共查询到19条相似文献,搜索用时 140 毫秒
1.
2.
针对分布式入侵检测和网络安全预警所需要解决的问题,对多传感器数据融合技术进行了研究。在分析IDS警报信息之间的各种复杂关系的基础上,提出了一个警报信息实时融合处理模型,并根据该模型建立警报信息融合处理系统。实时融合来自多异构IDS传感器的警报信息,形成关于入侵事件的攻击序列图,在此基础上进行威胁评估及攻击预测。该模型拓展了漏报推断功能,以减少漏报警带来的影响,使得到的攻击场景更为完整。实验结果表明,根据该模型建立的融合处理系统应用效果好,具有很高的准确率和警报缩减率。 相似文献
3.
本文深入研究警报关联处理技术的现状展开了,分析现有关联技术的原理并据此进行分类,比较和分析各类方法的优缺点,总结需要解决的问题及进一步研究的方向。 相似文献
4.
针对目前入侵检测系统(IDS)存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。 相似文献
5.
针对目前入侵检测系统(IDS)存在的误报、漏报等问题,首先分析了存在误警的原因,设计并实现了一个入侵检测报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联,最后对系统进行了实验验证。结果表明该系统能有效地减少报警数量,降低误报、漏报率,从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构,为加深对攻击者攻击意图的了解带来了方便,达到预警的目的,具有较强的实用价值。 相似文献
6.
基于LRE算法的入侵检测警报分析系统的研究 总被引:1,自引:0,他引:1
针对目前关联规则挖掘算法在处理海量数据的过程中存在的效率问题,提出了一个改进的关联规则挖掘算法——基于一维链表的递归约减挖掘算法LRE,并将LRE算法应用到入侵检测系统中,设计了一个入侵警报分析系统模型,最后,通过实验证明了LRE算法在减少入侵警报的数量和降低误报率方面的有效性。 相似文献
7.
自适应虚警处理框架研究与实现* 总被引:4,自引:0,他引:4
在分析虚警来源及现有处理技术的基础上,提出了一个具有自适应能力的入侵检测系统虚警处理框架。该框架可以自动适应环境的变化和攻击技术发展带来的变化,从不同角度减少虚警,提高警报数据质量。 相似文献
8.
入侵检测系统报警信息融合模型的设计与实现 总被引:1,自引:1,他引:0
开展入侵检测系统报警信息融合技术的研究,对解决目前入侵检测系统(IDS)存在的误报、漏报、报警信息难管理、报警信息层次低等问题,以及提高网络预警能力等均具有十分重要的意义。首先分析了目前入侵检测系统存在的问题,提出了进行报警信息融合的必要性,最后提出并实现了一个入侵检测系统报警信息融合的可视化模型。 相似文献
9.
警报数据的分析是入侵检测系统的重要功能之一。本文主要研究了警报数据的分析模型和关键技术。根据警报数据在实际应用中所处的位置和语义层次,提出了警报数据的层次分析模型,研究了实时警报归约算法、基于文本聚类的警报融合方法和基于朴素贝叶斯分类的警报关联分析方法等关键技术。上述模型和方法可以有效地降低警报数据量,精炼分析结果,提供威胁分析报告。 相似文献
10.
11.
基于攻击意图的报警信息关联研究 总被引:2,自引:0,他引:2
当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联. 相似文献
12.
针对某公司入侵检测系统产品误警率高,将因果告警相关方法融入到原系统中,对告警信息进行相关分析.利用DARPA 2000入侵检测场景数据集LLDOS1.0对新系统进行实验验证,结果表明,通过新系统可有效降低误警率,并可用图形的形式显示告警信息之间的因果相关关系,形象揭示出攻击者的攻击过程与攻击策略. 相似文献
13.
黑客的入侵是一个逐步积累、逐步深入的过程。在入侵过程中,黑客所积累的有关目标系统的信息越多,越有利下一步入侵的成功。现有的告警相关方法不能识别带分支的入侵过程,也不能识别属于某个入侵过程的失败的入侵步骤。该文针对这两种情况提出了一种基于知识积累的告警相关方法,这种方法不仅能识别完整入侵过程,而且能对入侵过程的相关程度及其入侵结果进行评估。 相似文献
14.
15.
随着网络的迅猛发展,管理入侵检测系统产生的大量告警变得越来越重要。本文基于因果相关的思想,设计并实现了一个入侵检测系统中的告警相关部件。实验表明,该部件能有效减少告警数量,其告警减少率达到83.26%。 相似文献
16.
基于神经网络信息融合的智能故障诊断方法 总被引:3,自引:2,他引:3
飞行状态时的飞机舵面故障诊断系统,含有系统和测量噪声及其时变、非线性等特点,采用常规的故障诊断方法很难实现对飞机舵面故障的准确诊断和告警,为了更好的实现对飞机舵面系统的故障诊断,将神经网络信息融合的智能故障诊断方法首次运用到舵面系统故障诊断中.该智能诊断方法应用神经网络的非线性拟合能力扩展舵面相关线位移传感器测量信息,同时采用D-S算法将相关传感器的输出信息进行融合,最后信息融合诊断策略根据这些信息确定出舵面相应的故障类型,从而可以对舵面故障信号进行有效识别和诊断.建立了某机舵面系统故障诊断的数学模型,并利用该模型对提出的智能故障诊断方法进行仿真验证,最后的仿真实验结果表明:该故障诊断结构形式对于舵面常见的故障能够进行识别和告警,诊断效果令人满意. 相似文献
17.
Managing and supervising security in large networks has become a challenging task, as new threats and flaws are being discovered on a daily basis. This requires an in depth and up-to-date knowledge of the context in which security-related events occur. Several tools have been proposed to support security operators in this task, each of which focuses on some specific aspects of the monitoring. Many alarm fusion and correlation approaches have also been investigated. However, most of these approaches suffer from two major drawbacks. First, they only take advantage of the information found in alerts, which is not sufficient to achieve the goals of alert correlation, that is to say to reduce the overall amount of alerts, while enhancing their semantics. Second, these techniques have been designed on an ad hoc basis and lack a shared data model that would allow them to reason about events in a cooperative way. In this paper, we propose a federative data model for security systems to query and assert knowledge about security incidents and the context in which they occur. This model constitutes a consistent and formal ground to represent information that is required to reason about complementary evidences, in order to confirm or invalidate alerts raised by intrusion detection systems. 相似文献
18.
19.
Jouni Viinikka Herv Debar Ludovic M Anssi Lehikoinen Mika Tarvainen 《Information Fusion》2009,10(4):312-324
The main use of intrusion detection systems (IDS) is to detect attacks against information systems and networks. Normal use of the network and its functioning can also be monitored with an IDS. It can be used to control, for example, the use of management and signaling protocols, or the network traffic related to some less critical aspects of system policies. These complementary usages can generate large numbers of alerts, but still, in operational environment, the collection of such data may be mandated by the security policy. Processing this type of alerts presents a different problem than correlating alerts directly related to attacks or filtering incorrectly issued alerts.We aggregate individual alerts to alert flows, and then process the flows instead of individual alerts for two reasons. First, this is necessary to cope with the large quantity of alerts – a common problem among all alert correlation approaches. Second, individual alert’s relevancy is often indeterminable, but irrelevant alerts and interesting phenomena can be identified at the flow level. This is the particularity of the alerts created by the complementary uses of IDSes.Flows consisting of alerts related to normal system behavior can contain strong regularities. We propose to model these regularities using non-stationary autoregressive models. Once modeled, the regularities can be filtered out to relieve the security operator from manual analysis of true, but low impact alerts. We present experimental results using these models to process voluminous alert flows from an operational network. 相似文献