入侵检测报警聚合与关联系统设计与实现

入侵检测系统的大部分报警事件之间都存在某种联系。通过对这些报警的聚合与关联能够消除或减少重复报警，降低误报率及发现高层多步攻击策略。论文设计并实现了一种报警聚合与关联系统，系统主要包括报警聚合、报警校验、多步攻击报警关联和报告分析与规则控制等部分。实验证明：该系统能够减少报警数量，并能识别攻击意图，达到预警的目的。     

入侵检测报警信息管理系统设计与实现

入侵检测系统的高误警率成为制约其发展的瓶颈之一。本文首先分析了目前入侵检测系统存在误警的原因,分析了进行报警信息管理的必要性,提出并设计了一个入侵检测系统报警信息管理的模型,最后对系统进行了实验验证,结果表明该系统能有效地减少报警数量。     

入侵检测报警信息融合系统的构建与实现

针对目前入侵检测系统（IDS）存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。     

入侵检测报警信息融合系统的构建与实现

针对目前入侵检测系统(IDS)存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。     

基于XML的GIDO描述和入侵检测规则描述

本文在CIDF框架的基础上,针对通用入侵检测规范语言(CISL)描述通用入侵检测对象(GIDO)难以被人们所理解,提出采用具有易于数据描述和理解等优势的XML语言来对GIDO进行描述。同时,针对Snort入侵检测系统在入侵检测规则的描述上过于粗略、不易扩充等不足,利用XML语言易于理解、扩充和完整描述数据等优点,对Snort的入侵检测规则定义进行了修改和完善,并给出了基于XML的入侵检测规则描述。最后列举了一个完整的应用实例。     

入侵检测报警关联技术

报警关联技术分析不同安全产品产生的报警,从中识别出真正有意义的攻击警报,并减少大量的误报警,降低安全管理员的工作量。该文介绍了报警关联的基本模型和主要技术,分析了主要的关联方法,探讨了报警关联技术的发展方向。这些讨论对应用或发展报警关联技术都有参考价值。     

基于IDMEF的协作式入侵检测技术研究

介绍了入侵检测技术的发展和现状,阐述了协作式入侵检测技术中信息交换的产生背景和功能要求。主要讲述了如何利用入侵检测信息交换格式-IDMEF(Intrusion Detection Message Exchange Format)和入侵检测交换协议-IDXP(Intrusion Detection Exchange Protocol)来实现多个入侵检测系统之间的信息交换。     

入侵检测系统报警信息融合模型的设计与实现

开展入侵检测系统报警信息融合技术的研究,对解决目前入侵检测系统(IDS)存在的误报、漏报、报警信息难管理、报警信息层次低等问题,以及提高网络预警能力等均具有十分重要的意义。首先分析了目前入侵检测系统存在的问题,提出了进行报警信息融合的必要性,最后提出并实现了一个入侵检测系统报警信息融合的可视化模型。     

入侵检测系统中报警验证模块的设计与实现

传统入侵检测系统虽然可以根据特征匹配的方法检测出攻击企图,却无法验证攻击企图是否成功,生成的报警不仅数量巨大而且误警率很高。该文提出一种结合漏洞扫描工具对入侵检测系统生成的报警进行验证的方法,根据被攻击主机是否包含能使攻击成功的漏洞来判定攻击能否成功,对攻击的目标主机不存在对应漏洞的报警降低优先级,从而提高报警质量。说明了报警验证模型各部分的设计和实现方法,系统运行结果显示该方法能有效地压缩报警量,降低误警率,帮助管理员从大量数据中找到最应该关注的真实报警。     

入侵报警过滤系统的设计与实现

针对安全管理员难于快速有效处理入侵检测系统运行时产生的海量报警数据问题,通过分析入侵报警数据本身的特点,设计出了时间窗、优先级、同源IP、同目的IP和漏洞信息共5种过滤规则,并实现了入侵报警过滤系统IAFS。测试结果表明,IAFS有效过滤了重复和无意义的报警,凸现了真正重要的报警数据。     

报警信息关联模型的构建和实现

协同和分布式的网络攻击对传统的网络安全防护提出了巨大的挑战,同时也对分布式入侵检测技术提出了更高的要求,而有效融合多种入侵检测系统报警信息能够提高告警的准确性。首先给出了五维度报警信息关联的定义;然后设计与实现了带有实时响应机制的层次化关联模型,该模型具有较广泛的适用性,每一层都可以作为一个单独的模块完成相应的功能;最后给出了报警信息融合模块的实现。实验证明：报警信息融合可以降低误报、漏报率,并能识别攻击意图,达到预警的目的。     

基于XML的信息技术试题标记语言的设计与实现

文章介绍了基于XML的可扩展信息技术试题标记语言XitetML的设计与实现。XitetML充分运用XML的可扩展性和半结构化数据描述能力,解决了题库建设过程中的试题文本共享和交换问题。文中叙述了XitetMLSchema的设计过程,并对使用XSL样式单实现试题的不同呈现方式进行了讨论。     

基于XML的企业信息集成平台实现及应用

随着企业可获取的信息的大量增长,信息的种类和结构也越来越丰富。从传统的关系数据库,到XML文档以及分布于Web上的大量半结构化的信息。如何把各种不同的数据源统一在一个信息集成平台上,使用户能够高效地,透明地操作各类信息,已经成为一个重要的课题。文章提出的基于XML的企业信息集成框架CII,详细讨论了该框架的设计、实现,以及在国家“九五”重点科技攻关项目:石化应用软件典型示范工程及产品开发上的应用。同时针对工业生产企业中实时数据库的大量使用,该文还专门研究了集成实时数据库信息面临的问题,并提出了相应的解决方案。     

基于多源安全信息的告警校验与聚合技术

针对网络入侵检测系统产生大量低质量告警的问题,提出了基于多源安全信息的告警校验与聚合技术,采用一阶谓词逻辑对告警校验进行了建模,并综合分析告警的时间、空间、攻击类型三维属性,对告警进行聚合。提出的方法能够实时、有效地滤除无关告警,消除冗余度,实现告警的精简。     

入侵检测系统中告警相关部件的设计与实现

随着网络的迅猛发展,管理入侵检测系统产生的大量告警变得越来越重要。本文基于因果相关的思想,设计并实现了一个入侵检测系统中的告警相关部件。实验表明,该部件能有效减少告警数量,其告警减少率达到83．26％。     

基于XML文档的关系数据库与面向对象数据库之间的信息交互

针对传统关系数据库与面向对象数据库之间信息交换所存在的不足,该文分析了XML文档和关系数据库模型/面向对象数据库模型的对应关系,提出了以XML文档为中介的数据库间信息交互的算法。最后举例说明了如何利用XML文档来实现数据库间的信息交互。     

因果告警相关方法在入侵检测系统中的应用与实现

针对某公司入侵检测系统产品误警率高,将因果告警相关方法融入到原系统中,对告警信息进行相关分析.利用DARPA 2000入侵检测场景数据集LLDOS1.0对新系统进行实验验证,结果表明,通过新系统可有效降低误警率,并可用图形的形式显示告警信息之间的因果相关关系,形象揭示出攻击者的攻击过程与攻击策略.     

通用备份系统的设计与实现

探讨了通用备份系统的设计与实现技术,着重讨论了备份、恢复功能的设计策略和实现方法,以及如何通过COM/DCOM,XML技术来实现系统的通用性。该系统引入了一个新的概念“业务”,用它来描述数据间的相关性。系统通过管理业务来管理数据,这一方法提高了系统的易用性和灵活性。     

基于层次的智能告警关联分析模型研究

入侵检测系统的广泛使用产生了许多告警信息流,这些告警事件信息流基本上都是基于低层的攻击步骤检测,且具有较大的误告警率;各种分布式攻击进一步加剧了入侵检测系统告警事件信息流的复杂性。研究介绍了关联分析的基本原因、关联分析的基本概念,然后提出智能化入侵检测关联分析层次模型。该模型从误告警验证和抑制,到一个攻击一个告警,再到一个攻击过程对应一个场景刻画,形成一个层次。在不同的层次上,防御者对攻击的视图越来越清晰,从而为响应措施提供了精确的决策依据,进一步提高了整个入侵检测系统的智能性和可用性。