安全报警事件关联算法研究

已经获得广泛应用的防火墙、IDS、防病毒软件等安全设备在运行过程中会产生大量独立的、原始的报警信息,这些报警信息除了具有海量的特点外,还有比较高的误报率和漏报率,导致用户难于对攻击及时做出响应。利用关联分析的方法对海量报警事件进行分析并提取攻击场景是解决此问题的基本手段。通过简单的分类综述了安全领域中报警事件关联算法的研究现状,并指出了需要进一步研究的问题。     

安全事件管理中的并行关联方法

本文通过关联引擎对基于规则的攻击场景的识别来关联入侵检测系统和防火墙等安全设备发来的事件,自动确定安全事故,从而消除入侵检测系统和防火墙等安全设备的误报与漏报,并且提出了一种并行的关联算法来提高关联引擎的关联的实时性。     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

入侵检测报警信息融合系统的构建与实现

针对目前入侵检测系统(IDS)存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。     

入侵检测报警信息融合系统的构建与实现

针对目前入侵检测系统（IDS）存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。     

基于事件关联的电子取证实时入侵重构

针对目前电子取证入侵重构多用事后分析的方式导致分析信息不完整的问题，定义入侵事件的形式化描述和黑客攻击场景的表示，将事件关联方法引入电子取证入侵重构分析中，建立了事件关联的动态实时电子取证入侵重构系统，该系统预先了因果关联表，找出事件问的因果关联度，并消除它们的冗余关系，来获得入侵过程图。最后，通过一个实例来说明通过关联部分攻击片断来构建一个完整的攻击场景的过程。     

一种改进的攻击场景构建模型

攻击场景是指入侵者为达到入侵目的所采取的一系列攻击步骤。目前的攻击场景重构方法只基于入侵检测系统的报警消息,漏报和误报严重影响了攻击场景的准确重构。提出了证据支持度的概念,将日志关联融合到攻击场景重构的过程中,提出了一种新的攻击场景重构模型,有效地提高了攻击场景重构的准确度。     

一种新的入侵检测报警关联分析方法

报警聚合和关联是入侵检测领域很重要的发展方向,报警聚合是将相同或相近特征的报警信息关联起来,报警关联是根据攻击之间的因果依赖关系关联报警。采用模糊C-均值（FCM）算法剔除误报或无关报警,然后用因果关联分析发现攻击场景,恢复攻击场景。实验表明,该方法能够恢复攻击场景。     

多步攻击告警关联模型构建与实现

为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。     

加权最近邻聚类在SOC中的应用

本文对网络安全管理中心（SOC）的报警技术进行了研究,提出了一种具有权值的最近邻算法的聚类方法,对经过初步过滤、规范化后的报警信息与知识库中已有规则进行聚类,获取真正的攻击事件并完成攻击场景的重构,对报警信息进一步进行关联分析提供了有力保障。通过测试及应用表明,本文所应用的方法在可用性、灵活性、获取攻击事件的准确性以及处理效率上要优于其它方法。     

网络入侵检测系统中的警报聚类

到目前为止,网络管理员对入侵检测系统(IDS)所产生的警报还是以在辅助工具下的手工操作进行整理,从而得到一个高级别的攻击描述。为了有效融合多种入侵检测系统报警信息,提高警告的准确性,警报聚类自动分析工具被建议使用来产生高级别的攻击描述。除此之外,警报聚类自动分析工具还可以有效地分析威胁,融合不同的信息源,例如来自于不同IDS中的信息源。该文提出了新的警报聚类系统,以便把来自于多种IDS所产生的警报进行警报聚类,产生攻击描述。实验结果表明,通过警报聚类模块有效地总结攻击可以产生高级别的警报,并大幅度地减少了要提交给管理员的警报数量。此外,以这些高级别警报为基础还可以进一步地进行威胁分析。     

网络入侵报警信息实时融合处理模型

针对分布式入侵检测和网络安全预警所需要解决的问题,对多传感器数据融合技术进行了研究。在分析IDS警报信息之间的各种复杂关系的基础上,提出了一个警报信息实时融合处理模型,并根据该模型建立警报信息融合处理系统。实时融合来自多异构IDS传感器的警报信息,形成关于入侵事件的攻击序列图,在此基础上进行威胁评估及攻击预测。该模型拓展了漏报推断功能,以减少漏报警带来的影响,使得到的攻击场景更为完整。实验结果表明,根据该模型建立的融合处理系统应用效果好,具有很高的准确率和警报缩减率。     

一种基于多因素的告警关联方法

入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。     

MDCI:一个分布式检测DDoS攻击的方法

鉴于DDoS攻击分布式、汇聚性的特点，实现分布在大规模网络环境中的多个IDS系统间合作检测有助于在攻击流形成规模前合成攻击全貌并适当反应．MDCI系统首次提出了环形合作模式，即构建一个环重要网络信息资源的IDS系统合作组，通过组内节点同信息共享和警报关联分析，迅速判定DDoS攻击、MDCI系统中，采用报头内容分析和反向散射分析相结合的方法对本地捕获的数据报进行分析并采用统一标准格式对可疑特征进行报警；采用数据流分类概率评估的方法实现合作结点间警报信息的关联分析，从而合成攻击的全貌．通过实验可以看到，该系统有效地提高了针对DDoS攻击的预警速度．     

A combined analysis of plant connectivity and alarm logs to reduce the number of alerts in an automation system

A process alarm arises when normal operation limits are exceeded and an alarm management system alerts the operator of a process plant. Due to the material, energy and information flow in a plant, single disturbances can cause multiple consequent alarm messages, and the alarm messages may overload the operator by presenting many redundant alarms. This undesired situation is called an ‘alarm flood’. In such situations, the operator might not be able to fulfil his required tasks to keep the plant within safe operation limits and to find the root cause of the disturbance. The aim of the work presented in this paper is to reduce the number of alerts presented to the operator. If alarms are related to one another, those alarms should be grouped and presented as one alarm problem. For the implementation of the concept, a software prototype has been developed to perform this reduction automatically. The analysis process starts with the alarm history which is a log containing all past alarm messages. This is combined with the plant topology of the controlled system and a set of rules. The rules describe typical interrelations between alarm messages which have a common cause. The combination of these three elements yields an effective alarm management strategy that can help plant owners and operators to comply with standards for alarm management such as ANSI/ISA 18.2 (2009) and EEMUA 191 (2007) which set limits on the number of alarms per unit time for an operator. The effectiveness of the approach is illustrated by two industrial examples where a significant reduction of alarms has been achieved.     

基于安全扫描信息降低入侵检测系统的误报率

通常入侵检测系统在一旦发现有入侵迹象时便发出警报,但许多入侵攻击最终是不能成功的或者说并不能给系统或网络造成危害,所以相应的警报属于无效警报,而正是大量无效警报的存在使得入侵检测系统有着较高的误报率。在本文中,针对网络型误用入侵检测系统建立了一种新的警报过滤机制,此机制通过安全扫描系统建立起一个本网络的漏洞数据库,由于一种网络攻击一般都是针对一个或多个程序漏洞的,当入侵检测系统发现可疑入侵时,找出攻击成功时所需存在的漏洞,并依据漏洞数据库加以实时确认此漏洞是否存在,若不存在,则只是记入日志而不发出警报,从而过滤无效警报的产生。实验结果证明,本文提出的警报过滤机制可以有效的降低误报率。     

Projecting Cyberattacks Through Variable-Length Markov Models

Previous works in the area of network security have emphasized the creation of intrusion detection systems (IDSs) to flag malicious network traffic and computer usage, and the development of algorithms to analyze IDS alerts. One possible byproduct of correlating raw IDS data are attack tracks, which consist of ordered collections of alerts belonging to a single multistage attack. This paper presents a variable-length Markov model (VLMM) that captures the sequential properties of attack tracks, allowing for the prediction of likely future actions on ongoing attacks. The proposed approach is able to adapt to newly observed attack sequences without requiring specific network information. Simulation results are presented to demonstrate the performance of VLMM predictors and their adaptiveness to new attack scenarios.      

安全事件关联分析引擎的研究与设计

入侵检测系统是动态安全防御里的重要环节，现有的入侵检测系统（IDS）存在一个致命的缺陷：误报率高居不下，IDS无法展现事件之间的逻辑关系，结果用户很难了解事件背后隐藏的攻击策略或逻辑步骤。为了解决IDS存在的上述问题，在深入分析入侵技术的基础上提出了基于入侵序列的启发式关联方法，设计并实现了一个事件关联分析引擎，最后验证了有效性。