共查询到20条相似文献,搜索用时 321 毫秒
1.
基于ECA规则的入侵检测研究 总被引:2,自引:2,他引:0
入侵检测系统一般只对入侵行为所引起的事件或系统特征进行分析,而往往忽略了入侵事件间的关联特征,以及入侵事件和系统状态间的联系。文章将ECA规则引入到入侵检测系统中,同时对系统动态特性和静态特性进行了分析,从而提高入侵检测的能力。 相似文献
2.
针对传统基于内容相似度的事件关系计算方法不能分析出事件间的潜在关系的问题,提出了基于FCA的事件关系计算方法。该方法利用根据话题的三层结构模型,对话题中的事件进行属性提取,并依据特征频率因子进行属性选择。利用两个事件之间的属性关系建立形式背景,以此为基础形成概念格。用基于概念格的相似度分析发现事件之间潜在。实验证明了这种方法的有效性。 相似文献
3.
目前网络攻击呈现高隐蔽性、长期持续性等特点,极大限制了恶意网络行为检测对网络攻击识别、分析与防御的支撑。针对该问题,提出了一种基于事件流数据世系的恶意网络行为检测方法,采用事件流刻画系统与用户及其他系统间的网络交互行为,构建数据驱动的事件流数据世系模型,建立面向事件流数据世系相关性的异常检测算法,从交互数据流角度分析和检测恶意网络行为事件,并基于事件流数据世系追溯恶意网络行为组合,为网络攻击分析提供聚焦的关联性威胁信息。最后通过模拟中间人和跨站脚本组合式网络渗透攻击实验验证了方法的有效性。 相似文献
4.
针对计算机入侵取证中计算机证据具有易删改、易丢失、来源众多、内容繁杂等特点,论述入侵事件重构技术的最新发展状况,从系统应用层对象/事件和操作系统层对象/事件2个方面分析入侵重构的主要证据来源,介绍现有入侵事件重构中主流的重构工具,研究常用的入侵事件重构方法,包括基于时间戳的日志分析、语义完整性检查、基于操作系统层对象的依赖追踪技术、基于有限状态机模型的事件重构模型等,总结各种方法的优缺点。在重构效率、重构误报率、证据可信度、证据真实性和重构环境等方面对入侵事件重构方法进行比较,讨论入侵事件重构技术未来的研究前景。 相似文献
5.
6.
7.
针对目前电子取证入侵重构多用事后分析的方式导致分析信息不完整的问题,定义入侵事件的形式化描述和黑客攻击场景的表示,将事件关联方法引入电子取证入侵重构分析中,建立了事件关联的动态实时电子取证入侵重构系统,该系统预先了因果关联表,找出事件问的因果关联度,并消除它们的冗余关系,来获得入侵过程图。最后,通过一个实例来说明通过关联部分攻击片断来构建一个完整的攻击场景的过程。 相似文献
8.
9.
CPS(Cyber-Physical System)系统中的Cyber系统旨在根据用户要求,应用计算、通信和控制等技术实现对现实世界物理行为的精准控制.物理行为是连续和并发的,而Cyber行为是离散的,这种异构性给Cyber系统行为的分析和设计带来了巨大的挑战,迫切需要一种精确的模型来捕获Cyber系统与外界的交互行为语义.按照行为角色的不同,分析了CPS系统的抽象组成架构,阐述了各实体的行为;提出了一种基于事件-响应关系的Cyber系统行为模型,给出了事件的形式化定义和各类事件的形成规则的语法和语义,对事件的属性取值条件和时序特性进行了详细刻画;在此基础上,定义了事件-响应关系模型的语法和语义;最后以智能探测车为例,分析了该模型在Cyber系统设计与开发中的作用,并提出了进一步的研究工作. 相似文献
10.
使用异常情况或标识的传统入侵检测模型,检测粒度较大,精度较差,且占用系统资源较多。针对上述问题,提出了分布式异常事件融合入侵检测模型。该模型通过事件跟踪等方法降低检测粒度;采用分布式的多节点灰度关联度算法,进行异常事件的信息融合,进行异常事件分析处理。仿真实验证明,该模型的入侵检测精度较高,而系统资源消耗较少。 相似文献
11.
入侵特征对于入侵检测系统至关重要,它们往往由系统属性和事件序列组成,时序关系是描述它们的关键。ISITL(Intrusion Signatures based on Interval Temporal Logic)是一种较高抽象程度的入侵特征形式化描述语言,它对Allen的时段时态逻辑进行了实时描述的扩充,从而加强了其入侵特征的描述能力。在ISITL中,所有的系统属性和事件都与相应的时段紧密相连,其相互关系用13个基本函数和3个扩展函数来描述。与其它入侵特征描述语言相比,ISITL具有简单易用,描述能力强等优点。 相似文献
12.
一个入侵特征的时间语义模型 总被引:1,自引:0,他引:1
入侵特征由系统属性和事件序列组成,时序关系是描述它们的关键。ISITL是一种基于Allen的时段时态逻辑和一阶谓词逻辑的入侵特征形式化描述语言,它将系统属性和事件与相应的时段紧密相连,时段间的相互关系用13个基本函数和3个扩展函数来描述。在基于多代理的计算机免疫系统MACIS中,根据ISITL描述设计的检测器确保了较低的“漏报率”和“误报率”。 相似文献
13.
为了增强IDS(Intrusion Detection System)在广域网中的健壮性,本文在对几种典型的入侵检测模型进行分析的基础上,提出了抗攻击的基于移动代理的分布式入侵检测模型(Mobile Agent Based Distributed Intrusion Detection System Model,MABDIDSM).MABDIDSM利用移动代理(mobile agent)在各局域网的控制台之间做环行移动,将各控制台上的入侵事件收集到管理中心进行综合分析处理.如果管理中心受到攻击,移动代理能够在剩余的控制台中选出新的管理中心,因此MAB-DIDSM在广域网范围内具有较强的抗攻击能力. 相似文献
14.
分析了当前的入侵检测技术的发展及存在的主要缺陷,介绍了移动Agent的概念及其优点,提出了一种新的基于移动Agent的分布式入侵检测模型MABDIDS。MABDIDS利用移动Agent的优点,设计了针对主机和网络两种环境而分别具有不同运行机制的两种检测主体,通过将多个监控节点组织成层次结构来协同实现分布式入侵检测,解决了当前分布式入侵检测系统中存在的主要问题。 相似文献
15.
16.
提出并实现了一种移动节点入侵判别,该方法依据入侵之间的事件检测序列关联关系,运用图论和邻接矩阵的方法求出根入侵集,由入侵相关性确定源入侵节点,有效地起到入侵过滤的功能。经实验证明,该方法具有很强的实效性。 相似文献
17.
石凌云 《数字社区&智能家居》2009,(16)
入侵检测是网络安全技术领域的主要研究方向之一。将数据挖掘技术应用到入侵检测系统中,可以减少手工编写入侵行为模式和正常行为模式的工作量。该文从介绍网络安全技术和入侵检测技术入手,分析了基于数据挖掘的入侵监测技术的特点及其应用。 相似文献
18.
石凌云 《数字社区&智能家居》2009,5(6):4120-4121
入侵检测是网络安全技术领域的主要研究方向之一。将数据挖掘技术应用到入侵检测系统中.可以减少手工编写入侵行为模式和正常行为模式的工作量。该文从介绍网络安全技术和入侵检测技术入手,分析了基于数据挖掘的入侵监测技术的特点及其应用。 相似文献
19.
20.
802.11无线局域网入侵检测技术的研究与应用 总被引:1,自引:1,他引:0
无线局域网(WLAN)因其无线信道的特殊性,较传统有线网更易受到攻击。入侵检测是较主动的安全监控技术,能防止外部的入侵还能检测内部的非法使用。研究将入侵检测应用于WLAN,将会提高WLAN的主动防御能力。据WLAN工作协议IEEE802.1的特点,选择其媒体接入MAC层和LLC层的关键字段作入侵检测的分析对象,提出了WLAN下入侵检测数据包捕获和入侵分析方法。针对WLAN不同类别的入侵检测事件进行了入侵检测方案设计。对经典入侵工具NetStumbler、Wellenreiter的入侵机理进行分析,找到了入侵检测的方法。据WLAN的两种基本工作模式,提出了基于主机检测和网络检测相结合的分布式入侵检测模型,并给出了实现的模块框架图。结合实例的WLAN入侵检测方案设计具有较强的针对性和实用性。 相似文献