一种基于信息熵的IDS告警预处理方法

针对目前入侵检测系统存在的海量重复告警、误报率偏高、告警质量低下等问题，提出一种基于信息熵的IDS告警预处理方法，用于减少误告警，聚合相似告警，生成代表单步攻击意图的超告警。首先，对IDS告警进行特征提取，用告警密度、告警周期值、源IP对应的目的IP数与攻击源威胁度这4个特征的信息熵融合结果表示一条告警所具有的特征信息量。通过与误告警的特征向量进行互雷尼信息熵的计算，从而识别出误告，并且去除误告。然后对误告去除后的告警按照IP对应关系，划分为2类：一种源IP对应一种目的IP的告警以及一种源IP对应多种目的IP的告警。分别对2类告警进行特征统计，构造5维特征信息熵向量，采用DBSCAN算法将信息量相同或者相似的告警进行聚类。最后对各个类别的告警进行动态时间窗口划分，并构建出代表单步攻击意图的超告警。实验结果表明，基于信息熵的告警预处理方法误告去除率为87.43%，告警聚合率达到98.63%，具有较好的误告去除效果以及较高的告警聚合率。     

基于多源告警的攻击事件分析

为解决多源告警中的复杂攻击难以被发现的问题,提出一种攻击序列模式挖掘算法。利用正则表达式匹配告警,将多源告警规范化为统一格式。对冗余告警信息进行压缩,利用强关联规则训练得到的规则集聚合同一阶段的告警,有效去除冗余告警,精简告警数量。利用滑动窗口对聚合后的告警进行划分得到候选攻击事件数据集,通过改进的PrefixSpan算法挖掘得到多阶段攻击事件的攻击序列模式。实验结果表明,该算法在不依赖专家知识的前提下,能够准确并高效地分析告警相关性,还原攻击事件中的攻击步骤。相比传统PrefixSpan算法,提出的改进算法的攻击模式挖掘效率提升了48.05%。     

基于多元数据融合的网络侧告警排序方法

部署在网络节点上的网络安全监控系统每天会生成海量网络侧告警,导致安全人员面临巨大压力,并使其对高风险告警不再敏感,无法及时发现网络攻击行为.由于网络攻击行为的复杂多变以及网络侧告警信息的局限性,已有面向IT运维的告警排序/分类方法并不适用于网络侧告警.因此,本文提出基于多元数据融合的首个网络侧告警排序方法NAP (Network Alert Prioritization).NAP首先设计一个基于源IP地址与目的IP地址的多策略上下文编码器,用于捕获告警的上下文信息.其次NAP设计一个基于注意力机制双向GRU模型与ChineseBERT模型的文本编码器,从告警报文等文本数据中学习网络侧告警的语义信息.最后NAP构建排序模型得到告警排序值,并按其降序将攻击性强的高风险告警排在前面,从而优化网络侧告警管理流程.在3组绿盟科技网络攻防数据上的实验表明,NAP能够有效且稳定地排序网络侧告警,并且显著优于对比方法.例如:平均排序指标NDCG@k (k∈[1,10])(即前1至10个排序结果的归一化折损累计增益)均在0.8931至0.9583之间,比最先进的方法提升64.73%以上.另外,通过将NAP应用于我校真实的网络侧告警数据,本文进一步证实其实用性.     

民航旅客服务信息系统告警关联规则挖掘

告警关联规则挖掘是进行系统故障诊断、定位的重要方法。由于民航旅客服务信息系统的各子系统之间的关联关系,子系统一旦出现故障,会报出大量甚至海量的告警信息,使得维护人员在大量告警数据面前无法准确进行故障定位。针对故障诊断、定位等难题,提出基于滑动时间窗口框架的关联规则挖掘方法,在大量告警信息中寻找故障源、故障因素之间的关联。实验结果表明,提出的方法能准确、快速地发现有价值的告警关联规则,为系统维护人员提供决策支持。     

基于多源安全信息的告警校验与聚合技术

针对网络入侵检测系统产生大量低质量告警的问题，提出了基于多源安全信息的告警校验与聚合技术，采用一阶谓词逻辑对告警校验进行了建模，并综合分析告警的时间、空间、攻击类型三维属性，对告警进行聚合。提出的方法能够实时、有效地滤除无关告警，消除冗余度，实现告警的精简。     

基于数据挖掘的网管告警处理方法研究

为了方便电力行业网管人员能够快速的从这些告警中找到有用信息,迅速的定位设备故障。本文设计了由接口告警采集、故障处理系统、告警相关性分析模块等构成处理框架。采用过滤告警、补全缺值数据、去重等方式进行数据预处理。通过告警发现和相关性分析机制实现告警的匹配和识别,利用基于关联规则的方法对告警信息挖掘。采用本文设计的方法,能够有效的实现网管系统的告警信息的挖掘分析,提高网管的效率。     

一个用于IDS告警分析的验证-聚类-关联模型

多步骤攻击是当前占据主流的攻击模式,但当前的入侵检测系统在检测这种攻击时存在告警冗余、告警孤立等问题.为解决这些问题,提出了一个验证-聚类-关联告警分析模型.该模型将验证、聚类、关联这3个告警分析环节结合在一起,逐层地对告警信息进行分析,通过验证过滤掉原始告警信息中的误报及无关信息,验证后的有效告警信息通过聚类生成无冗余的单步告警,再通过关联生成能描述攻击者意图的全局告警.对相关的算法与规则进行了描述,并通过几个实际的攻击场景验证了该模型的有效性.     

基于优化正则表达式的文本告警信息的提取和分析

目前,随着各种基于IT的应用系统变得越来越大、越来越复杂,如何分析其告警日志也变得越来越困难。该文介绍了一种基于优化正则表达式的文本告警信息提取分析方法,该方法对告警信息的二次处理和格式化输出是可动态配置的,它不但能够通过动态配置告警正则表达式来实现告警信息的提取,还能够按需生成需要的报告,包括告警的原始数据、统计报告和图表的输出等,这大大地减轻系统管理员和系统研发人员的对告警信息的分析工作。     

基于关联规则的通信网络告警相关性分析模型

在通信网络运行过程中．每天都会产生大量告警，将数据挖掘中的关联规则发现技术用于分析历史告警数据，可发现告警相关性规则。这些规则可辅助故障定位和告警过滤，以减轻网络管理员的工作强度，提高工作效率。本文分析了通信网络原始告警信息的特点，提出了一个基于关联规则的通信网络告警相关性分析模型，该模型通遏对原始告警数据进行预处理，不仅有效地解决了网络告警时间不同步问题，使得处理后的告警数据可直接用一般的关联规则挖掘工具发现告警相关规则，还大大地压缩了挖掘结果，提高了规则的准确率。初步的实验表明这种分析模型具有实用价值。     

计算机网络中告警数据处理技术的研究

本文在分析电信传输网中故障和告警管理的现状基础上,提出了告警数据处理的要求和处理流程,并着重阐述了告警数据处理的关键技术-关联分析,通过对网络中各类告警信息的关联分析,进行故障的快速定位和告警分析。     

基于特征属性信息熵的网络异常流量检测方法

针对网络异常流量检测问题,文章提出一种基于网络流量特征属性信息熵的异常流量检测方法。该方法首先计算描述网络流量特征变化的源端口号、目的端口号、源IP地址和目的IP地址这4种特征属性信息熵,并进行归一化处理,降低异常样本数据对分类性能的影响;然后利用自适应遗传算法对支持向量机分类器的惩罚参数和核函数参数进行优化,提高分类器泛化能力,同时改进遗传算法的交叉算子和变异算子,减少支持向量机分类器的训练时间;最后通过训练好的支持向量机分类器识别4种流量特征属性信息熵的变化以实现网络异常流量检测。仿真实验表明,该方法提取的4种流量特征属性信息熵能够有效表征异常流量变化,在多种异常流量类型条件下,具有较高的异常流量识别率和较低的误判率,且检测方法的鲁棒性较好。     

融合规则的条件随机场DDoS攻击检测方法

基于流量突发性、源IP地址的分散性、流非对称性等单一手段进行DDoS攻击检测,存在准确率低,虚警率高等问题。利用条件随机场不要求严格独立性假设与综合多特征能力的优点,提出了基于CRF模型融合特征规则集实现对DDoS攻击的检测方法,采用单边连接密度OWCD、IP包五元组熵IPE组成多维特征向量,仿真结果表明,在DARPA2000数据集下,检测准确率达99.82%、虚警率低于0.6%,且在强背景噪声干扰下无明显恶化。     

基于流连接信息熵的DDoS攻击检测算法

分析了分布式拒绝服务(DDoS)攻击的特点，提出了流连接信息熵的定义，并通过对流连接信息熵时间序列的分析，采用非参数CUSUM算法进行DDoS攻击检测。该检测方法对固定IP、端口号随机变化的DDOS攻击有比较好的检测效果。实验结果证明，该方法能够以较高的精确度及时地检测出DDoS 攻击行为。     

基于倒排列表的网流索引检索与压缩方法

随着计算机的广泛应用以及互联网的飞速发展,互联网流量呈现爆炸式增长的态势。为了应对日益严重的网络滥用以及网络安全事件,出于安全取证的需要,必须对互联网流量进行收集、存储和分析。互联网流量的监控需要及时统计网络流量的源地址、目的地址、源端口、目的端口、协议、时间戳等信息,以便进行流量统计和综合分析。但是网络流量信息是海量的,如何快速检索相关流量是一个挑战性问题。在搜索引擎中,为了处理海量数据检索,倒排索引是快速搜索技术的关键方法。文章把搜索引擎中的倒排索引方法和索引压缩算法应用到互联网网流信息检索中。通过实验测试和验证,在网流信息检索中,倒排索引以及索引压缩算法能够有效提高检索速度。     

分布式异构网络恶意攻击取证及预警方法研究

传统的网络恶意攻击取证方法对恶意攻击行为的检查不全面、恶意攻击行为相似度分辨准确性低。为此,提出了一种分布式异构网络恶意攻击取证及预警方法。利用CVSS计算器对网络恶意攻击行为的严重等级进行评估,结合灰关联分析法建立灰关联模型,对评估要素进行量化处理;在此基础上,获取并处理日志、事件、警告和证据信息,建立证据库。根据取证结果,结合TOP-K预警策略实现分布式异构网络恶意攻击的预警和预警信息储存。实验结果表明,所提方法对恶意攻击行为的查全率和恶意攻击行为相似度分辨的准确性较高,且预警反应耗时较短,不仅能够准确检测恶意攻击行为,还能够及时发出警报,有效维持分布式异构网络的安全性。     

一种基于种族分类进化的QoS异构组播路由机制

随着新型网络应用的大量涌现,传统的网络技术已无法满足当前应用在带宽、延迟及出错率等方面的需求,IP over DWDM光互联网以其独特性能优势成为研究热点。基于种族分类进化算法,提出了一种IP over DWDM光互联网服务质量QoS异构组播路由机制。具体地,利用概率论方法处理网络状态参数信息的不确定性;引入模糊数学方法,确定用户对QoS的需求并提供柔性QoS支持;综合考虑网络提供方和用户方的利益,设计公平的带宽定价方法。仿真结果表明,该路由机制获得了良好的综合性能指标,可以有效地解决IP over DWDM光互联网中的柔性QoS异构组播路由选择问题。     

异构网络高速公路的事故感知与报警方法

设计了一种基于异构网络的高速公路事故报警系统.基于该系统,提出了一种高速公路事故感知方法,并设计了异构硬件网络、交互通信协议和事故感知策略.通过设定不同的事故场景,用实验对事故感知方法进行了验证.结果表明,设计的交通事故感知方法实现了对按键报警信息、节点故障信息和总线异常信息的正确判断.     

基于MSP430单片机的车辆蓄电池报警器设计

在分析比较几种常见蓄电池剩余电量检测方法的基础上,介绍了利用MSP430单片机设讣车辆蓄电池报警器的上作要点。该报警器实现了特定条件下蓄电池剩余电量指示,蓄电池内阻大报警,充电电压过高报警,非规范启动（单次起动时间超过5S、两次启动间隔时间少于15S、连续启动次数超过3次）发动机提爪报警等功能,具有实用价值。     

大规模定制模式下多类型评价信息的多目标生产指派问题

针对大规模定制模式下具有直觉模糊数、三角模糊数、语言评价、区间数等多类型评价信息的多目标生产指派问题,提出一种新的生产指派方法.首先,建立大规模定制模式下满意度评价指标体系;然后,通过计算不同类型的评价信息与负理想点的距离,以及正理想点与负理想点的距离,定义顾客满意度和企业满意度;最后,以顾客满意度最大化和企业满意度最大化为目标,建立多目标生产指派优化模型,并通过求解生产指派模型得到生产指派结果.最后通过一个算例验证所提生产指派方法的可行性和有效性.