基于信息共享的协同入侵检测模型研究

针对传统的IDS检测手段单一、误报率高的不足,研究如何在入侵检测中引入协作。提出了基于信息共享的协同入侵检测模型和算法。该模型独立于具体的系统,从而为通用的协同入侵检测系统提供了一个框架。协同入侵检测算法包括基于时间密度的抗噪声聚类算法和警报关联分析算法。在此基础上,实现了一个原型系统,并结合数据集测试方法对原型系统进行了测试,验证了模型和算法的可行性和有效性。     

警报数据的分析模型与关键技术

警报数据的分析是入侵检测系统的重要功能之一。本文主要研究了警报数据的分析模型和关键技术。根据警报数据在实际应用中所处的位置和语义层次，提出了警报数据的层次分析模型，研究了实时警报归约算法、基于文本聚类的警报融合方法和基于朴素贝叶斯分类的警报关联分析方法等关键技术。上述模型和方法可以有效地降低警报数据量，精炼分析结果，提供威胁分析报告。     

基于LRE算法的入侵检测警报分析系统的研究

针对目前关联规则挖掘算法在处理海量数据的过程中存在的效率问题,提出了一个改进的关联规则挖掘算法——基于一维链表的递归约减挖掘算法LRE,并将LRE算法应用到入侵检测系统中,设计了一个入侵警报分析系统模型,最后,通过实验证明了LRE算法在减少入侵警报的数量和降低误报率方面的有效性。     

警报聚合分析与数据集测试的应用

入侵检测技术在网络安全防卫体系中变得越来越重要.在实际应用中,为了提高检测率通常采用基于多点的分布式数据采集或基于多引擎的协作式入侵检测,但是伴随而来的是警报数量和误报数量的海量增加,使管理员无法分辨警报的真伪并有效地管理入侵检测系统,从而降低了入侵检测系统的有效性和可用性.提出了一种基于密度的抗噪声时间聚类算法,将警报聚合和关联分析方法运用于分布式多引擎入侵检测场合来解决上述问题.实验采用数据集测试的方法对算法和原型系统进行了测试,并和相关研究工作进行了比较和分析.实验结果表明,系统对于分布式扫描有良好的检测效果,并在检测的实时性能上表现出优势.     

一种入侵场景构建模型——BPCRISM

就单一传统入侵检测系统而言,其异构性和自治性使得针对同一攻击行为产生的警报,在包含内容、详略程度、不确定性等方面存在很大的差异,导致大量重复性警报涌现.而这些大量、重复的警报信息不仅影响了入侵检测系统的性能,又不能体现出完整的黑客入侵过程.为了有效地分析和处理入侵警报,提出了一种入侵场景构建模型--BPCRISM,其能够利用警报的检测时间属性的接近程度将警报关联分为两大类:警报概率关联和警报因果关联,然后给出了概率关联和因果关联的算法,并从关联的警报信息中分辨出完整的黑客攻击流程和重构出入侵场景.初步实现该模型后,使用DARPA Cyber Panel Program Grand Challenge Problem Release 3.2(GCP)入侵场景模拟器进行了测试,实验结果验证了该模型的有效性.     

一种基于多源告警事件关联的分布式入侵检测系统模型

为了提高分布式入侵检测模型中报警的可信性,本文提出了一种基于多源告警事件关联的入侵检测模型。该模型通过对警报数据的过滤、归约、融合和多源告警事件关联,减少重复警报,降低误警报率,提高检测准确度。     

基于优化Apriori算法的入侵检测系统模型设计

复合攻击是网络入侵的主要形式之一。如何检测复合攻击是当前入侵检测研究的一个重要方向,经过对复合攻击模式的大量研究,提出了一种基于自动调节的警报关联模型。为了提高入侵检测系统的效率,针对入侵检测系统的特点,将数据挖掘技术引入模型中。阐述了使用为关联规则提取所优化的Apriori算法,对日志文件进行特征分析与知识发掘的入侵检测系统模型的设计。     

基于数据挖掘算法的网络入侵检测系统研究

回顾了当前入侵检测技术和数据挖掘技术,分析了Snort网络入侵检测系统存在的问题,重点研究了数据挖掘中的关联算法Apriori算法和聚类算法K一均值算法;在Snort入侵检测系统的基础上,增加了正常行为挖掘模块、异常检测模块和新规则生成模块,构建了基于数据挖掘技术的网络入侵检测系统模型。新模型能够有效地检测新的入侵行为,而且提高了系统的检测效率。     

用面向属性归纳方法研究入侵检测警报

大量的入侵检测警报使得IDS的功能无法得到有效发挥。本文用面向对象属性的归纳方法实现概念聚类算法,并对其改进后应用到入侵检测警报研究中,以减少误警数量。     

改进的蚂蚁聚类算法在网络入侵检测中的应用研究

研究了一种蚂蚁聚类算法,分析了算法的流程和优缺点,并在此基础上提出了一种名为增强蚂蚁聚类算法的聚类算法。增强蚂蚁聚类算法通过添加一种新聚类蚂蚁,减少了算法中孤立点的数目,改善了算法的聚类效果。设计了实验模型,用于检验增强蚂蚁算法在入侵检测中的应用效果。以KDDCUP 99数据集为检测数据源,对增强蚂蚁聚类算法应用于入侵检测进行了实验,实验结果表明,该算法对入侵数据的检测有较高的检测率和较低的误报率。     

入侵检测系统报警信息关联分析模型的设计与实现

入侵检测系统报警信息的关联分析技术,对解决目前入侵检测系统所存在的误报、漏报、报警信息层次低和难管理等问题,具有十分重要的意义。本文综合了目前所提出的几种关联分析方法,建立了一个入侵检测系统关联分析模型,该模型将关联分析过程划分为三个层次：聚类、融合和因果关联,可以对不同入侵检测系统产生的报警信息进行关联分析。     

增量挖掘实时报警关联研究

入侵检测技术通过实时获取网络攻击报警信息,对网络安全实施检测、分析和动态防御,有效弥补了防火墙的不足。通过有效处理网络报警信息提高入侵检测的检测率、精确度是当前入侵检测技术研究的重要课题之一。提出了一种实时的增量挖掘入侵检测报警关联方法。该方法使报警事件的聚合操作和报警关联分析控制在小规模数据范围内进行,有效克服了一些数据挖掘算法应用到入侵检测过程中存在的多遍扫描、误报率高和报警信息关联度低问题。实验结果表明,该方法不但可以处理大容量实时网络报警信息,而且在报警信息关联分析和报警事件约减都体现了良好的性能。     

基于攻击意图的报警信息关联研究

当前的入侵检测系统往往只提供给安全管理员大量低级的报警信息,分析这些报警信息极大地加重了安全管理员的负担,并且使得一系列相互关联的重要报警信息常常被淹没在大量不重要的报警信息中,因此迫切需要对于低级的报警信息进行进一步的关联,建立较为高层的攻击场景.本文提出了一个基于攻击意图的报警关联的模型,使用报警信息所对应的攻击行为的目的即攻击意图构建攻击场景.该模型先把入侵检测系统产生的报警信息转化为相应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息关联.     

基于序列分析的报警综合处理研究

针对入侵检测系统的报警数量多的问题,文章详细介绍了怎样用序列分析的方法处理入侵检测系统的报警数据,使之只产生能反映入侵重要特征的报警。简要介绍了序列分析的方法,说明了报警分析算法,对报警进行了分类。给出了基于序列分析的报警分析模型,它包括两个代理:学习代理和检测代理。最后针对报警数据进行了仿真试验,并说明了将来的研究计划。     

一种基于多因素的告警关联方法

入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。     

报警信息关联模型的构建和实现

协同和分布式的网络攻击对传统的网络安全防护提出了巨大的挑战,同时也对分布式入侵检测技术提出了更高的要求,而有效融合多种入侵检测系统报警信息能够提高告警的准确性。首先给出了五维度报警信息关联的定义;然后设计与实现了带有实时响应机制的层次化关联模型,该模型具有较广泛的适用性,每一层都可以作为一个单独的模块完成相应的功能;最后给出了报警信息融合模块的实现。实验证明：报警信息融合可以降低误报、漏报率,并能识别攻击意图,达到预警的目的。     

基于关联分析的IDS报警信息的研究与设计

入侵检测系统的大部分报警事件之间都存在某种联系,通过对这些报警信息的关联分析,对解决目前入侵检测系统所存在的误报、漏报、重复报警、报警信息层次低等问题,具有重要的意义。该文基于因果关联方法,建立了一个入侵检测系统关联分析模型,该模型的关联分析过程分为聚合和关联分析,可以对不同入侵检测系统产生的报警信息进行关联分析。     

基于不确定性知识发现的入侵报警关联方法

针对入侵检测系统报警信息量大、琐碎和分散的问题,提出了一种基于不确定性知识发现的入侵报警关联方法。该方法的知识发现部分采用提出的不确定性序列模式发现算法—CWINEPI对报警数据进行序列模式发现,并将经过筛选后获得的入侵报警序列模式转化成入侵报警精简规则;再对入侵报警序列模式进行关联以获取攻击模式,并转化为入侵场景重建规则。入侵报警关联部分利用获取的入侵报警精简规则和入侵场景重建规则,以模式匹配方法构造报警关联引擎,对多个入侵检测系统上报的入侵报警进行关联。美国国防部高级研究计划局2000年入侵评测数据（DARPA2000）的报警数据验证了知识发现部分的良好性能;测试环境中的入侵报警的关联结果表明了该方法是高效、可行的。     

Improving the quality of alerts and predicting intruder’s next goal with Hidden Colored Petri-Net

Intrusion detection systems (IDS) often provide poor quality alerts, which are insufficient to support rapid identification of ongoing attacks or predict an intruder’s next likely goal. In this paper, we propose a novel approach to alert postprocessing and correlation, the Hidden Colored Petri-Net (HCPN). Different from most other alert correlation methods, our approach treats the alert correlation problem as an inference problem rather than a filter problem. Our approach assumes that the intruder’s actions are unknown to the IDS and can be inferred only from the alerts generated by the IDS sensors. HCPN can describe the relationship between different steps carried out by intruders, model observations (alerts) and transitions (actions) separately, and associate each token element (system state) with a probability (or confidence). The model is an extension to Colored Petri-Net (CPN). It is so called “hidden” because the transitions (actions) are not directly observable but can be inferred by looking through the observations (alerts). These features make HCPN especially suitable for discovering intruders’ actions from their partial observations (alerts) and predicting intruders’ next goal. Our experiments on DARPA evaluation datasets and the attack scenarios from the Grand Challenge Problem (GCP) show that HCPN has promise as a way to reducing false positives and negatives, predicting intruder’s next possible action, uncovering intruders’ intrusion strategies after the attack scenario has happened, and providing confidence scores.     

入侵检测报警关联技术

报警关联技术分析不同安全产品产生的报警,从中识别出真正有意义的攻击警报,并减少大量的误报警,降低安全管理员的工作量。该文介绍了报警关联的基本模型和主要技术,分析了主要的关联方法,探讨了报警关联技术的发展方向。这些讨论对应用或发展报警关联技术都有参考价值。