基于目标图的入侵检测报警关联算法

针对入侵检测系统响应能力差以及误报率高的问题,提出了基于目标图的入侵检测报警关联算法.该算法在动作节点之间实现报警信息的前因后果链关系,并根据报警信息显式地跟踪系统状态变化以及攻击者的主观状态,监视状态的变化,推断攻击者的意图以及攻击策略.实验表明,该方法产生的关联结果能够很好地发现攻击者意图以及攻击策略,并且能够有效地降低入侵检测系统的误报率.     

基于概率推理的入侵意图识别研究

攻击者的入侵行为背后往往蕴含着攻击者的目标和意图,据此提出了入侵意图识别的层次化模型。为了处理网络环境中的不确定性信息,提出了基于概率推理的入侵意图识别算法,并在此基础上预测攻击者的后续攻击规划和目标,从而起到提前预警的作用。根据网络安全事件、目标和意图之间的因果关系建立的贝叶斯网络能够描述和处理并发意图识别问题。试验证明了该方法的可行性和有效性。     

基于软件定义网络的反嗅探攻击方法

网络嗅探攻击中,攻击者从网络节点或链路捕获和分析网络通信数据、监视网络状态、窃取用户名和密码等敏感信息。在攻击发生时,攻击者通常处于静默状态,传统的网络防护手段如防火墙、入侵检测系统（IDS）或入侵防御系统（IPS）很难发现并有效抵御攻击。从网络结构入手,提出基于软件定义网络（SDN）的动态路径跳变（DPH）通信机制,依据空间和时间约束条件,动态改变通信节点之间的路径,宏观上将通信流量相对均匀地分布在多条传输链路中,增加网络嗅探攻击中获取完整数据的难度。实验仿真结果说明,在一定的网络规模下,动态路径跳变能够在不明显降低网络传输性能的条件下有效防御嗅探攻击。     

一种新的在线攻击意图识别方法研究

现有的利用入侵检测告警来构建攻击场景、识别多步攻击意图的方法存在着需要定义复杂的关联规则、过于依赖专家知识和难以发现完整场景等不足,为此提出了一种基于攻击行为序列模式挖掘方法的攻击意图识别技术.通过分析入侵告警的攻击行为序列,挖掘出多步攻击的行为模式,再进行在线的告警模式匹配和告警关联度计算来发现攻击者的攻击意图,预测攻击者的下一步攻击行为.实验结果表明,该方法可以有效的挖掘出攻击者的多步攻击行为模式,并能有效的实现在线的攻击意图识别.     

无线传感器网络中基于Sinkhole攻击的入侵检测系统研究

随着无线传感器网络应用范围的扩大、传感数据重要性的提高,其安全性也日益受到关注。Sinkhole是一种比较基础且常见的路由攻击类型,在该攻击中,攻击者通过声称到目的节点或基站具有高质量的路径吸引周围节点的数据流,严重破坏了网络的负载平衡。根据AODV协议中Sinkhole攻击方式特点,设计一个基于规范的分布式入侵检测系统,并对入侵检测系统的各功能模块进行详细的设计和分析。该系统通过本地数据监控模块提供的信息对节点的行为进行状态转换,判断节点是否发生异常行为,同时结合其他节点提供的信息最终确定攻击者。仿真结果和分析表明所设计的基于AODV路由协议的入侵检测系统具有良好性能,即使在有攻击出现的情况下,网络仍可以保持较高的传输率。     

基于贝叶斯攻击图的网络入侵意图识别方法

现有入侵意图识别方法对报警证据的有效性缺乏考虑,影响了入侵意图识别的准确性。为此提出基于贝叶斯攻击图的入侵意图识别方法。首先建立贝叶斯攻击图模型,然后通过定义报警的置信度及报警间的关联强度,去除低置信水平的孤立报警;根据提取到的有效报警证据进行贝叶斯后验推理,动态更新攻击图中各状态节点遭受攻击的概率,识别网络中已发生和潜在的攻击行为。实验结果表明,该方法能有效提取报警证据,提高网络入侵预测的准确性。     

动态传感网络主节点恶意攻击检测仿真

动态传感网络是一种点对点结构的网络,有着多跳、无中心、自组织网络等特点,主节点会根据需要发生变动,导致网络拓扑结构也随之改变.传统的受恶意攻击主节点检测方法是根据固定拓扑结构设定的属性指标进行检测,针对拓扑结构经常变动的动态传感网络中受恶意攻击主节点检测准确性不高.提出利用加权平均算法的动态传感网络恶意行为检测方法,对节点的变化恶意信息进行加权,将节点特殊标记信息所携带的数据进行加权,使得各个节点的加权因子比较合理,对整个节点网络的加权平均控制在一定范围内,对恶意行为进行检测.通过对改进算法进行仿真验证,结果表明,提出的方法在入侵检测和屏蔽恶意代码攻击方面有着良好的效果.     

基于扩展目标规划图的网络攻击规划识别算法

在人工智能领域经典规划识别方法的基础上，针对网络攻防领域攻击规划识别问题的特性，对目标规划图进行进一步扩充，引入观察节点以区分规划者动作以及识别者对动作的观察，将动作节点分化为由具体动作层和抽象动作层组成的层次结构，并根据抽象攻击模式在抽象攻击层面上维护与安全状态节点的前提和后果条件，形成扩展目标规划图（Extended Goal Graph，EGG）模型；并进一步提出基于扩展目标规划图的攻击规划识别算法，该算法能够有效地从大量底层入侵报警信息中正确识别背后蕴藏的攻击者意图及规划．通过DARPA2000入侵场景关联评测数据集和在蜜网环境中捕获的实际僵尸网络攻击场景数据的实验测试以及与TIAA入侵报警关联分析系统的实验结果对比，验证了该文提出算法的完备性与有效性．     

基于动态贝叶斯网络的入侵意图识别方法

在构建高层次攻击场景和处理复杂攻击时,入侵检测技术难以有效察觉入侵者的意图、识别攻击间的语义以及预测下一步攻击。为此,针对网络复杂攻击过程中的不确定性,提出一种基于动态贝叶斯网络的入侵意图识别方法,采用动态贝叶斯有向无环图实时表述攻击行为、意图与攻击目标之间的关联,应用概率推理方法预测入侵者的下一步攻击。实验结果反映入侵者的意图在入侵过程中的变化规律,验证该方法的有效性。     

基于数据挖掘和规划的智能网络入侵检测系统

本文构建了一个智能化的网络入侵检测系统--SmartNIDS的体系结构。SmartNIDS通过采集网络的数据源和主机的日志数据,利用数据挖掘技术对安全审计数据进行智能的检 测,分析来自网络外部的入侵攻击以及内部的未授权行为,同时结合规划识别的方法识别攻击者的入侵意图,提供实时报警和自动响应,实现一个自适应、智能化的入侵检测和预警系统。