基于因果关系的分层报警关联研究

入侵检测系统产生海量报警数据,造成报警关联时间长,关联结果结构复杂,难以理解。针对上述问题,提出一种基于因果关系的分层报警关联模型。该模型先根据攻击目标聚类报警,在因果关系的指导下以单步攻击作为节点构建主机层攻击路径,定义单步攻击相似度和攻击模式相似度,通过拓扑排序合并主机层攻击路径的相似节点得到攻击模式,计算攻击模式相似度实现预警,并以受害主机作为节点从空间上构建更高层面的网络层攻击场景。实验表明,分层关联结果结构简洁,有助于识别攻击策略、指导安全响应,而且先聚类后关联的方法能够有效提高报警关联效率。     

基于攻击规划图的实时报警关联方法

针对报警因果关联分析方法存在无法及时处理大规模报警且攻击场景图分裂的不足,提出一种基于攻击规划图(APG)的实时报警关联方法。该方法首先给出APG和攻击规划树(APT)的定义;其次,根据先验知识构建APG模型,并提出基于APG的实时报警关联方法,重建攻击场景;最后,结合报警推断完善攻击场景和预测攻击。实验结果表明,该方法能够有效地处理大规模报警和重建攻击场景,具有较好的实时性,可应用于分析入侵攻击意图和指导入侵响应。     

多步攻击告警关联模型构建与实现

为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。     

基于攻击图与报警相似性的混合报警关联模型

为了揭示入侵检测系统所生成的报警数据之间的关联关系和重构入侵攻击场景,提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型结合攻击图和报警数据分析的优点,首先根据入侵攻击的先验知识定义初始攻击图,描述报警数据间的因果关联关系,再利用报警数据的相似性分析修正初始攻击图的部分缺陷,进而实现报警关联。实验结果表明,混合关联模型能够较好地恢复攻击场景,并能够完全修复攻击图中单个攻击步骤的缺失。     

基于攻击图与报警相似性的混合报警关联模型

为了揭示入侵检测系统所生成的报警数据之间的关联关系和重构入侵攻击场景,提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型结合攻击图和报警数据分析的优点,首先根据入侵攻击的先验知识定义初始攻击图,描述报警数据间的因果关联关系,再利用报警数据的相似性分析修正初始攻击图的部分缺陷,进而实现报警关联。实验结果表明,混合关联模型能够较好地恢复攻击场景,并能够完全修复攻击图中单个攻击步骤的缺失。     

一种新的入侵检测报警关联分析方法

报警聚合和关联是入侵检测领域很重要的发展方向,报警聚合是将相同或相近特征的报警信息关联起来,报警关联是根据攻击之间的因果依赖关系关联报警。采用模糊C-均值（FCM）算法剔除误报或无关报警,然后用因果关联分析发现攻击场景,恢复攻击场景。实验表明,该方法能够恢复攻击场景。     

基于攻击症状的安全事件关联方法研究

提出一套基于攻击症状的安全事件关联方法.根据攻击和症状间因果关系构建了安全事件关联模型,提出了依据关联模型自动计算产生安全事件关联规则的思想,并用特征代码匹配法实现事件关联.     

基于网络漏洞的复合攻击预测方法研究

入侵检测系统可以检测到攻击,但不能预测攻击者下一步的攻击。本文分析了基于攻击为预测方法的不足,提出了一种基于网络弱点的攻击预测方法。该方法使用报警关联方法建立报警关联图,然后利用网络弱点和攻击的关系预测攻击者的下一步攻击。最后,通过实验验证了该方法的有效性。     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

一种构造攻击场景的推理方法

本文为了表达攻击发生的前提条件和结果之间的逻辑关系,引入了攻击原子的概念,并使用因果关联算法重新构造出攻击场景。针对多阶段攻击的一些中间步骤无法检测出来的问题,采用了攻击原子假设方法,来完善因果关联算法。     

入侵检测系统中告警相关部件的设计与实现

随着网络的迅猛发展,管理入侵检测系统产生的大量告警变得越来越重要。本文基于因果相关的思想,设计并实现了一个入侵检测系统中的告警相关部件。实验表明,该部件能有效减少告警数量,其告警减少率达到83．26％。     

多源安全信息融合系统设计

利用报警融合和关联分析技术能很好地提高报警准确度。阐述了基于多源安全信息融合系统关键模块设计,以暴风蠕虫攻击检测例证了该系统的有效性,并指出需要进一步研究的问题。     

Alert correlation in collaborative intelligent intrusion detection systems—A survey

As complete prevention of computer attacks is not possible, intrusion detection systems (IDSs) play a very important role in minimizing the damage caused by different computer attacks. There are two intrusion detection methods: namely misuse- and anomaly-based. A collaborative, intelligent intrusion detection system (CIIDS) is proposed to include both methods, since it is concluded from recent research that the performance of an individual detection engine is rarely satisfactory. In particular, two main challenges in current collaborative intrusion detection systems (CIDSs) research are highlighted and reviewed: CIDSs system architectures and alert correlation algorithms. Different CIDSs system, architectures are explained and compared. The use of CIDSs together with other multiple security systems raise certain issues and challenges in, alert correlation. Several different techniques for alert correlation are discussed. The focus will be on correlation of CIIDS alerts. Computational, Intelligence approaches, together with their applications on IDSs, are reviewed. Methods in soft computing collectively provide understandable, and autonomous solutions to IDS problems. At the end of the review, the paper suggests fuzzy logic, soft computing and other AI techniques, to be exploited to reduce the rate of false alarms while keeping the detection rate high. In conclusion, the paper highlights opportunities for an integrated solution to large-scale CIIDS.     

基于因果知识和时空关联的云平台攻击场景重构

云计算环境下的攻击行为逐步表现出隐蔽性强、攻击路径复杂多步等特点,即一次完整的攻击需要通过执行多个不同的攻击步骤来实现最终目的。而现有的入侵检测系统往往不具有必要的关联能力,仅能检测单步攻击或攻击片段,难以发现和识别多步攻击模式,无法还原攻击者完整的攻击渗透过程。针对这一问题,提出了基于因果知识和时空关联的攻击场景重构技术。首先,利用贝叶斯网络对因果知识进行建模,从具有IP地址相关性的告警序列中发掘出具有因果关系的攻击模式,为后续关联分析提供模板依据。然后,借助因果知识网络,从因果、时间和空间多维度上对告警进行关联分析,以发现潜在的隐藏关系,重构出高层次的攻击场景,为构建可监管、可追责的云环境提供依据和参考。     

分布式入侵检测系统中告警相关的研究与实现

现有的告警相关方法处理开销比较大,特别是在告警风暴的情况下有可能无法处理。该文针对这种情况,提出一种改进的、适用于分布式入侵检测系统的告警相关方法,并给出了一个采用这种方法的实现框架及其实验结果。结果表明,改进后的告警相关方法能在告警相关识别率和告警相关准确率保持基本不降低的条件下,告警相关数据处理率降低40％以上,从而可保证告警相关部件在告警风暴的情况下仍有效地工作。     

入侵检测系统报警信息关联分析模型的设计与实现

入侵检测系统报警信息的关联分析技术,对解决目前入侵检测系统所存在的误报、漏报、报警信息层次低和难管理等问题,具有十分重要的意义。本文综合了目前所提出的几种关联分析方法,建立了一个入侵检测系统关联分析模型,该模型将关联分析过程划分为三个层次：聚类、融合和因果关联,可以对不同入侵检测系统产生的报警信息进行关联分析。     

一种基于多因素的告警关联方法

入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。     

入侵检测系统报警信息聚合与关联技术研究综述

报警的聚合与关联是入侵检测领域一个很重要的发展方向·阐述了研发报警聚合与关联系统的必要性通过对报警的聚合与关联可以实现的各项目标;重点讨论了现有的各种报警聚合与关联算法,并分析了各算法的特点;介绍了在开发入侵报警管理系统(IDAMS)中如何根据算法特点选择算法的原则;总结了现有聚合与关联系统的体系结构;简要介绍了IDMEF标准数据格式以及它在报警关联中的作用;最后,介绍了现有聚合与关联系统的发展现状,并提出了研发入侵报警聚合与关联系统所面临的重要技术问题和发展方向·