入侵检测报警信息融合系统的构建与实现

针对目前入侵检测系统(IDS)存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。     

入侵检测报警信息融合系统的构建与实现

针对目前入侵检测系统（IDS）存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。     

NIDS报警信息关联分析进展研究

入侵检测技术是当前网络安全领域的一个研究热点,报警关联分析是其中一个重要部分。通过报警信息的关联分析,可以显著地降低入侵检测系统的误警率,提高它的检测率和可用性,帮助网络管理员更好地掌握当前网络的安全状况。本文对当前国际上报警关联分析技术的研究现状进行了综合分析,并对现有方法进行了分类和比较。     

入侵检测系统报警信息融合模型的设计与实现

开展入侵检测系统报警信息融合技术的研究,对解决目前入侵检测系统(IDS)存在的误报、漏报、报警信息难管理、报警信息层次低等问题,以及提高网络预警能力等均具有十分重要的意义。首先分析了目前入侵检测系统存在的问题,提出了进行报警信息融合的必要性,最后提出并实现了一个入侵检测系统报警信息融合的可视化模型。     

基于入侵意图的报警信息关联分析技术

针对目前报警信息关联技术中存在的问题，提出了基于入侵意图的报警信息关联分析技术。该技术不仅继承了基于入侵策略的报警信息关联分析方法所具有的时效性、预见性强等优点，而且提高了     

入侵检测报警聚合与关联系统设计与实现

入侵检测系统的大部分报警事件之间都存在某种联系。通过对这些报警的聚合与关联能够消除或减少重复报警，降低误报率及发现高层多步攻击策略。论文设计并实现了一种报警聚合与关联系统，系统主要包括报警聚合、报警校验、多步攻击报警关联和报告分析与规则控制等部分。实验证明：该系统能够减少报警数量，并能识别攻击意图，达到预警的目的。     

入侵报警聚合关联模型的研究与实现

入侵报警聚合关联模型是一个快速、有效的报警分析架构.它通过将低级报警事件与主机脆弱性信息进行聚合、高级报警事件之间进行基于知识库的关联和增加新的功能组件,降低入侵报警的误报率,提高报警的解读性.     

分布式IDS的报警关联定义

网络规模越来越大。传统的IDS往往存在漏报误报率高、报警太低级的问题,因而不能及时准确反映整个系统的安全态势。网络管理人员不得不面对海量的原始报警信息,如大海捞针般地寻找可能的安全威胁和攻击来源。本文首先讨论了现有IDS的不足;之后给出了报警关联的定义。本文的研究成果已经在“网络安全监控与预警系统”（十五863项目）中得到应用,对分布式入侵检测系统的报警关联设计有重要的参考价值。     

多步攻击告警关联模型构建与实现

为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。     

一种基于免疫的入侵检测关联报警模型

在入侵检测系统Snort的基础上,结合网络实时危险评估技术,提出了一种基于免疫的网络入侵检测报警模型SAIM。给出了网络环境下记忆细胞的表示方法,以及记忆细胞实时危险计算过程,建立了主机分类及总体实时危险计算方程,在此基础上给出了网络入侵检测报警模型。理论分析和试验结果均表明,SAIM模型能有效进行关联报警,提高报警质量。     

统一入侵检测报警信息格式提案及其实现

为增强IDS之间信息共享和交换的能力,加强IDS之间的交流和协作,给出了统一入侵报警信息格式的详细提案,并提出了用XML Schema对报警信息建模的方案,最后用XML描述语言实现了该提案并通过了XML Schema的有效性验证。所提出的统一入侵检测报警信息格式提案给不同IDS之间和IDS不同组件之间提供了信息共享和信息交换的平台,对于增强IDS之间以及IDS和其他安全设备的协作能力具有十分重要的意义。     

基于层次的智能告警关联分析模型研究

入侵检测系统的广泛使用产生了许多告警信息流,这些告警事件信息流基本上都是基于低层的攻击步骤检测,且具有较大的误告警率;各种分布式攻击进一步加剧了入侵检测系统告警事件信息流的复杂性。研究介绍了关联分析的基本原因、关联分析的基本概念,然后提出智能化入侵检测关联分析层次模型。该模型从误告警验证和抑制,到一个攻击一个告警,再到一个攻击过程对应一个场景刻画,形成一个层次。在不同的层次上,防御者对攻击的视图越来越清晰,从而为响应措施提供了精确的决策依据,进一步提高了整个入侵检测系统的智能性和可用性。     

入侵检测系统中告警相关部件的设计与实现

随着网络的迅猛发展,管理入侵检测系统产生的大量告警变得越来越重要。本文基于因果相关的思想,设计并实现了一个入侵检测系统中的告警相关部件。实验表明,该部件能有效减少告警数量,其告警减少率达到83．26％。     

因果告警相关方法在入侵检测系统中的应用与实现

针对某公司入侵检测系统产品误警率高,将因果告警相关方法融入到原系统中,对告警信息进行相关分析.利用DARPA 2000入侵检测场景数据集LLDOS1.0对新系统进行实验验证,结果表明,通过新系统可有效降低误警率,并可用图形的形式显示告警信息之间的因果相关关系,形象揭示出攻击者的攻击过程与攻击策略.     

基于多源安全信息的告警校验与聚合技术

针对网络入侵检测系统产生大量低质量告警的问题,提出了基于多源安全信息的告警校验与聚合技术,采用一阶谓词逻辑对告警校验进行了建模,并综合分析告警的时间、空间、攻击类型三维属性,对告警进行聚合。提出的方法能够实时、有效地滤除无关告警,消除冗余度,实现告警的精简。     

基于知识积累的告警相关方法

黑客的入侵是一个逐步积累、逐步深入的过程。在入侵过程中,黑客所积累的有关目标系统的信息越多,越有利下一步入侵的成功。现有的告警相关方法不能识别带分支的入侵过程,也不能识别属于某个入侵过程的失败的入侵步骤。该文针对这两种情况提出了一种基于知识积累的告警相关方法,这种方法不仅能识别完整入侵过程,而且能对入侵过程的相关程度及其入侵结果进行评估。     

报警信息聚合研究

入侵检测系统的诸多不完善的因素制约了入侵检测的发展,入侵检测一直也成为人们研究的一个重点,而报警信息聚合可以有效地减少报警数量,提高网络预警能力,对入侵检测系统有着十分重大的意义.首先将报警分成四大类,再判定不同类别中报警信息的关系,进行聚合,最后根据不同的属性找出各报警信息的关联关系.     

对入侵检测警报关联分析的研究与实践

该文从网络入侵检测系统(NIDS)的工作原理、配置策略和警报格式三方面对其重复警报信息量大、误报多的原因进行了详细分析,指出了因此带来的危害。提出利用对警报信息的关联分析方法来调整IDS的配置策略和确定攻击行为,并结合分析的结论和漏洞扫描的结果对网络配置状况进行了重新评估,指出网络中存在的问题,使网络安全管理员及时解决问题,加固系统,提高了网络入侵检测系统的准确性、实用性。     

网络安全信息关联分析技术研究与应用

针对当前网络安全信息分析过程中出现的安全描述片面性、信息可视化程度低和误报警、漏报警现象等问题,提出运用关联方法对网络中的报警和日志信息进行综合分析,用于提高网络安全信息分析能力。给出关联分析的定义和模型,对关联分析的分类和实施方法进行了阐述,并结合相应事例说明了关联分析在网络安全信息分析中的作用。