基于状态机的入侵场景重构关键技术研究

分析了现有的各种安全事件关联算法,提出了一种基于状态机的攻击场景重构技术.基于状态机的攻击场景重构技术将聚类分析和因果分析统一起来对安全事件进行关联处理,为每一种可能发生的攻击场景构建一个状态机,利用状态机来跟踪、记录攻击活动的发展过程,以此来提高关联过程的实时性和准确性.最后通过DARPA2000入侵场景测试数据集对所提出的技术进行了分析验证.     

网络安全事件关联分析技术与工具研究

当前,以APT为代表的新型网络安全攻击事件频发并造成了巨大危害,其定制性、隐蔽性、持续性等特点使得传统攻击检测方法难以奏效。然而,随着大数据技术的日益发展,对各类安全相关事件及系统运行环境信息进行了有效关联,使得有效识别这类攻击和威胁成为可能,安全事件关联分析技术也随之应运而生。首先阐述了安全事件关联分析技术的重要性及其目标意义;然后对现有的安全事件关联分析技术进行了综述,从基于属性特征的关联分析、基于逻辑推理的关联分析、基于概率统计的关联分析、基于机器学习的关联分析等方面,分析描述了现有各种安全事件关联分析技术的机理及其优缺点;最后对现有的开源安全事件关联分析软件进行了综述,从应用场景、编程语言、用户接口以及关联方法等角度进行了综合比较。     

基于Drools的安全事件回放研究

该文提出一种安全事件回放的方法,对安全监控系统产生的警报信息进行冗余分析和因果分析,对攻击过程甚至一些操作过程不仅仅是进行回放。基于Drools的工作原理,建立了系统的整体通用模型和关联分析模型。模型适用于多种安全监控系统,具有很好的移植性。     

基于Drools的离线分析研究与实现

提出了一种基于Drools离线分析的方法,是对主机监控系统实时分析无法深入的一种补充.对监控系统产生的海量警报信息进行压缩,对攻击事件的发生过程进行安全事件关联分析.首先介绍了Drools的工作原理,然后基于系统整体模型,给出了规则推理的详细设计策略和关键技术的实现.最后进行了离线分析仿真试验,U盘监控类离线分析结果表明警报信息数量的压缩率在9.898%以上并得到了攻击(操作)过程.     

基于移动Agent的安全事件关联框架

现有信息安全防护系统存在着一些不足,比如数据源单一、体系结构不尽合理等,从而影响了整体的安全防护效果.针对这些不足,在对安全事件的树型体系和处理流程进行分析的基础上,提出了一个基于移动Agent的安全事件关联框架,并设计了多种不同功能和角色的移动Agent,借助于移动Agent具有的自主执行能力、智能推理能力与迁移能力,对网络中不同节点处发生的大量安全事件进行高效的检测、过滤与整合,并对这些事件间存在的时序关系、因果关系、统计关系等内在联系进行深度关联分析;在对Agent平台的安全需求与功能需求进行深入分析的基础上,选择Aglet系统作为开发平台实现了简单的原型系统,并通过几个具体的多步骤攻击实例,验证了移动Agent用于安全事件关联分析的有效性和优势.     

基于语义攻击树的安全事件建模与分析

本文在安全事件的时间语义及上下文语义关系分析的基础上,建立语义攻击树模型,提出了增强非确定有限树自动机处理策略及其算法,并建立了事件检测系统框架.     

一种新的基于统计的攻击场景挖掘算法研究

提出了一种新的攻击场景挖掘算法.该算法建立在对高级告警的进一步分析和处理之上,通过统计挖掘找出概率统计上的弱关联攻击链,再对这些攻击链进行进一步的关联分析,从而构建出真实攻击场景模型.该方法较之大多数需要定义复杂的关联规则的方法而言更容易实现,并具有一定的独创性.初步的实验结果证明该方法能有效地挖掘出攻击场景模型,并能用于发现新的攻击场景.     

基于关联规则挖掘的数据库异常检测系统研究

提出一种基于关联规则挖掘的数据库异常检测模型DBADS.阐述了DBADS的结构及各部件的设计.利用关联规则FPMAX算法,对用户正常历史数据进行挖掘.通过训练学习生成异常检测模型,并利用此模型实现基于关联规则挖掘的异常检测.DBADS可以检测伪装攻击、合法用户的攻击两种类型的攻击,通过实验给出了系统检测相应攻击的检测率、虚警率.实验证明,本系统的建立不依赖于经验,具有较好的性能和灵活性.     

一种缓冲区溢出攻击通用模型研究

随着Internet的普及,信息安全问题日趋显著,近年来发生的一系列安全事件让每个连接到Internet的用户感到不安,特别是远程缓冲区溢出攻击更是防不胜防.缓冲区溢出攻击是一种常见的攻击方式,对缓冲区溢出漏洞进行恶意利用,会产生极具破坏性的蠕虫.本文对各种缓冲区溢出漏洞和利用技术进行了深入研究,建立了缓冲区溢出攻击通用模型OSJUMP(Overflow Shellcode Jump),并利用该模型,提出了在模型的各个阶段阻截缓冲区溢出攻击的防范措施.     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

基于事件关联的网络威胁分析技术研究

文章应用事件关联的方法综合IDS等安全设备报警信息进行网络威胁分析,介绍了事件关联基本方法,并提出事件关联分析器体系结构,实验系统测试结果表明,应用事件关联技术有效降低了网络威胁分析中出现的虚警,极大地减少了冗余报警。     

利用关联和风险评估方法减少误报和漏报

高误报和漏报率是入侵检测系统面临的主要问题。提出了一种利用关联和风险评估的方法 ,利用构建的安全关联模型 ,计算出每个安全事件 (如告警事件、系统安全日志记录等 )的实时风险值 ,对风险值较高的事件给出新的警告 ,并摈弃那些风险值较低的事件 ,从而降低漏报和误报率。实验结果表明 ,利用这种方法实现的事件关联系统能够显著降低检测系统的误报和漏报率。     

一种安全审计事件时空逻辑关系可视化方法

利用面向对象的思想将安全审计事件以UML的形式表示,在此基础上根据有色Petri网原理提出安全审计事件可视化模型。基于该模型,以文件类操作的安全审计事件为主线,给出一种安全审计事件时空逻辑关系可视化实现框架。该方法为安全审计员浏览、分析安全审计数据提供了便利。     

江苏软件和集成电路业专项基金资助项目统一网络安全管理平台的研究与实现*

针对防火墙、入侵检测系统等异构安全设备的广泛应用而产生的海量的不可靠的安全事件难以有效管理的现状,提出了统一网络安全管理平台,平台利用风险评估和事件关联技术来实时地分析网络的风险状况,降低误报率和漏报率。首先给出了平台的体系结构,并介绍了各模块的基本功能,然后就安全事件预处理、实时风险评估、事件关联三个关键技术的具体实现进行了详细的描述。     

复杂网络安全事件的知识表示和关联分析方法

针对复杂网络安全事件信息的模糊性和不确定性的推理问题,提出采用一种加权模糊Petri网的安全事件知识表示和关联分析的方法.将Petri网和加权模糊产生式方法结合起来,通过引入网络安全事件征兆权值的概念,用权值大小来描述多个安全事件征兆对安全事件发生的贡献程度.在一定程度上有效地解决网络安全事件之间的复杂因果关系推理及不确定知识的表示问题.     

SOC分析研究

阐述了SOC的定义，探讨了SOC与NOC之间的关系，详细分析了SOC应该具备的功能，对SOC的核心一安全事件关联进行了深入的研究，在此基础上给出了一个安全事件关联分析示例。     

网络安全信息管理与分析系统研究与实现

网络安全产品之间由于缺乏数据信息交换机制,导致了各自的安全信息不能彼此共享;同时为了解决网络上大量的报警和误报,这就需要找出网络检测数据深层次关系,并高效地检测已知、未知的攻击,由此提出了网络安全的信息管理与分析系统,同时给出了事件聚合、关联分析方法,提取关联规则,达到进一步聚合安全事件,从而达到全面分析的目的.     

基于安全相关系统调用的非我检测

详细介绍了仿生计算机免疫系统中辨别“自我”、“非我”,以及对“非我”类型进行检测的结构.通过定义安全相关事件,提出了一种基于对与安全相关的系统调用进行“非我”检测的新方法,同时对测试程序“非我”类型的分布进行了讨论.实验证明了用此方法进行“非我”及其类型检测的有效性.     

面向金融活动的复合区块链关联事件溯源方法

现有区块链系统多采用平等挖矿模式,所有记账人(实体)将账本记录在单一主链上,数据存储具有随机性,且在复杂或分类金融场景下,主链数据难以关联或规律存储,导致存储及查询效率很低;同时,现有区块链系统中事件溯源大多只查询到源区块,不能判识实体间的隐含关联,查询具有局限性.针对这些问题,提出一种复合区块链关联事件溯源方法.该方...