基于入侵行为模式的告警关联

本文提出了一种基于入侵行为模式的告警关联方式。入侵行为模式是定义在时间基础上的一组谓词公式,其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时,对虚警的处理尤为有效。     

基于入侵行为模式的告警关联

本文提出了一种基于入侵行为模式的告警关联方式.入侵行为模式是定义在时间基础上的一组谓词公式,其实质是通过时间限制联系在一起的入侵事件的集合.该方法在对大量告警进行关联的同时,对虚警的处理尤为有效.     

基于层次的智能告警关联分析模型研究

入侵检测系统的广泛使用产生了许多告警信息流,这些告警事件信息流基本上都是基于低层的攻击步骤检测,且具有较大的误告警率;各种分布式攻击进一步加剧了入侵检测系统告警事件信息流的复杂性。研究介绍了关联分析的基本原因、关联分析的基本概念,然后提出智能化入侵检测关联分析层次模型。该模型从误告警验证和抑制,到一个攻击一个告警,再到一个攻击过程对应一个场景刻画,形成一个层次。在不同的层次上,防御者对攻击的视图越来越清晰,从而为响应措施提供了精确的决策依据,进一步提高了整个入侵检测系统的智能性和可用性。     

基于模式挖掘和聚类分析的自适应告警关联

大部分攻击事件都不是孤立产生的,相互之间存在着某种联系,如冗余关系和因果关系等.大多数入侵检测系统忽略了上述关联性,从而暴露出高误报率的严重问题.在分析比较了目前较为流行的几种告警关联方法的优缺点基础上,提出了一种基于模式挖掘和聚类分析的自适应告警关联模型A3PC.以告警的行为模式概念为中心,A3PC将异常检测思想引入告警关联的问题上,通过提取关联规则和序列模式生成告警的分类模型,对误报进行自动鉴别,同时采用模式挖掘和聚类分析算法相结合的处理思想以及人机交互的半自动处理模式,从而形成真实有效、精简的管理员告警视图.使用MIT Lincoln实验室提供的DARPA入侵检测攻击场景数据集进行了测试,实验分析表明,A3PC较传统方法在告警关联准确程度、实时性和自适应性等方面更具优势.     

一种新的告警关联聚类算法

针对网络中的告警泛洪和故障处理复杂问题, 提出一种结合元胞学习自动机(CLA)和决策树ID3的新告警关联聚类算法。在CLA算法中使用学习自动机对告警信号进行分簇, 但是在一个簇内如果出现任何子群或交错, 则决策树ID3学习算法通过分割数据样本训练在该簇上来优化决策边界, 从而大大减少分簇告警数目以及完成对根源性告警的定位。仿真表明, 该算法能有效地对大量告警信号进行分析, 并且能比较准确地鉴定出根源性告警。     

基于数据挖掘的入侵检测告警关联分析研究

关联分析技术能够大大减少报警的数量、降低入侵检测误报警率 (false positive)和适当减少入侵检测漏报率 (falsenegative)。所以在入侵检测系统中引入报警关联分析功能具有重要的实际意义。目前入侵检测报警关联分析技术获得了广泛的研究。基于数据挖掘的入侵检测告警关联分析能够自动提取关联规则 ,分析告警并发现新的入侵模式 ,是一种智能性较强的解决方法。本文对基于数据挖掘的入侵检测告警关联分析进行了较详细的研究。     

基于FP算法改进的多层次关联规则数据挖掘算法

针对FP算法的缺陷,将OLAP技术和Apriori关联规则相结合,提出一种针对FP算法的改进的多层次关联规则数据挖掘算法,在分析关联规则数据挖掘结构的基础上,给出该算法的思想与执行步骤,对于关联规则数据挖掘的研究具有一定的理论意义.     

基于知识积累的告警相关方法

黑客的入侵是一个逐步积累、逐步深入的过程。在入侵过程中,黑客所积累的有关目标系统的信息越多,越有利下一步入侵的成功。现有的告警相关方法不能识别带分支的入侵过程,也不能识别属于某个入侵过程的失败的入侵步骤。该文针对这两种情况提出了一种基于知识积累的告警相关方法,这种方法不仅能识别完整入侵过程,而且能对入侵过程的相关程度及其入侵结果进行评估。     

基于关联分析的高校校园网告警系统

随着高校校区的扩大,网络规模越来越大,结构也趋于复杂、异构,这就需要对网络进行有效的管理以维持其可靠性和可用性.告警相关性分析作为网络故障管理中的重要内容,有助于处理冗余告警、定位故障及预防故障的发生.提出使用关联规则分析的告警系统,这些规则可以作为先验知识来指导网络智能化故障定位、诊断和预测.     

一种基于相关度统计的告警事件关联算法

网络故障与网络告警事件之间存在着必然的关系.在分析故障传播和告警模式的基础上,将同一故障引发的告警事件区别为根源事件和并发事件,通过对隐藏在海量事件中的根源事件与并发事件相关度的统计,发现每一类故障的相关事件类集合,并以此作为关联规则,进行事件关联处理,能够正确地进行故障定位,有效过滤冗余事件,为故障原因分析提供依据.     

一种改进的基于数据挖掘的网络入侵算法

入侵检测系统作为一种主动的信息安全防御措施,有效地弥补了传统安全防护技术的不足,利用数据挖掘善于从大量数据中提取有用规则的特点,提出了一种改进的FP-Growth关联分析算法的网络入侵检测防御系统模型,该方法可以极大地提高数据挖掘的速度和节省数据挖掘中数据存储的空间。     

一种分布式告警融合模型的分析

为解决IDS产生大量相似的或无用的告警信息的问题,需要应用告警融合技术对告警信息进行处理。在已有的算法基础上设计了一种告警合成算法。有效地减少了无用警报的数量,又保持了警报处理的及时性,为后期的关联工作做好了准备。     

一种改进的关联规则挖掘算法在入侵检测中的应用研究

为了解决网络入侵检测领域使用Apriori算法挖掘频繁模式效率不高、精度不够的问题,引入自适应步长跃进、动态修剪候选频繁项集的概念,提出一种新的改进关联规则挖掘算法,该算法较Apriori算法有比较明显的优势,可以广泛应用于大规模入侵检测数据库的关联规则挖掘中.     

基于关联规则的网络故障告警相关性分析

针对网络故障复杂、告警数据库信息量大等问题,提出一种改进的增量式关联规则挖掘算法。采用关联规则挖掘技术,对告警数据库中的更新规则进行增量关联规则挖掘,将传统告警分析方法与挖掘出的关联规则相结合,应用于网络故障告警相关性分析中。实验结果表明,该算法能减少冗余规则,提高挖掘效率。     

基于模糊关联规则挖掘改进算法的IDS研究

由于现有入侵检测系统误报、漏报率较高,提高其检测准确率具有重要意义;阐述了模糊关联规则挖掘技术在网络入侵检测中发现网络异常并通过相似度计算做出量化的入侵响应的方法,详细描述了基于模糊关联规则算法的入侵检测的具体步骤,并改进了该算法的隶属度函数建立和标准规则集生成方法;通过异常检测实验验证了在入侵检测中应用这一算法的可行性,并且所做的改进可以提高算法的准确性,从而可以得出此改进算法较好地提高了入侵检测的准确率,为入侵检测系统的改进提供了一些思路。     

分布式入侵告警关联分析

为了精简分布式入侵检测系统中重复性的、不完善的或不完整的告警数据,降低误告警率,解决具有因果关系和非因果关系共存的告警关联问题,提出了一种分级关联算法．利用告警数据的检测时间属性的接近度将关联分析分为两类：概率关联和因果关联．给出了自调节增量贝叶斯分类器和实时因果关联算法,从而实现了多种特征混合的告警关联,提高了告警关联率．使用MIT Lincoln Lab提供的2000 DARPA入侵检测攻击场景数据集LLDOS1．0对该算法进行了性能测试,实验结果验证了算法的有效性．     

基于多源安全信息的告警校验与聚合技术

针对网络入侵检测系统产生大量低质量告警的问题,提出了基于多源安全信息的告警校验与聚合技术,采用一阶谓词逻辑对告警校验进行了建模,并综合分析告警的时间、空间、攻击类型三维属性,对告警进行聚合。提出的方法能够实时、有效地滤除无关告警,消除冗余度,实现告警的精简。     

入侵告警信息聚合与关联技术综述

告警聚合与关联是入侵检测研究的一个关键问题,可以有效解决IDS在实际应用中存在大量重复告警和高误报率的不足。介绍告警聚合和关联的重要性,对现有告警聚合和关联技术进行深入分析比较;总结归纳现有告警聚合与关联的体系结构与应用准则;对当前研究面临的重要技术难题与发展趋势进行展望。     

基于关联规则和情景规则的网络告警分析模型

网络告警关联中隐含着丰富的模式知识,通过研究告警信息间的因果相关性,能够显著的提高网络故障管理的智能度.文章通过研究网络告警中的知识发现问题,提出一种基于关联规则和情景规则的网络告警分析模型.