基于报警序列的入侵场景自动构建

传统的入侵检测系统(IDS)由于其规则的抽象程度较低,导致一次攻击行为会产生大量重复和相关报警.研究表明,入侵场景可提供较高层次的抽象来表示攻击过程,但是已有研究方法均无法在线生成入侵场景.提出一种自动构建入侵场景的方法,将原始报警按照(源,目标)IP对和优先级分类成不同超报警序列集合,从中挖掘频繁闭序列作为入侵场景.在Darpa数据集上的实验表明,该方法可以满足在线运行,并可有效发现攻击过程.     

一种新的在线攻击意图识别方法研究

现有的利用入侵检测告警来构建攻击场景、识别多步攻击意图的方法存在着需要定义复杂的关联规则、过于依赖专家知识和难以发现完整场景等不足,为此提出了一种基于攻击行为序列模式挖掘方法的攻击意图识别技术.通过分析入侵告警的攻击行为序列,挖掘出多步攻击的行为模式,再进行在线的告警模式匹配和告警关联度计算来发现攻击者的攻击意图,预测攻击者的下一步攻击行为.实验结果表明,该方法可以有效的挖掘出攻击者的多步攻击行为模式,并能有效的实现在线的攻击意图识别.     

基于报警时序信息挖掘的报警关联分析方法

面对现代流程工业监控系统报警泛滥问题,为了寻找报警根源以减少无效报警,并针对传统方法在面对大量的报警数据时计算效率低下的问题,提出了一种基于报警数据时序信息挖掘的报警关联分析方法.通过将报警时序信息进行区块化处理,将报警时间序列转换为报警时间的节点序列,然后将区块之间的匹配度作为报警关联度的评价标准,减少了关联分析的运算量;采用滑动窗口比对计算相关报警时间序列的时间关联信息;采用TE过程（Tennessee Eastman process）数据,验证了所提方法的有效性.     

基于不确定性知识发现的入侵报警关联方法

针对入侵检测系统报警信息量大、琐碎和分散的问题,提出了一种基于不确定性知识发现的入侵报警关联方法。该方法的知识发现部分采用提出的不确定性序列模式发现算法—CWINEPI对报警数据进行序列模式发现,并将经过筛选后获得的入侵报警序列模式转化成入侵报警精简规则;再对入侵报警序列模式进行关联以获取攻击模式,并转化为入侵场景重建规则。入侵报警关联部分利用获取的入侵报警精简规则和入侵场景重建规则,以模式匹配方法构造报警关联引擎,对多个入侵检测系统上报的入侵报警进行关联。美国国防部高级研究计划局2000年入侵评测数据（DARPA2000）的报警数据验证了知识发现部分的良好性能;测试环境中的入侵报警的关联结果表明了该方法是高效、可行的。     

基于数据世系的网络协同入侵检测系统

目前还没有很好的入侵检测方法可以直接对网络复合攻击进行关联分析并获得较好的超报警规则.针对此问题,提出一种基于数据世系的网络协同入侵检测新方法:采用SYSLOG机制设置日志服务器,通过PERM重写技术获得日志世系数据库;利用where世系定位复合攻击者,why世系重构攻击过程,并获得攻击链的信息和超报警规则.数据世系理论和实验证明新方法是可行和有效的.     

基于网络安全知识库的入侵检测模型

在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据过滤、攻击企图分析和态势评估引擎。该模型采用进化型自组织映射发现同源的多目标攻击;采用时间序列分析法获取的关联规则来进行在线的报警事件的关联,以识别时间上分散的复杂攻击;最后对主机级和局域网系统级威胁分别给出相应的评估指标以及对应的量化评估方法。相比现有的IDS,该模型的结构更加完整,可利用的知识更为丰富,能够更容易地发现协同攻击并有效降低误报率。     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

基于场景和PN机的入侵检测研究

攻击者通过从一个攻击序列衍生出大量变种攻击序列来逃避基于规则及其它误用检测技术的检测.基于此,针对可序列化的入侵,从攻击机理入手,提取攻击的关键操作序列,构造入侵行为表达式,再对攻击序列进行拓扑排序和同构变换,以扩展形成一个入侵场景或一类入侵.进而提出了面向场景和检测一类入侵行为的方法,通过构建基于场景和检测一类入侵行为的PN(Petri Net)机来实现检测已知攻击及其未知变种攻击的目标.未知变种攻击也是一些新的攻击形态,因而从这种意义上说,该方法能检测到新的攻击行为.     

一种基于数据挖掘的拒绝服务攻击检测技术

提出了一种新的、基于数据挖掘的DoS攻击检测技术--DMDoSD,它首先利用Apriori关联算法从原始网络数据中提取流量特征,然后利用K-means聚类算法自适应地产生检测模型,这两种算法的结合能够实时地、自动地、有效地检测DoS攻击.DMDoSD除了向现有的IDS发出攻击报警外,还进一步利用关联算法分析异常网络数据包,确定攻击特征,为DoS攻击的防御提供支持.     

网络安全信息管理与分析系统研究与实现

网络安全产品之间由于缺乏数据信息交换机制,导致了各自的安全信息不能彼此共享;同时为了解决网络上大量的报警和误报,这就需要找出网络检测数据深层次关系,并高效地检测已知、未知的攻击,由此提出了网络安全的信息管理与分析系统,同时给出了事件聚合、关联分析方法,提取关联规则,达到进一步聚合安全事件,从而达到全面分析的目的.