NIDS报警信息关联分析进展研究

入侵检测技术是当前网络安全领域的一个研究热点,报警关联分析是其中一个重要部分。通过报警信息的关联分析,可以显著地降低入侵检测系统的误警率,提高它的检测率和可用性,帮助网络管理员更好地掌握当前网络的安全状况。本文对当前国际上报警关联分析技术的研究现状进行了综合分析,并对现有方法进行了分类和比较。     

入侵检测系统报警信息聚合与关联技术研究综述

报警的聚合与关联是入侵检测领域一个很重要的发展方向·阐述了研发报警聚合与关联系统的必要性通过对报警的聚合与关联可以实现的各项目标;重点讨论了现有的各种报警聚合与关联算法,并分析了各算法的特点;介绍了在开发入侵报警管理系统(IDAMS)中如何根据算法特点选择算法的原则;总结了现有聚合与关联系统的体系结构;简要介绍了IDMEF标准数据格式以及它在报警关联中的作用;最后,介绍了现有聚合与关联系统的发展现状,并提出了研发入侵报警聚合与关联系统所面临的重要技术问题和发展方向·     

入侵检测报警聚合与关联系统设计与实现

入侵检测系统的大部分报警事件之间都存在某种联系。通过对这些报警的聚合与关联能够消除或减少重复报警，降低误报率及发现高层多步攻击策略。论文设计并实现了一种报警聚合与关联系统，系统主要包括报警聚合、报警校验、多步攻击报警关联和报告分析与规则控制等部分。实验证明：该系统能够减少报警数量，并能识别攻击意图，达到预警的目的。     

基于入侵意图的报警信息关联分析技术

针对目前报警信息关联技术中存在的问题，提出了基于入侵意图的报警信息关联分析技术。该技术不仅继承了基于入侵策略的报警信息关联分析方法所具有的时效性、预见性强等优点，而且提高了     

分布式IDS的报警关联定义

网络规模越来越大。传统的IDS往往存在漏报误报率高、报警太低级的问题,因而不能及时准确反映整个系统的安全态势。网络管理人员不得不面对海量的原始报警信息,如大海捞针般地寻找可能的安全威胁和攻击来源。本文首先讨论了现有IDS的不足;之后给出了报警关联的定义。本文的研究成果已经在“网络安全监控与预警系统”（十五863项目）中得到应用,对分布式入侵检测系统的报警关联设计有重要的参考价值。     

入侵检测系统报警聚合关联研究

针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。     

入侵检测系统报警聚合关联研究

针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。     

报警信息聚合研究

入侵检测系统的诸多不完善的因素制约了入侵检测的发展,入侵检测一直也成为人们研究的一个重点,而报警信息聚合可以有效地减少报警数量,提高网络预警能力,对入侵检测系统有着十分重大的意义.首先将报警分成四大类,再判定不同类别中报警信息的关系,进行聚合,最后根据不同的属性找出各报警信息的关联关系.     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

网络安全报警关联研究

随着网络攻击的日趋智能化,大量安全设备被部署在网络中,它们在保护网络的同时,也为网络管理员的分析工作带来了新的挑战,如何从这些安全设备产生的海量信息中挑选出有效信息,并还原攻击场景,仅靠人工操作是难以完成的。在这种情况下,网络安全报警关联技术应运而生。该文在分析了几种传统的安全报警关联系统体系结构后,着重介绍了当前比较流行的几种网络安全报警关联方法,并分析了其优缺点。     

一种基于信息熵的IDS告警预处理方法

针对目前入侵检测系统存在的海量重复告警、误报率偏高、告警质量低下等问题,提出一种基于信息熵的IDS告警预处理方法,用于减少误告警,聚合相似告警,生成代表单步攻击意图的超告警。首先,对IDS告警进行特征提取,用告警密度、告警周期值、源IP对应的目的IP数与攻击源威胁度这4个特征的信息熵融合结果表示一条告警所具有的特征信息量。通过与误告警的特征向量进行互雷尼信息熵的计算,从而识别出误告,并且去除误告。然后对误告去除后的告警按照IP对应关系,划分为2类：一种源IP对应一种目的IP的告警以及一种源IP对应多种目的IP的告警。分别对2类告警进行特征统计,构造5维特征信息熵向量,采用DBSCAN算法将信息量相同或者相似的告警进行聚类。最后对各个类别的告警进行动态时间窗口划分,并构建出代表单步攻击意图的超告警。实验结果表明,基于信息熵的告警预处理方法误告去除率为87.43%,告警聚合率达到98.63%,具有较好的误告去除效果以及较高的告警聚合率。     

入侵检测报警信息管理系统设计与实现

入侵检测系统的高误警率成为制约其发展的瓶颈之一。本文首先分析了目前入侵检测系统存在误警的原因,分析了进行报警信息管理的必要性,提出并设计了一个入侵检测系统报警信息管理的模型,最后对系统进行了实验验证,结果表明该系统能有效地减少报警数量。     

利用弱点评估提高入侵检测系统性能的分析与实现

当前的入侵检测系统存在的虚警问题和报警量过大的问题严重影响了在实际中的应用效果。分析了系统弱点与入侵之间的关系,提出了弱点信息与入侵检测报警信息的关联的表示方法,给出了利用它们之间的关联提高入侵检测系统性能的实现框架。     

基于因果关系的分层报警关联研究

入侵检测系统产生海量报警数据,造成报警关联时间长,关联结果结构复杂,难以理解。针对上述问题,提出一种基于因果关系的分层报警关联模型。该模型先根据攻击目标聚类报警,在因果关系的指导下以单步攻击作为节点构建主机层攻击路径,定义单步攻击相似度和攻击模式相似度,通过拓扑排序合并主机层攻击路径的相似节点得到攻击模式,计算攻击模式相似度实现预警,并以受害主机作为节点从空间上构建更高层面的网络层攻击场景。实验表明,分层关联结果结构简洁,有助于识别攻击策略、指导安全响应,而且先聚类后关联的方法能够有效提高报警关联效率。     

一种基于警报数据关联的入侵检测系统模型

入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。     

入侵检测警报关联处理技术研究

本文深入研究警报关联处理技术的现状展开了,分析现有关联技术的原理并据此进行分类,比较和分析各类方法的优缺点,总结需要解决的问题及进一步研究的方向。     

入侵检测系统中告警相关部件的设计与实现

随着网络的迅猛发展,管理入侵检测系统产生的大量告警变得越来越重要。本文基于因果相关的思想,设计并实现了一个入侵检测系统中的告警相关部件。实验表明,该部件能有效减少告警数量,其告警减少率达到83．26％。