入侵检测系统报警信息聚合方法的改进

针对现有基于属性差异的入侵检测系统报警信息聚合算法存在的缺陷,提出一种改进的基于属性差异的报警信息聚合算法。该方法简单、直观。在DARPA2000测试数据集上的测试说明了算法的有效性。     

报警信息聚合研究

入侵检测系统的诸多不完善的因素制约了入侵检测的发展,入侵检测一直也成为人们研究的一个重点,而报警信息聚合可以有效地减少报警数量,提高网络预警能力,对入侵检测系统有着十分重大的意义.首先将报警分成四大类,再判定不同类别中报警信息的关系,进行聚合,最后根据不同的属性找出各报警信息的关联关系.     

一种基于遗传聚类的报警聚合方法

提出了一种基于遗传聚类算法对入侵检测系统（IDS）报警进行聚合的方法。将报警间属性的相异程度转换到值域区间[0.0,1.0]上,两报警间的相异程度用一个相异度矩阵表示;利用遗传算法的自适应优化特性选取较优的聚类中心,根据报警间的相异度矩阵将相似的报警进行聚类;在此基础上,分别对每一类中的报警采用凝聚层次的聚合方法进行聚合。实验结果证明,该方法能够有效地减少重复报警。     

种分布式IDS报警聚合模型的设计与实现*

提出了一种分布式报警聚合模型,由本地和网络组件构成,本地组件将传统IDS上报的原始报警转换为基于IDMEF模型的统一报警信息格式,网络组件接收统一格式的IDMEF报警,采用基于分类和属性相似度的报警聚合方法聚合重复报警信息为超报警,模型中设计了多种消息内容用于满足本地组件和网络组件间通信需求,使得整个网络可以信息共享,根据该模型可以较经济地搭建一个分布式入侵检测系统。     

入侵检测系统报警聚合关联研究

针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。     

入侵检测系统报警聚合关联研究

针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。     

一种基于分类和相似度的报警聚合方法

提出一种报警聚合方法，将所有报警按攻击类别分为四类，不同报警属性根据其值的特点分为四类，在此基础上采取不同的属性相似度计算方法，设置不同的期望阈值，可通过外部接口在运行时动态调整阈值。属性相似度结果依据不同分类在最后结果中占据不同权重，聚合判决依赖于所有相似度的加权平均结果，聚合结果取决于具有最大相似度的超报警是否大于给定的阈值。实验结果表明，本算法能有效减少重复告警。     

一种基于粗糙集属性约简的多分类器集成方法

为提高多分类器系统的分类精度,提出了一种基于粗糙集属性约简的分类器集成方法 MCS_ARS。该方法利用粗糙集属性约简和数据子集划分方法获得若干个特征约简子集和数据子集,并据此训练基分类器;然后利用分类结果相似性得到验证集的若干个预测类别;最后利用多数投票法得到验证集的最终类别。利用UCI标准数据集对方法 MCS_ARS的性能进行测试。实验结果表明,相较于经典的集成方法,方法 MCS_ARS可以获得更高的分类准确率和稳定性。     

基于粗糙集定权的网络安全态势要素提取方法

针对当前网络安全机制存在的重复报警过多的问题,提出了一种基于属性相似度和粗糙集定权的网络安全态势要素提取方法.通过定义报警各属性相似度计算函数,得出各属性相似度;属性权重的确定采用粗糙集定权方法,通过对历史恶意行为数据进行学习得到,不依赖经验知识,提高了权重确定的客观性;对各属性相似度进行加权平均得到报警整体相似度,通过判断整体相似度是否超过预设阈值来实现报警聚合.最后,算例分析验证了该方法能有效减少重复报警.     

装备维修保障系统实体属性建模

装备维修保障系统实体属性是研究装备维修保障系统特性的基本依据。针对现有实体属性建模方法得到的实体属性集耦合封闭性差,不利于系统分析和系统聚合解聚研究的不足,根据维修保障系统实体活动特点和实体内部特征关系,给出一种耦合封闭的实体属性划分,并详细阐述了各属性面的内涵,在此基础上,提出一种六边形的实体属性模型。为基于实体的装备维修保障系统分析和聚合解聚研究提供基础。     

结合类别相关性和辨识集的特征选择方法

介绍了基于辨识集的属性约简算法,把该属性约简算法同类别相关性结合起来,提出了一个综合的特征选择方法.该综合方法使用类别相关性进行特征初选,并用所提属性约简算法消除冗余.实验结果表明此种特征选择方法能够获得较具代表性的特征子集.     

三支决策视角下的属性约简加速方法

Attribution reduction is one of the key topics in the field of rough set theory. Based on such theory, the concept of ensemble attribute reduction has been proposed. The ensemble reduction is to divide the sample into multiple decision systems in terms of the decision categories and then calculate them separately. Although ensemble attribute reduction balances the requirements of various decision classes, the corresponding time of attribute reduction is increased. To solve this problem, an attribute reduction acceleration method based on sequential three-way decisions is proposed. The specific steps are as follows: (1) The importance of the attribute in the decision system is calculated. (2) The attributes are divided into three groups in terms of the significance degree of corresponding attribute. Then, the attributes with maximal significance degree are classified into the positive domain, the attributes with zero significance degree are classified into the negative domain, and other attributes will be classified into the boundary domain. (3) The significance degree of the attributes in the boundary domain is calculated cyclically and the obtained result is divided, until theconstraint is satisfied. 8 UCI data sets are selected to conduct experiments in the traditional attribute reduction and ensemble reduction environments, respectively. The experimental results show that, under the premise of ensuring the classification performance, the proposed method can effectively reduce the time of attribute reduction in such two environments.     

一种基于信息熵的IDS告警预处理方法

针对目前入侵检测系统存在的海量重复告警、误报率偏高、告警质量低下等问题，提出一种基于信息熵的IDS告警预处理方法，用于减少误告警，聚合相似告警，生成代表单步攻击意图的超告警。首先，对IDS告警进行特征提取，用告警密度、告警周期值、源IP对应的目的IP数与攻击源威胁度这4个特征的信息熵融合结果表示一条告警所具有的特征信息量。通过与误告警的特征向量进行互雷尼信息熵的计算，从而识别出误告，并且去除误告。然后对误告去除后的告警按照IP对应关系，划分为2类：一种源IP对应一种目的IP的告警以及一种源IP对应多种目的IP的告警。分别对2类告警进行特征统计，构造5维特征信息熵向量，采用DBSCAN算法将信息量相同或者相似的告警进行聚类。最后对各个类别的告警进行动态时间窗口划分，并构建出代表单步攻击意图的超告警。实验结果表明，基于信息熵的告警预处理方法误告去除率为87.43%，告警聚合率达到98.63%，具有较好的误告去除效果以及较高的告警聚合率。     

粗糙集下网络大数据混合属性特征检测仿真

由于网络混合属性集的冗余数据量多,影响数据检测的查全率,为此提出结合粗糙集理论的网络大数据混合属性特征检测方法。首先构建一个四元组,利用四元组的任意邻域信息测算其长度函数,以判断信息特征的相似性,结合粗糙集理论求解相似信息特征的邻域熵,以检测并分类重复数据属性。为优化数据分类效率,引入支持向量机分类思想,将大数据混合属性的分类问题变换为线性可分问题,实现网络大数据混合属性特征检测与分类。实验结果表明,所提方法能够有效根据数据特征筛选出无关数据信息,使用经过训练后的分类装置对约简后的特征集进行分类,与基于特征和分类器参数组合优化的网络属性特征检测方法比较,证明了所提方法的有效性,为网络大数据混合特征检测技术提供一种新的有效解决方式。     

类属数据的贝叶斯聚类算法

针对类属型数据聚类中对象间距离函数定义的困难问题,提出一种基于贝叶斯概率估计的类属数据聚类算法。首先,提出一种属性加权的概率模型,在这个模型中每个类属属性被赋予一个反映其重要性的权重;其次,经过贝叶斯公式的变换,定义了基于最大似然估计的聚类优化目标函数,并提出了一种基于划分的聚类算法,该算法不再依赖于对象间的距离,而是根据对象与数据集划分间的加权似然进行聚类;第三,推导了计算属性权重的表达式,得出了类属型属性权重与其符号分布的信息熵成反比的结论。在实际数据和合成数据集上进行了实验,结果表明,与基于距离的现有聚类算法相比,所提算法提高了聚类精度,特别是在生物信息学数据上取得了5%~48%的提升幅度,并可以获得有实际意义的属性加权结果。     

多源数据矩阵增量约简算法

传感器技术发展促进各行各业产生了大量多源数据,且这些数据还在不断发生变化.当多源数据(分布信息系统)增加了一些属性后,传统约简算法需要重复计算数据且不能有效实现多源数据融合,导致计算动态多源数据约简花费时间较多,计算效率不高.为了克服传统约简算法的缺陷,设计了基于多源数据矩阵增量约简算法.介绍了一些分布信息系统的相关理...