基于ECA规则的入侵检测研究

入侵检测系统一般只对入侵行为所引起的事件或系统特征进行分析,而往往忽略了入侵事件间的关联特征,以及入侵事件和系统状态间的联系。文章将ECA规则引入到入侵检测系统中,同时对系统动态特性和静态特性进行了分析,从而提高入侵检测的能力。     

一种基于形式概念分析的事件演化分析算法

针对传统基于内容相似度的事件关系计算方法不能分析出事件间的潜在关系的问题,提出了基于FCA的事件关系计算方法。该方法利用根据话题的三层结构模型,对话题中的事件进行属性提取,并依据特征频率因子进行属性选择。利用两个事件之间的属性关系建立形式背景,以此为基础形成概念格。用基于概念格的相似度分析发现事件之间潜在。实验证明了这种方法的有效性。     

基于事件流数据世系的恶意网络行为检测方法

目前网络攻击呈现高隐蔽性、长期持续性等特点,极大限制了恶意网络行为检测对网络攻击识别、分析与防御的支撑。针对该问题,提出了一种基于事件流数据世系的恶意网络行为检测方法,采用事件流刻画系统与用户及其他系统间的网络交互行为,构建数据驱动的事件流数据世系模型,建立面向事件流数据世系相关性的异常检测算法,从交互数据流角度分析和检测恶意网络行为事件,并基于事件流数据世系追溯恶意网络行为组合,为网络攻击分析提供聚焦的关联性威胁信息。最后通过模拟中间人和跨站脚本组合式网络渗透攻击实验验证了方法的有效性。     

计算机入侵取证中的入侵事件重构技术研究

针对计算机入侵取证中计算机证据具有易删改、易丢失、来源众多、内容繁杂等特点,论述入侵事件重构技术的最新发展状况,从系统应用层对象/事件和操作系统层对象/事件2个方面分析入侵重构的主要证据来源,介绍现有入侵事件重构中主流的重构工具,研究常用的入侵事件重构方法,包括基于时间戳的日志分析、语义完整性检查、基于操作系统层对象的依赖追踪技术、基于有限状态机模型的事件重构模型等,总结各种方法的优缺点。在重构效率、重构误报率、证据可信度、证据真实性和重构环境等方面对入侵事件重构方法进行比较,讨论入侵事件重构技术未来的研究前景。     

基于拟间接依赖的过程模型挖掘方法

过程挖掘旨在从信息系统所记录的事件日志中挖掘出人们需要的且合理的过程模型,从而有助于改善或重建业务流程。以往的方法大多是根据任务间的直接依赖关系构建过程模型,具有很大的局限性。现存的过程挖掘方法中,虽然有能挖掘间接依赖的方法,其却没有从过程行为的角度进行分析。基于拟间接依赖的过程模型挖掘方法,把行为轮廓融入其中,依据行为轮廓建立初始模型;然后基于增量日志和拟间接依赖关系调整模型;最后根据评价标准选出最优模型。此方法特别适用于挖掘含有间接依赖的过程模型。     

数据融合的协同网络入侵检测

探讨并建立了一个基于多代理和数据融合技术的协同网络入侵检测模型,给出了协同网络入侵检测模型的体系结构及其组件,论述了从网络数据包中提取内容、网络连接与网络通信三种特征,生成可疑入侵事件,设计并实现了入侵事件检测代理（基于特征的检测代理和基于统计的检测代理）,通过融合中心进一步改善了检测效果,实验结果表明了该模型的有效性。     

基于事件关联的电子取证实时入侵重构

针对目前电子取证入侵重构多用事后分析的方式导致分析信息不完整的问题，定义入侵事件的形式化描述和黑客攻击场景的表示，将事件关联方法引入电子取证入侵重构分析中，建立了事件关联的动态实时电子取证入侵重构系统，该系统预先了因果关联表，找出事件问的因果关联度，并消除它们的冗余关系，来获得入侵过程图。最后，通过一个实例来说明通过关联部分攻击片断来构建一个完整的攻击场景的过程。     

事件关系表示模型

事件关系的表示及事件推理是基于事件的知识处理的核心内容。文章提出了事件影响因子的概念来刻画事件间相互影响的强弱,给出了一种事件影响因子的计算方法。在此基础上,建立了事件关系图ERM(Event Relationship Map)来描述领域中事件之间的关系。依据事件关系和事件要素可以进行事件推理,重点阐述了ERM上基于关系的事件推理算法。最后,做了一个事件关系推理的实验,结果证明所提模型及算法与人的主观判断相一致,是合理可行的。     

一种基于事件-响应关系的Cyber系统行为模型

CPS(Cyber-Physical System)系统中的Cyber系统旨在根据用户要求,应用计算、通信和控制等技术实现对现实世界物理行为的精准控制.物理行为是连续和并发的,而Cyber行为是离散的,这种异构性给Cyber系统行为的分析和设计带来了巨大的挑战,迫切需要一种精确的模型来捕获Cyber系统与外界的交互行为语义.按照行为角色的不同,分析了CPS系统的抽象组成架构,阐述了各实体的行为;提出了一种基于事件-响应关系的Cyber系统行为模型,给出了事件的形式化定义和各类事件的形成规则的语法和语义,对事件的属性取值条件和时序特性进行了详细刻画;在此基础上,定义了事件-响应关系模型的语法和语义;最后以智能探测车为例,分析了该模型在Cyber系统设计与开发中的作用,并提出了进一步的研究工作.     

基于灰色关联事件融合的入侵检测模型

使用异常情况或标识的传统入侵检测模型,检测粒度较大,精度较差,且占用系统资源较多。针对上述问题,提出了分布式异常事件融合入侵检测模型。该模型通过事件跟踪等方法降低检测粒度;采用分布式的多节点灰度关联度算法,进行异常事件的信息融合,进行异常事件分析处理。仿真实验证明,该模型的入侵检测精度较高,而系统资源消耗较少。     

入侵特征的时间语义分析及实现

入侵特征对于入侵检测系统至关重要，它们往往由系统属性和事件序列组成，时序关系是描述它们的关键。ISITL(Intrusion Signatures based on Interval Temporal Logic)是一种较高抽象程度的入侵特征形式化描述语言，它对Allen的时段时态逻辑进行了实时描述的扩充，从而加强了其入侵特征的描述能力。在ISITL中，所有的系统属性和事件都与相应的时段紧密相连，其相互关系用13个基本函数和3个扩展函数来描述。与其它入侵特征描述语言相比，ISITL具有简单易用，描述能力强等优点。     

一个入侵特征的时间语义模型

入侵特征由系统属性和事件序列组成,时序关系是描述它们的关键。ISITL是一种基于Allen的时段时态逻辑和一阶谓词逻辑的入侵特征形式化描述语言,它将系统属性和事件与相应的时段紧密相连,时段间的相互关系用13个基本函数和3个扩展函数来描述。在基于多代理的计算机免疫系统MACIS中,根据ISITL描述设计的检测器确保了较低的“漏报率”和“误报率”。     

抗攻击的基于移动代理的分布式入侵检测模型

为了增强IDS（Intrusion Detection System）在广域网中的健壮性，本文在对几种典型的入侵检测模型进行分析的基础上，提出了抗攻击的基于移动代理的分布式入侵检测模型（Mobile Agent Based Distributed Intrusion Detection System Model，MABDIDSM）．MABDIDSM利用移动代理（mobile agent）在各局域网的控制台之间做环行移动，将各控制台上的入侵事件收集到管理中心进行综合分析处理．如果管理中心受到攻击，移动代理能够在剩余的控制台中选出新的管理中心，因此MAB-DIDSM在广域网范围内具有较强的抗攻击能力．     

一种基于移动Agent的分布式入侵检测系统模型MABDIDS

分析了当前的入侵检测技术的发展及存在的主要缺陷,介绍了移动Agent的概念及其优点,提出了一种新的基于移动Agent的分布式入侵检测模型MABDIDS。MABDIDS利用移动Agent的优点,设计了针对主机和网络两种环境而分别具有不同运行机制的两种检测主体,通过将多个监控节点组织成层次结构来协同实现分布式入侵检测,解决了当前分布式入侵检测系统中存在的主要问题。     

入侵检测技术研究

入侵检测系统通过监视运行系统的状态与活动,检测出非授权和恶意的网络访问行为,及时产生入侵告警,为入侵对抗提供有效的支持,文中从网络安全和网络入侵入手,分析了现有入侵检测系统（IDS）实现策略和公共入侵检测框架（CIDF）理论。     

移动自组网络中的入侵节点判别

提出并实现了一种移动节点入侵判别,该方法依据入侵之间的事件检测序列关联关系,运用图论和邻接矩阵的方法求出根入侵集,由入侵相关性确定源入侵节点,有效地起到入侵过滤的功能。经实验证明,该方法具有很强的实效性。     

数据挖掘在网络入侵检测中的运用

入侵检测是网络安全技术领域的主要研究方向之一。将数据挖掘技术应用到入侵检测系统中,可以减少手工编写入侵行为模式和正常行为模式的工作量。该文从介绍网络安全技术和入侵检测技术入手,分析了基于数据挖掘的入侵监测技术的特点及其应用。     

数据挖掘在网络入侵检测中的运用

入侵检测是网络安全技术领域的主要研究方向之一。将数据挖掘技术应用到入侵检测系统中．可以减少手工编写入侵行为模式和正常行为模式的工作量。该文从介绍网络安全技术和入侵检测技术入手,分析了基于数据挖掘的入侵监测技术的特点及其应用。     

基于安全状态信息库的入侵检测系统研究

主要介绍了入侵检测系统的相关概念、分类和入侵检测算法,在对各种技术进行分析、比较的基础上提出了基于安全状态信息库的入侵检测系统。该系统通过建立系统安全状态数据库,在考虑入侵行为的同时也考虑到了受保护系统的防范能力;通过建立可疑主机数据库,对不同威胁级别的主机可以采用不同的检测和响应手段。     

802.11无线局域网入侵检测技术的研究与应用

无线局域网(WLAN)因其无线信道的特殊性,较传统有线网更易受到攻击。入侵检测是较主动的安全监控技术,能防止外部的入侵还能检测内部的非法使用。研究将入侵检测应用于WLAN,将会提高WLAN的主动防御能力。据WLAN工作协议IEEE802.1的特点,选择其媒体接入MAC层和LLC层的关键字段作入侵检测的分析对象,提出了WLAN下入侵检测数据包捕获和入侵分析方法。针对WLAN不同类别的入侵检测事件进行了入侵检测方案设计。对经典入侵工具NetStumbler、Wellenreiter的入侵机理进行分析,找到了入侵检测的方法。据WLAN的两种基本工作模式,提出了基于主机检测和网络检测相结合的分布式入侵检测模型,并给出了实现的模块框架图。结合实例的WLAN入侵检测方案设计具有较强的针对性和实用性。