了防火墙的不足。通过有效处理网络报警信息提高入侵检测的检测率、精确度是当前入侵检测技术研究的重要课题之一。提出了一种实时的增量挖掘入侵检测报警关联方法。该方法使报警事件的聚合操作和报警关联分析控制在小规模数据范围内进行,有效克服了一些数据挖掘算法应用到入侵检测过程中存在的多遍扫描、误报率高和报警信息关联度低问题。实验结果表明,该方法不但可以处理大容量实时网络报警信息,而且在报警信息关联分析和报警事件约减都体现了良好的性能。     

一种基于警报数据关联的入侵检测系统模型

入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。     

网络安全信息关联分析技术研究与应用*

针对当前网络安全信息分析过程中出现的安全描述片面性、信息可视化程度低和误报警、漏报警现象等问题,提出运用关联方法对网络中的报警和日志信息进行综合分析,用于提高网络安全信息分析能力。给出关联分析的定义和模型,对关联分析的分类和实施方法进行了阐述,并结合相应事例说明了关联分析在网络安全信息分析中的作用。     

基于多元信息融合的网络安全评估模型

以信息融合为基础的网络安全评估模型,对网络安全事件进行了过滤、关联以及融合等多层次信息融合,提高了多源安全检测信息的有效性,对于促进网络安全具有重要意义。以网络安全态势评估为着眼点,在简析了信息融合的基础上,重点分析了以信息融合为基础的网络安全态势评估模型。     

基于灰色理论的层次化网络安全态势评估方法

网络安全态势是指某时刻整个系统所处的安全运行状态,网络安全态势评估是安全领域的研究热点之一。文中以能够准确把握一个网络系统的安全态势为目标,设计了一种基于灰色理论的层次化网络安全态势评估方法。该方法利用灰色关联分析法对网络中的攻击要素进行关联,进而在服务、主机、网络等3个层次上综合运用统计技术和专家系统给出的权重来完成相应的态势信息的融合。基于Honeynet数据集的仿真实验结果表明,使用文中设计的方法能够有效而准确地得出网络的总体安全态势。     

基于关联的多层次网络安全结构设计

基于关联的网络安全综合监控是目前信息安全技术的一个重要发展方向。在关联基础上,提出了一种多层次网络安全系统（MLNSS）的架构及其实现方式。这种架构能够有效融合不同种类安全设备的信息,分析网络安全状态,对入侵做出正确判断和决策。实践证明该技术能够处理不同种类安全设备间的协作关系,降低入侵检测系统的误警,从而更加有效地提高网络整体防御性能。     

一种基于日志关联分析的取证模型

日志文件是计算机获取电子证据的重要资源.文章基于现有日志取证系统片面取证并且未考虑日志信息的安全性的不足,提出了基于日志关联分析的取证模型,通过事件特征关联、事件时间序列关联和事件空间序列关联各网络安全设备和应用程序的日志信息,把各种日志信息进行综合关联分析,使得到的取证结果更可靠、公正和客观.     

基于Apriori算法的无线网络关联回溯问题研究

基于无线网络关联回溯问题的研究,提出了一种基于Apriori算法的无线网络关联回溯系统。首先,对系统的整体框架进行设计;然后根据系统需要满足的要求,分别对系统中的数据采集、协议识别、恶意流量检测、界面可视化呈现以及关联回溯5个关键功能模块进行了研究与设计,并对关联回溯模块中的Apriori关联规则挖掘算法进行了改进;最后分别对算法与系统的性能与可行性进行实验测试。实验结果表明：改进后Apriori算法的性能更佳、平稳性更好,更适用于数据库庞大的无线网络安全事件信息关联规则挖掘。基于Apriori算法的无线网络关联回溯系统对无线网络攻击事件的检测率都在80%以上,表明系统能够为关联回溯模块提供较为准确与丰富的数据;系统能够通过关联回溯获取强关联规则并进行保存;且运行稳定,总体性能较高。     

一种基于数据融合的分布式入侵检测系统

入侵检测是网络安全的一种重要手段,为提高入侵检测的准确性,文中提出了一种基于数据融合的分布式入侵检测系统,并详细论述了该系统的网络设计、包采集分析、局部判决、融合中心事件关联和数据融合等各个环节的具体设计与实现方法,分析表明文中提出的事件关联规则和加权表决法决策融合算法对分布式入侵检测系统是十分有效的。     

一种网络安全信息的综合关联分析方法

面对各种网络安全设备带来的安全信息过量、误报警等问题,本文提出一种基于模式关联和漏洞关联的综合关联分析方法,对网络安全信息进行关联分析。这种方法能有效精简信息量,降低误报警率．提高网络系统的整体安全性。     

基于事件关联的网络威胁分析技术研究

文章应用事件关联的方法综合IDS等安全设备报警信息进行网络威胁分析,介绍了事件关联基本方法,并提出事件关联分析器体系结构,实验系统测试结果表明,应用事件关联技术有效降低了网络威胁分析中出现的虚警,极大地减少了冗余报警。     

网络安全信息管理与分析系统研究与实现

网络安全产品之间由于缺乏数据信息交换机制,导致了各自的安全信息不能彼此共享;同时为了解决网络上大量的报警和误报,这就需要找出网络检测数据深层次关系,并高效地检测已知、未知的攻击,由此提出了网络安全的信息管理与分析系统,同时给出了事件聚合、关联分析方法,提取关联规则,达到进一步聚合安全事件,从而达到全面分析的目的.     

一种分布式网络安全事件检测模型

分析了网络中大规模安全告警事件处理面临的问题,提出了一种分布式安全事件检测系统模型,在对事件分类的基础上,提出了基于策略的分层事件处理机制,阐述了一种基于二叉树遍历和滑动时间窗口的事件检测算法,进一步提高了事件检测的及时性和准确性,为网络系统的安全提供了可靠的保障。     

基于深度学习的网络流量异常预测方法

针对网络入侵检测系统（NIDS）能够检测当前系统中存在的网络安全事件,但由于自身的高误报率和识别安全事件产生的时延,无法提前对网络安全事件进行准确率较高的预警功能,严重制约了NIDS的实际应用和未来发展的问题,提出了基于深度学习的网络流量异常预测方法。该方法提出了一种结合深度学习算法中长短期记忆网络和卷积神经网络的预测模型,能够训练得到网络流量数据的时空特征,实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。实验通过使用设计好的神经网络框架对入侵检测系统流量数据集CICIDS2017进行了训练和性能测试,在该方法下流量分类的误报率下降到0.26%,总体准确率达到了99.57%,流量特征预测模型R2的最佳效果达到了0.762。     

Inference of network anomaly propagation using spatio-temporal correlation

Many solutions have been proposed for network alarm correlation. However, they mainly have focused on alarm reduction and on root cause analysis. This paper presents an automated alarm correlation system composed of three layers, which obtains raw alarms and presents to network administrator a wide view of the scenario affected by the volume anomaly. In the preprocessing layer, it is performed the alarm compression using their spatial and temporal attributes, which are reduced into a unique alarm named Device Level Alarm (DLA). The correlation layer aims to infer the anomaly propagation path and its origin and destination using DLAs and network topology information. The presentation layer provides the visualization of the path and network elements affected by the anomaly propagation. Moreover, it is presented the Anomaly Propagation View (APV), a graphic tool developed to provide a wide visualization of the network status. In order to evaluate the effectiveness of the proposed solution, it was used real traffic data from State University of Londrina.     

分布式异构网络恶意攻击取证及预警方法研究

传统的网络恶意攻击取证方法对恶意攻击行为的检查不全面、恶意攻击行为相似度分辨准确性低。为此,提出了一种分布式异构网络恶意攻击取证及预警方法。利用CVSS计算器对网络恶意攻击行为的严重等级进行评估,结合灰关联分析法建立灰关联模型,对评估要素进行量化处理;在此基础上,获取并处理日志、事件、警告和证据信息,建立证据库。根据取证结果,结合TOP-K预警策略实现分布式异构网络恶意攻击的预警和预警信息储存。实验结果表明,所提方法对恶意攻击行为的查全率和恶意攻击行为相似度分辨的准确性较高,且预警反应耗时较短,不仅能够准确检测恶意攻击行为,还能够及时发出警报,有效维持分布式异构网络的安全性。     

信息网络环境下智能安防报警系统设计

为了保证学校学生和其他在校人员的学习生活安全,并且可以最大限度的保障内部人员的人身以及财产安全,需要对校园的安防报警系统进行优化;但目前设计方法在智能安防报警系统优化过程中,无法在校内无人的状况下对学校的突发事件智能安防报警系统,存在校园智能安防报警系统性能不高的问题;为此,提出了一种基于MSP430单片机的信息技术环境下校园智能安防报警系统设计方法;该设计方法先将MSP430单片机嵌入至安防报警系统多控制传感器模块中进行实时监测,并且统计关于学校内部人员以及其贵重物品的进出与防火灾安全情况,然后采用C/S(Client/Server)结构根据安全状况设置智能声光报警,使用无线传输技术快速组网,各个采集终端在监控安防报警信息的同时,利用无线方式发送到总控制平台,方便学校的管理人员实时了解学校安防状况;最后在危险情况发生时发送短信快速通知校内安防人员,尽量避免或者降低校内人员的财产损失,保证学生以及校内其他人员的安全;仿真实验证明,所提方法提高了信息网络环境下校园智能安防报警系统的稳定性,增强了校园智能安防报警系统的灵活性和自动性。     

基于主动知识库和数据库的入侵检测系统的设计

主动知识库和主动数据库系统采用领域专家知识和推理机制,具有一定的智能性,能够在某些事件发生时,主动地执行由用户预先指定的动作或动作序列,准确地表示入侵特征。同时,网络中存在的、大量和入侵无关的信息和事件在分析之前都将被抛弃,因此大大地提高了系统的分析效率。     

基于时态知识模型的网络入侵检测方法研究

在分析国内外现有入侵检测技术和系统的基础上，提出了一种基于时态知识模型和可变滑动窗口的实时模式提取算法，并在此基础上，实现了基于规则的、层次化的智能入侵检测原型系统(RIDES)．实验结果表明：该系统不仅能快速检测网络入侵，而且具有一定的学习能力，能够适应不同的网络应用环境．     

珠江委网络安全态势感知平台设计与应用

为进一步提升珠江委网络安全防护水平,打造全天候主动防御的网络安全防护体系,梳理当前珠江委网络安全防护的短板,从自动告警、攻击行为重塑、脆弱性分析等方面分析态势感知平台功能需求,依托数据融合、事件关联、态势预测等态势感知关键技术,设计一种符合珠江委网络安全防护需求的态势感知平台。平台架构设计为数据采集、存储分析、核心业务和 BI 展示 4 个层次,主要实现资产管理、风险感知、预警管理和安全态势信息专题展示等功能。基于网络安全态势感知平台,珠江委基本形成事先梳理、风险感知、安全监测、事件分析、事件处置的主动防御体系,安全监测和主动防御能力明显提升,重要信息系统防护均未失陷, 取得较好的应用效果。