安全事件关联分析引擎的研究与设计

入侵检测系统是动态安全防御里的重要环节，现有的入侵检测系统（IDS）存在一个致命的缺陷：误报率高居不下，IDS无法展现事件之间的逻辑关系，结果用户很难了解事件背后隐藏的攻击策略或逻辑步骤。为了解决IDS存在的上述问题，在深入分析入侵技术的基础上提出了基于入侵序列的启发式关联方法，设计并实现了一个事件关联分析引擎，最后验证了有效性。     

计算机入侵取证中的入侵事件重构技术研究

针对计算机入侵取证中计算机证据具有易删改、易丢失、来源众多、内容繁杂等特点,论述入侵事件重构技术的最新发展状况,从系统应用层对象/事件和操作系统层对象/事件2个方面分析入侵重构的主要证据来源,介绍现有入侵事件重构中主流的重构工具,研究常用的入侵事件重构方法,包括基于时间戳的日志分析、语义完整性检查、基于操作系统层对象的依赖追踪技术、基于有限状态机模型的事件重构模型等,总结各种方法的优缺点。在重构效率、重构误报率、证据可信度、证据真实性和重构环境等方面对入侵事件重构方法进行比较,讨论入侵事件重构技术未来的研究前景。     

基于级别转换的侵入检测系统的研究与实现

根据事件分级的思想，结合历史事件序列的相关性对入侵进行分析，给现有的入侵事件划分了安全级别，并在此基础上提出了级别转换算法，解决了以前的入侵检测系统中只对单个事件进行分析的缺点，使入侵检测系统具有预警功能，并可以对黑客攻击的将来步骤进行预测，该文还对基于该思想实现的入侵检测系统的数据处理流程，软件体系结构、脚本语法规则进行了介绍。     

移动自组网络中的入侵节点判别

提出并实现了一种移动节点入侵判别,该方法依据入侵之间的事件检测序列关联关系,运用图论和邻接矩阵的方法求出根入侵集,由入侵相关性确定源入侵节点,有效地起到入侵过滤的功能。经实验证明,该方法具有很强的实效性。     

基于级别转换的入侵检测系统的研究与实现

根据事件分级的思想，结合历史事件序列的相关性对入侵进行分析,给现有的入侵事件划分了安全级别，并在此基础上提出了级别转换算法，解决了以前的入侵检测系统中只对单个事件进行分析的缺点,使入侵检测系统具有预警功能,并可以对黑客攻击的将来步骤进行预测。该文还对基于该思想实现的入侵检测系统的数据处理流程、软件体系结构、脚本语法规则进行了介绍。     

速达1000超低价推出

启明星辰公司日前正式推出了自主研发的入侵检测类产品套件——天阗入侵检测与管理系统V6．0，它在新一代入侵检测技术的基础上，利用全面流量监控发现异常，结合地理信息显示入侵事件的定位状况，应用人侵和漏洞之间具有的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并进行及时处理和响应。     

一种基于交互式知识发现的入侵事件关联方法研究

分析了入侵检测系统的现存问题，总结了入侵事件关联系统的最新进展和缺陷，提出一个基于人机交互式知识发现的入侵事件关联系统．该系统离线部分在入侵事件关联领域首次引入FP-Tree和WINEPI算法进行交互式知识发现，并将发现的频繁模式和序列模式转化成人侵事件关联规则；在线部分利用先验知识和交互式知识发现的关联知识，以嵌入式CLIPS推理组件作为推理引擎，对多个入侵检测器上报的事件进行高效关联和归并．在集成化网络安全监控及防卫系统Net-Keeper中的实际应用表明本系统是一个开放、高效的入侵事件关联平台．     

一种基于数据融合的分布式入侵检测系统

入侵检测是网络安全的一种重要手段，为提高入侵检测的准确性．文中提出了一种基于数据融合的分布式入侵检测系统，并详细论述了该系统的网络设计、包采集分析、局部判决、融合中心事件关联和数据融合等各个环节的具体设计与实现方法，分析表明文中提出的事件关联规则和加权表决法决策融合算法对分布式入侵检测系统是十分有效的。     

基于移动代理的网络入侵预警框架

本文采用移动代理实现网络入侵预警框架，通过基本入侵检测模块获得可疑安全事件，动态分派相关移动代理收集进一步的入侵事件，构造基于入侵事件的有限自动机预警模型，预测下一步的入侵事件和可能的入侵攻击，降低误报率。同时，通过移动代理降低了网络通信量和系统负载。     

基于数字挖掘的智能化入侵检测系统

文中提出了一种具有自学习、自完善功能的入侵监测模型，可发现已知和未知的滥用入侵和异常入侵活动。在提出的模型中，移动Agent将收集到的各个活动监测Agent采集的数据发送给事件的序列生成器，事件序列生成器将由此产生的事件序列提出交给数据挖掘引擎进行证据发现。检测引擎对发现的证据和已有规则间的相似性进行评估后由决策引擎做最终的裁决。并据此维护规则和对各个活动监测Agent发出对抗指令。     

基于本体的入侵检测研究

对入侵行为之间的相关性进行清楚的描述,从而对协同式入侵做出判断,降低误警率,是入侵检测领域的重点和热点问题,本文在概要分析了误警产生的原因的基础上,重点讨论了基于本体的入侵检测框架。     

基于事件关联的电子取证实时入侵重构

针对目前电子取证入侵重构多用事后分析的方式导致分析信息不完整的问题,定义入侵事件的形式化描述和黑客攻击场景的表示,将事件关联方法引入电子取证入侵重构分析中,建立了事件关联的动态实时电子取证入侵重构系统,该系统预先了因果关联表,找出事件问的因果关联度,并消除它们的冗余关系,来获得入侵过程图。最后,通过一个实例来说明通过关联部分攻击片断来构建一个完整的攻击场景的过程。     

入侵事件建模研究

入侵过程由一系列入侵行为组成,每个入侵行为包含一个或多个入侵事件,这些事件间可能存在各种各样的关系。该文对入侵事件特征进行研究,从检测角度对入侵事件进行分类。定义了入侵事件,建立了入侵事件的一般模型。从时间、空间和功能方面分析了事件间的内在联系,并依据这些关系建立了入侵事件逻辑、统计和模糊模型,以描述不同的入侵行为,并举实例予以分析。     

基于ECA规则的入侵检测研究

入侵检测系统一般只对入侵行为所引起的事件或系统特征进行分析,而往往忽略了入侵事件间的关联特征,以及入侵事件和系统状态间的联系。文章将ECA规则引入到入侵检测系统中,同时对系统动态特性和静态特性进行了分析,从而提高入侵检测的能力。     

Probabilistic techniques for intrusion detection based on computeraudit data

This paper presents a series of studies on probabilistic properties of activity data in an information system for detecting intrusions into the information system. Various probabilistic techniques of intrusion detection, including decision tree, Hotelling's T² test, chi-square multivariate test, and Markov chain are applied to the same training set and the same testing set of computer audit data for investigating the frequency property and the ordering property of computer audit data. The results of these studies provide answers to several questions concerning which properties are critical to intrusion detection. First, our studies show that the frequency property of multiple audit event types in a sequence of events is necessary for intrusion detection. A single audit event at a given time is not sufficient for intrusion detection. Second, the ordering property of multiple audit events provides additional advantage to the frequency property for intrusion detection. However, unless the scalability problem of complex data models taking into account the ordering property of activity data is solved, intrusion detection techniques based on the frequency property provide a viable solution that produces good intrusion detection performance with low computational overhead     

基于Multi-Agent的网络入侵取证模型的设计

在分析网络入侵取证和多Agent技术的基础上,提出了一个基于多Agent的网络入侵取证系统的模型,并详细描述了入侵检测与取证的过程和方法。将入侵检测和计算机取证技术结合在一起,在遭受入侵时能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测系统的不足,有效地阻止了黑客攻击。     

入侵检测系统的数据标准化应用研究

在分析入侵检测系统原理及通用入侵检测框架（CIDF）的基础上，按照CIDF的结构要求，设计了基于CIDF的入侵检测系统原型。在系统实现的内部机制上，采用链表的形式保存各类事件的完整信息并按CIDF的要求进行检测数据的标准化，为系统构件共享信息提供高效、准确的保证。结合实践，指出了用语义标识符SID扩充以适应异常检测方面的问题。     

基于模拟退火与K均值聚类的入侵检测算法

K均值聚类算法时初始值的选取依赖性极大,易陷入局部极值.为此,结合模拟退火算法和K均值聚类思想,提出一种新的入侵检测方案.算法利用模拟退火算法时聚类分析中的聚类准则进行优化,以获得全局最优解,并进一步开拓模拟退火算法的并行性以加快算法收敛速度.在KDD CUP 1999上进行了仿真测试,实验结果表明该方案优于基于K均值聚类的入侵检测算法,有较低的误检率与虚警率.     

数据融合的协同网络入侵检测

探讨并建立了一个基于多代理和数据融合技术的协同网络入侵检测模型,给出了协同网络入侵检测模型的体系结构及其组件,论述了从网络数据包中提取内容、网络连接与网络通信三种特征,生成可疑入侵事件,设计并实现了入侵事件检测代理（基于特征的检测代理和基于统计的检测代理）,通过融合中心进一步改善了检测效果,实验结果表明了该模型的有效性。