增量挖掘实时报警关联研究

入侵检测技术通过实时获取网络攻击报警信息,对网络安全实施检测、分析和动态防御,有效弥补了防火墙的不足。通过有效处理网络报警信息提高入侵检测的检测率、精确度是当前入侵检测技术研究的重要课题之一。提出了一种实时的增量挖掘入侵检测报警关联方法。该方法使报警事件的聚合操作和报警关联分析控制在小规模数据范围内进行,有效克服了一些数据挖掘算法应用到入侵检测过程中存在的多遍扫描、误报率高和报警信息关联度低问题。实验结果表明,该方法不但可以处理大容量实时网络报警信息,而且在报警信息关联分析和报警事件约减都体现了良好的性能。     

网络安全信息关联分析技术研究与应用*

针对当前网络安全信息分析过程中出现的安全描述片面性、信息可视化程度低和误报警、漏报警现象等问题,提出运用关联方法对网络中的报警和日志信息进行综合分析,用于提高网络安全信息分析能力。给出关联分析的定义和模型,对关联分析的分类和实施方法进行了阐述,并结合相应事例说明了关联分析在网络安全信息分析中的作用。     

网络安全报警关联研究

随着网络攻击的日趋智能化,大量安全设备被部署在网络中,它们在保护网络的同时,也为网络管理员的分析工作带来了新的挑战,如何从这些安全设备产生的海量信息中挑选出有效信息,并还原攻击场景,仅靠人工操作是难以完成的。在这种情况下,网络安全报警关联技术应运而生。该文在分析了几种传统的安全报警关联系统体系结构后,着重介绍了当前比较流行的几种网络安全报警关联方法,并分析了其优缺点。     

NIDS报警信息关联分析进展研究

入侵检测技术是当前网络安全领域的一个研究热点，报警关联分析是其中一个重要部分。通过报警信息的关联分析，可以显著地降低入侵检测系统的误警率，提高它的检测率和可用性，帮助网络管理员更好地掌握当前网络的安全状况。本文对当前国际上报警关联分析技术的研究现状进行了综合分析，并对现有方法进行了分类和比较。     

一种网络安全事件关联分析的专家系统研究

该文针对现有入侵检测系统存在误报率高、漏报率高等问题,提出了一种用于网络安全事件关联分析的专家系统。该方法对共性知识库进行分层立体化建模以提高关联分析性能,提供资产信息和漏洞信息分析模块来提高对重点设备、网络区域、网络安全事件的关注度,并对冗余信息进行剪枝、去重。同时,在专家系统中引入时间流,从而提高系统的实时性。通过真实环境下的实验分析说明该方法能有效提高关联分析性能,具有易添加、易扩充等优势。     

网络安全事件流中异常检测方案研究

伴随着计算机的广泛使用和网络技术的快速发展,信息保密性和网络安全性也变得越来越重要。网络安全事件流中异常检测作为一种主动性的检测技术,不仅可以检测来自外部的入侵行为,还可以检测出内部用户的非授权行为,这已经成为网络安全技术中一个非常重要的组成部分。在数据挖掘和入侵检测理论的基础上,提出一种基于网络数据关联规则的网络异常检测模型,采用数据关联算法网络连接记录分析,通过网络通信中IP网络规模的扩大,以提供和保证网络联通性为主要目标的网络数据信息服务和网络安全检测。     

通信网络安全关键技术

目前在计算机网络安全方面的研究非常热烈，而在通信网络安全方面，安全技术发展还是不能满足需求，通信网络安全服务对象是指在通信网络内流动的所有用户信息和网络息。本文重点讨论的通信网络安全关键技术包括：信息加密技术、通信网络内部协议安全、网络管理安全、内部节点安全策略、通信网入侵检测技术和通信网络安全效果评估技术。同时探讨了各个关键技术的作用、机制和发展趋势。     

基于灰色理论的层次化网络安全态势评估方法

网络安全态势是指某时刻整个系统所处的安全运行状态,网络安全态势评估是安全领域的研究热点之一。文中以能够准确把握一个网络系统的安全态势为目标,设计了一种基于灰色理论的层次化网络安全态势评估方法。该方法利用灰色关联分析法对网络中的攻击要素进行关联,进而在服务、主机、网络等3个层次上综合运用统计技术和专家系统给出的权重来完成相应的态势信息的融合。基于Honeynet数据集的仿真实验结果表明,使用文中设计的方法能够有效而准确地得出网络的总体安全态势。     

大规模网络安全态势分析与预测系统YHSAS

YHSAS系统面向国家骨干网络安全以及大型网络运营商、大型企事业单位等大规模网络环境,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。文章对YHSAS系统的系统架构以及其中的关键技术,包括分布异构网络安全数据集成技术、面向重大网络安全事件发现的关联分析技术、基于数据流和多维分析的网络安全数据实时分析技术、网络安全态势预测技术等。性能测试显示,YHSAS系统在态势分析和预测方面均具有较高的实时性和精度,满足了大规模网络安全态势分析与预测的需求。     

一种基于警报数据关联的入侵检测系统模型

入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。     

一种改进的多源异构告警聚合方案

各类网络安全防御设备产生的大量冗余告警信息非常琐碎、误警率高, 给告警的分析和理解造成较大困难。针对这一问题进行研究, 提出一种改进的多源异构告警数据的聚合方案, 综合分析告警类型、源IP、目的IP、目的端口及时间间隔几个属性, 总结出四个规则, 并在聚合过程中动态更新时间间隔阈值, 提高聚合精确度。实验结果表明, 这种方法能高效减少异构告警信息的数量, 得到精简的超告警数据, 并实现了实时处理告警信息的能力。     

基于事件关联的网络威胁分析技术研究

文章应用事件关联的方法综合IDS等安全设备报警信息进行网络威胁分析,介绍了事件关联基本方法,并提出事件关联分析器体系结构,实验系统测试结果表明,应用事件关联技术有效降低了网络威胁分析中出现的虚警,极大地减少了冗余报警。     

基于云计算技术的网络告警融合分析系统的设计与实现

针对涉密网中安全设备产生的结构多样、数据庞大日志信息,将这些彼此独立的片断信息链接起来,重现整个网络攻击过程,发现攻击者的真正意图,是目前网络安全态势研究的重点和难点。本文基于以上需求,研究多源海量日志数据处理分析技术,构建层次型数据融合处理框架,实现从数据层到特征层,再到决策层的多源海量日志数据的融合处理,设计并实现基于云计算技术的网络告警数据分析系统。     

入侵检测系统的可信性及其改进策略研究

入侵检测系统在网络安全中有重要的作用,但是入侵检测系统的可信性问题一直没有很好解决,成为困扰入侵检测技术发展的一个主要因素.因此,为了改善入侵检测系统的可信性,给出了可信度的数学定义,阐明了可信度和虚警率、漏警率及检测率的关系;分析了产生虚警的原因.以Snort系统为仿真对象,提出了系统的改进结构、关联性分析模块和报警分析器,并对报警分析的3种方法进行了说明;最后介绍了系统的仿真测试和数据分析结果.     

浅谈数据中心开放平台监控集成系统的设计

由于数据中心开放平台生产环境使用了多种监控软件,不利于监控信息的有效管理、处置、决策,需要开发一个数据中心开放平台监控集成系统对监控信息进行整合,以便提高报警问题处理的预判性、规范性。开发过程中采用了标准C及C#开发语言,使用到C/S架构及TongLink中间件技术。整体架构中,主要有采集服务器、分析服务器、数据库服务器、Web服务器以及客户端。其中采集服务器负责汇聚报警信息,分析服务器负责分析及过滤处理等工作。监控集成系统投产后,情况良好,提升了数据中心开放平台的运维保障与管理能力。     

基于树莓派与微信的室内物联网安防系统

为实现对室内环境的安防监控,利用传感器和摄像头对室内环境进行数据采集,并通过树莓派将数据上传至服务器或数据库中,供用户通过微信公众平台查看.当室内环境出现异常情况时,微信公众平台自动向用户发送报警信息,并根据时间间隔和异常情况是否得到处理确定是否重新发送报警信息.测试结果表明:系统工作可靠,可移植性高,对室内安防具有重要意义.     

实验室智能安防报警系统研究

本文主要对实验室智能安防报警系统进行了研究,完成了一种远程安防报警装置控制系统的设计,该系统综合运用单片机、ZigBee无线通信技术,在介绍了系统基本架构及工作原理的基础上,完成了包括安防报警传感器选型在内的软硬件设计过程。该智能安防报警系统完成各传感器信息实时高效的采集和逻辑判断后,向单实验室信息集中节点反馈经处理后的信息,再由主节点汇总处理各集中节点信息并进行实时显示。     

基于流式处理架构的日志采集系统的设计与实现

对信息系统运行记录、操作日志、告警信息的采集问题进行了研究,提出了一种面向泛政府行业安全运行管理平台的统一日志采集系统。采用基于消息队列的流式处理架构,实现日志采集、日志处理、日志上报等各个环节的解耦;采用标准化接口和插件技术,实现各种异构日志信息的采集和数据上报;采用消息队列的流量削峰技术,保证日志传输的安全可靠;依据日志流量特征,提出一种支持动态调整消费组的设计模式,满足系统的高性能要求。整个系统由日志采集、数据上报、数据管理、系统管理、策略管理、Agent管理、日志源管理模块和日志采集代理(Agent)子系统组成,可满足对各类安全数据的集中分析、安全威胁感知和智能研判。     

珠江委网络安全态势感知平台设计与应用

为进一步提升珠江委网络安全防护水平,打造全天候主动防御的网络安全防护体系,梳理当前珠江委网络安全防护的短板,从自动告警、攻击行为重塑、脆弱性分析等方面分析态势感知平台功能需求,依托数据融合、事件关联、态势预测等态势感知关键技术,设计一种符合珠江委网络安全防护需求的态势感知平台。平台架构设计为数据采集、存储分析、核心业务和 BI 展示 4 个层次,主要实现资产管理、风险感知、预警管理和安全态势信息专题展示等功能。基于网络安全态势感知平台,珠江委基本形成事先梳理、风险感知、安全监测、事件分析、事件处置的主动防御体系,安全监测和主动防御能力明显提升,重要信息系统防护均未失陷, 取得较好的应用效果。     

一种基于粗集理论的遗传分类算法

本文提出了一种基于粗集理论的遗传分类算法,该算法可以无需任何辅助信息,只根据数据自身提供的信息对数据进行简化,提取有用的特征,并求得相应的规则.同时,还提出了一种基于属性重要度的分辨矩阵简化方法,该方法可提高对条件属性的约简效率.