入侵检测报警聚合与关联系统设计与实现

入侵检测系统的大部分报警事件之间都存在某种联系。通过对这些报警的聚合与关联能够消除或减少重复报警，降低误报率及发现高层多步攻击策略。论文设计并实现了一种报警聚合与关联系统，系统主要包括报警聚合、报警校验、多步攻击报警关联和报告分析与规则控制等部分。实验证明：该系统能够减少报警数量，并能识别攻击意图，达到预警的目的。     

入侵检测报警关联技术

报警关联技术分析不同安全产品产生的报警,从中识别出真正有意义的攻击警报,并减少大量的误报警,降低安全管理员的工作量。该文介绍了报警关联的基本模型和主要技术,分析了主要的关联方法,探讨了报警关联技术的发展方向。这些讨论对应用或发展报警关联技术都有参考价值。     

入侵检测系统报警聚合关联研究

针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。     

入侵检测系统报警聚合关联研究

针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。     

入侵告警信息聚合与关联技术综述

告警聚合与关联是入侵检测研究的一个关键问题,可以有效解决IDS在实际应用中存在大量重复告警和高误报率的不足。介绍告警聚合和关联的重要性,对现有告警聚合和关联技术进行深入分析比较;总结归纳现有告警聚合与关联的体系结构与应用准则;对当前研究面临的重要技术难题与发展趋势进行展望。     

入侵检测系统报警信息聚合方法的改进

针对现有基于属性差异的入侵检测系统报警信息聚合算法存在的缺陷,提出一种改进的基于属性差异的报警信息聚合算法。该方法简单、直观。在DARPA2000测试数据集上的测试说明了算法的有效性。     

报警信息聚合研究

入侵检测系统的诸多不完善的因素制约了入侵检测的发展,入侵检测一直也成为人们研究的一个重点,而报警信息聚合可以有效地减少报警数量,提高网络预警能力,对入侵检测系统有着十分重大的意义.首先将报警分成四大类,再判定不同类别中报警信息的关系,进行聚合,最后根据不同的属性找出各报警信息的关联关系.     

入侵报警聚合关联模型的研究与实现

入侵报警聚合关联模型是一个快速、有效的报警分析架构.它通过将低级报警事件与主机脆弱性信息进行聚合、高级报警事件之间进行基于知识库的关联和增加新的功能组件,降低入侵报警的误报率,提高报警的解读性.     

入侵报警管理与入侵响应系统IDAM＆IRS中的自适应报警聚合

本文简要介绍了入侵报警管理与入侵响应IDAM＆IRS系统的结构与功能，阐述了重复报警所造成的安全问题以及报警聚合的必要性。对报警聚合所涉及的有关问题进行了详细的讨论，提出了基于报警类型的自适应报警聚合方法。此方法可以有效聚合重复报警，解决了重复报警所产生的通讯堵塞等问题，能够在报警数量和报警种类之间取得很好的平衡。由于其自适应性，此报警聚合模型为后续深入的报警处理提供了有利支持，较好地解决了安全性与实时性之间的矛盾。     

入侵检测报警信息管理系统设计与实现

入侵检测系统的高误警率成为制约其发展的瓶颈之一。本文首先分析了目前入侵检测系统存在误警的原因,分析了进行报警信息管理的必要性,提出并设计了一个入侵检测系统报警信息管理的模型,最后对系统进行了实验验证,结果表明该系统能有效地减少报警数量。     

网络安全报警关联研究

随着网络攻击的日趋智能化,大量安全设备被部署在网络中,它们在保护网络的同时,也为网络管理员的分析工作带来了新的挑战,如何从这些安全设备产生的海量信息中挑选出有效信息,并还原攻击场景,仅靠人工操作是难以完成的。在这种情况下,网络安全报警关联技术应运而生。该文在分析了几种传统的安全报警关联系统体系结构后,着重介绍了当前比较流行的几种网络安全报警关联方法,并分析了其优缺点。     

一种基于警报数据关联的入侵检测系统模型

入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。     

分布式入侵检测系统中告警相关的研究与实现

现有的告警相关方法处理开销比较大,特别是在告警风暴的情况下有可能无法处理。该文针对这种情况,提出一种改进的、适用于分布式入侵检测系统的告警相关方法,并给出了一个采用这种方法的实现框架及其实验结果。结果表明,改进后的告警相关方法能在告警相关识别率和告警相关准确率保持基本不降低的条件下,告警相关数据处理率降低40％以上,从而可保证告警相关部件在告警风暴的情况下仍有效地工作。     

分布式IDS的报警关联定义

网络规模越来越大。传统的IDS往往存在漏报误报率高、报警太低级的问题,因而不能及时准确反映整个系统的安全态势。网络管理人员不得不面对海量的原始报警信息,如大海捞针般地寻找可能的安全威胁和攻击来源。本文首先讨论了现有IDS的不足;之后给出了报警关联的定义。本文的研究成果已经在“网络安全监控与预警系统”（十五863项目）中得到应用,对分布式入侵检测系统的报警关联设计有重要的参考价值。     

基于模糊综合评判的入侵检测报警信息处理

提出一种基于模糊综合评判的方法来处理入侵检测系统的报警信息、关联报警事件,并引入有监督的确信度学习方法,通过确信度来对报警信息进行进一步的过滤．通过对这些技术手段的综合使用,力求降低误报率和重复报警,逐步减轻网络管理员的工作强度．这种模糊评判所实现的事件关联有助于发现入侵者的行为序列,为事件威胁分析和入侵响应决策打下了基础,并有利于将不同安全产品集成在一起,实现网络系统的立体防御．     

自动入侵响应决策技术的研究综述

简要介绍了自动入侵响应系统的作用和重要性.对自动入侵响应决策技术所涉及的相关问题进行了层次化的划分.阐述了入侵响应目的与策略在入侵相应决策中的作用及其研究状况.对已有自动入侵响应系统中的响应决策因素进行了介绍,分析了响应因素在决策中的作用,并对这些响应因素进行了分类.提出了入侵响应时机的概念,重点讨论了现有各种入侵响应时机决策模型和入侵响应措施决策模型,并对这些模型的特点和存在的问题进行了分析.介绍了入侵检测报警管理与入侵响应系统IDAM&IRS的体系结构、响应时机决策方法、响应措施决策方法和实验情况,并阐述了IDAM&IRS的主要特点.最后,总结了自动入侵响应决策技术的发展方向.     

安全报警事件关联算法研究

已经获得广泛应用的防火墙、IDS、防病毒软件等安全设备在运行过程中会产生大量独立的、原始的报警信息,这些报警信息除了具有海量的特点外,还有比较高的误报率和漏报率,导致用户难于对攻击及时做出响应。利用关联分析的方法对海量报警事件进行分析并提取攻击场景是解决此问题的基本手段。通过简单的分类综述了安全领域中报警事件关联算法的研究现状,并指出了需要进一步研究的问题。