一种基于马尔可夫性质的因果知识挖掘方法

攻击者对网络目标设施的渗透破坏过程往往是渐进的,通过执行多个攻击步骤实现最终目的,如何掌握攻击活动的全貌、重建攻击场景是网络安全态势感知等诸多研究领域面临的主要难题之一.基于因果知识的告警关联分析是复杂事件处理(complex event processing,CEP)技术的主要方法之一,它为识别多步攻击过程、重建攻击场景提供了较好的技术途径.针对告警关联分析中因果知识难以自动获得这一问题,提出了一种基于马尔可夫性质的因果知识挖掘方法.该方法利用马尔可夫链模型对因果知识进行建模,以真实网络中的原始告警流为数据源:首先通过对地址相关的告警事件进行聚类,得到相关性类簇;然后再基于马尔可夫链的无后效性,挖掘各个类簇中不同攻击类型间的一步转移概率矩阵,得到因果知识,并对具有重复步骤的因果知识进行匹配融合,构建因果知识库;最后对所提出的因果知识挖掘方法进行了实验验证和对比分析.结果表明,该方法是可行的.     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

一种基于多因素的告警关联方法

入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。     

一种新的入侵检测报警关联分析方法

报警聚合和关联是入侵检测领域很重要的发展方向,报警聚合是将相同或相近特征的报警信息关联起来,报警关联是根据攻击之间的因果依赖关系关联报警。采用模糊C-均值（FCM）算法剔除误报或无关报警,然后用因果关联分析发现攻击场景,恢复攻击场景。实验表明,该方法能够恢复攻击场景。     

基于状态机的入侵场景重构关键技术研究

分析了现有的各种安全事件关联算法,提出了一种基于状态机的攻击场景重构技术.基于状态机的攻击场景重构技术将聚类分析和因果分析统一起来对安全事件进行关联处理,为每一种可能发生的攻击场景构建一个状态机,利用状态机来跟踪、记录攻击活动的发展过程,以此来提高关联过程的实时性和准确性.最后通过DARPA2000入侵场景测试数据集对所提出的技术进行了分析验证.     

一种基于数据挖掘的拒绝服务攻击检测技术

提出了一种新的、基于数据挖掘的DoS攻击检测技术--DMDoSD,它首先利用Apriori关联算法从原始网络数据中提取流量特征,然后利用K-means聚类算法自适应地产生检测模型,这两种算法的结合能够实时地、自动地、有效地检测DoS攻击.DMDoSD除了向现有的IDS发出攻击报警外,还进一步利用关联算法分析异常网络数据包,确定攻击特征,为DoS攻击的防御提供支持.     

基于攻击规划图的实时报警关联方法

针对报警因果关联分析方法存在无法及时处理大规模报警且攻击场景图分裂的不足,提出一种基于攻击规划图(APG)的实时报警关联方法。该方法首先给出APG和攻击规划树(APT)的定义;其次,根据先验知识构建APG模型,并提出基于APG的实时报警关联方法,重建攻击场景;最后,结合报警推断完善攻击场景和预测攻击。实验结果表明,该方法能够有效地处理大规模报警和重建攻击场景,具有较好的实时性,可应用于分析入侵攻击意图和指导入侵响应。     

基于关联规则挖掘的数据库异常检测系统研究

提出一种基于关联规则挖掘的数据库异常检测模型DBADS.阐述了DBADS的结构及各部件的设计.利用关联规则FPMAX算法,对用户正常历史数据进行挖掘.通过训练学习生成异常检测模型,并利用此模型实现基于关联规则挖掘的异常检测.DBADS可以检测伪装攻击、合法用户的攻击两种类型的攻击,通过实验给出了系统检测相应攻击的检测率、虚警率.实验证明,本系统的建立不依赖于经验,具有较好的性能和灵活性.     

一个用于IDS告警分析的验证-聚类-关联模型

多步骤攻击是当前占据主流的攻击模式,但当前的入侵检测系统在检测这种攻击时存在告警冗余、告警孤立等问题.为解决这些问题,提出了一个验证-聚类-关联告警分析模型.该模型将验证、聚类、关联这3个告警分析环节结合在一起,逐层地对告警信息进行分析,通过验证过滤掉原始告警信息中的误报及无关信息,验证后的有效告警信息通过聚类生成无冗余的单步告警,再通过关联生成能描述攻击者意图的全局告警.对相关的算法与规则进行了描述,并通过几个实际的攻击场景验证了该模型的有效性.     

基于可信报警事件的在线攻击场景重构算法

传统的入侵检测系统仅提供大量独立的、原始的攻击报警信息,不利于用户和入侵响应系统对攻击及时做出响应,迫切需要根据低层的报警信息,建立高层的攻击场景,提高安全管理员对当前发生的攻击的认知度。本文利用贝叶斯规则首先对多个安全设备产生的报警信息进行过滤,生成了可信的报警事件集,在此基础上完成攻击场景的重构工作,减少了安全设备产生的误报信息对关联算法的影响,提高了关联算法的健壮性和可扩展性。描述的关联方法可以使报警事件的聚合操作和攻击场景重构同时进行,实现了对报警事件的在线分析功能,弥补了现有算法的不足。试验结果表明,该算法在场景重构和报警事件约减两个方面都表现出了良好的性能。