一种基于多因素的告警关联方法

入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。     

基于关联规则的网络故障告警相关性分析

针对网络故障复杂、告警数据库信息量大等问题,提出一种改进的增量式关联规则挖掘算法。采用关联规则挖掘技术,对告警数据库中的更新规则进行增量关联规则挖掘,将传统告警分析方法与挖掘出的关联规则相结合,应用于网络故障告警相关性分析中。实验结果表明,该算法能减少冗余规则,提高挖掘效率。     

基于模式挖掘和聚类分析的自适应告警关联

大部分攻击事件都不是孤立产生的,相互之间存在着某种联系,如冗余关系和因果关系等.大多数入侵检测系统忽略了上述关联性,从而暴露出高误报率的严重问题.在分析比较了目前较为流行的几种告警关联方法的优缺点基础上,提出了一种基于模式挖掘和聚类分析的自适应告警关联模型A3PC.以告警的行为模式概念为中心,A3PC将异常检测思想引入告警关联的问题上,通过提取关联规则和序列模式生成告警的分类模型,对误报进行自动鉴别,同时采用模式挖掘和聚类分析算法相结合的处理思想以及人机交互的半自动处理模式,从而形成真实有效、精简的管理员告警视图.使用MIT Lincoln实验室提供的DARPA入侵检测攻击场景数据集进行了测试,实验分析表明,A3PC较传统方法在告警关联准确程度、实时性和自适应性等方面更具优势.     

网络告警序列中的频繁情景规则挖掘算法

网络告警序列中隐含着丰富的关于网络自身行为特征的模式知识，对其进行有效挖掘和利用将显著提高网络故障管理智能化程度．本文研究网络告警序列中的知识发现问题，提出并实现了一种基于滑动窗口的情景规则挖掘算法。     

一个用于IDS告警分析的验证-聚类-关联模型

多步骤攻击是当前占据主流的攻击模式,但当前的入侵检测系统在检测这种攻击时存在告警冗余、告警孤立等问题.为解决这些问题,提出了一个验证-聚类-关联告警分析模型.该模型将验证、聚类、关联这3个告警分析环节结合在一起,逐层地对告警信息进行分析,通过验证过滤掉原始告警信息中的误报及无关信息,验证后的有效告警信息通过聚类生成无冗余的单步告警,再通过关联生成能描述攻击者意图的全局告警.对相关的算法与规则进行了描述,并通过几个实际的攻击场景验证了该模型的有效性.     

一种新的在线攻击意图识别方法研究

现有的利用入侵检测告警来构建攻击场景、识别多步攻击意图的方法存在着需要定义复杂的关联规则、过于依赖专家知识和难以发现完整场景等不足,为此提出了一种基于攻击行为序列模式挖掘方法的攻击意图识别技术.通过分析入侵告警的攻击行为序列,挖掘出多步攻击的行为模式,再进行在线的告警模式匹配和告警关联度计算来发现攻击者的攻击意图,预测攻击者的下一步攻击行为.实验结果表明,该方法可以有效的挖掘出攻击者的多步攻击行为模式,并能有效的实现在线的攻击意图识别.     

数据挖掘技术在通信网告警分析中的应用

在通信网中每天都会产生大量的告警数据,其中隐藏着很多有价值的信息,可用来过滤各种冗余告警,实现智能化故障定位、诊断和预测,告警关联性分析则是实现前述功能的重要基础.本文通过对通信网告警数据以及告警之间关联性的分析,提出将Apriori关联挖掘算法与事件滑动窗口相结合的告警相关性规则生成算法,实现自动生成告警相关性规则.     

基于时态关联规则的网络故障预报

该文针对网管告警数据库中时间序列存在的连续性、不确定性和模糊性问题,提出了一种基于时态关联规则挖掘告警库的新方法。该方法引入告警数据的时间序列,可预测出一些告警（联合）事件的发生将导致哪些告警（联合）事件的随后产生。通过对某校园网的告警数据库进行规则挖掘实验,表明该方法可以准确、有效的挖掘出隐含在海量网管告警数据库中大量有意义的时态关联规则,规则中的概率参数（置信度和支持度）可作为网络管理的先验知识用来指导网络故障的诊断和预报。     

一种改进的多源异构告警聚合方案

各类网络安全防御设备产生的大量冗余告警信息非常琐碎、误警率高, 给告警的分析和理解造成较大困难。针对这一问题进行研究, 提出一种改进的多源异构告警数据的聚合方案, 综合分析告警类型、源IP、目的IP、目的端口及时间间隔几个属性, 总结出四个规则, 并在聚合过程中动态更新时间间隔阈值, 提高聚合精确度。实验结果表明, 这种方法能高效减少异构告警信息的数量, 得到精简的超告警数据, 并实现了实时处理告警信息的能力。     

基于时态关联规则的网络故障预报

该文针对网管告警数据库中时间序列存在的连续性、不确定性和模糊性问题,提出了一种基于时态关联规则挖掘告警库的新方法。该方法引入告警数据的时间序列,可预测出一些告警(联合)事件的发生将导致哪些告警(联合)事件的随后产生。通过对某校园网的告警数据库进行规则挖掘实验,表明该方法可以准确、有效的挖掘出隐含在海量网管告警数据库中大量有意义的时态关联规则,规则中的概率参数(置信度和支持度)可作为网络管理的先验知识用来指导网络故障的诊断和预报。     

恶意代码检测中的PrefixSpan*算法应用

结合数据挖掘和专家系统技术解决主机恶意代码检测问题,提出一个基于行为的恶意代码检测系统。数据挖掘算法采用改进的序列模式挖据算法——PrefixSpan*,该算法用简约投影数据库代替原PrefixSpan算法的投影数据库。PrefixSpan*从恶意代码行为序列库中挖掘关联规则,专家系统将获取的主机行为与规则匹配,从而达到检测恶意行为的目的。实验结果证明了该算法的正确性和有效性。     

基于PrefixSpan 序列模式挖掘的一种改进算法

PretixSpan算法解决了类Apriori算法的不足,但产生的投影数据库花费了较多的存储空间及扫描时间.本文基于PretixSpan算法提出PSD算法,舍弃了对非频繁项的存储及对投影序列数小于最小支持数的投影数据库的扫描,减少了不必要的存储空间,提高了查询速度.实验证明,PSD算法比PretixSpan算法具有更好的时空性能.     

信息安全报警多级融合模型

报警融合是精简冗余报警,识别复杂攻击场景的有效方法,当前的报警融合方法大都局限于融合的特定方面。多级融合模型通过报警的标准化、验证、聚合与关联等环节,可以层层精简报警,从低层报警中抽象出高层攻击场景。实验结果证明该模型是可行的,且具有较高性能。     

基于时间对抗的网络报警深度信息融合方法

针对目前网络报警信息融合方法仅以单时间点为处理单元,无法适应网络攻击逐渐呈现出的隐蔽性强、持续时间长等特点,提出一种基于时间对抗的网络报警深度信息融合方法。面对多源异构报警数据流,首先采集并保存当前一个较长时间窗口内的报警信息,然后利用基于滑动窗口的流聚类算法对报警信息进行聚类,最后引入窗口衰减因子对聚类后的报警进行深度融合。真实数据的实验结果显示,与基本DS证据理论(Basic-DS)和指数加权DS证据理论(EWDS)融合方法方法相比,该方法有较高的检测率和较低的误检率,但因为采用了更长的时间窗口,精简率上略低;实际测试与性能分析也表明,该算法的时延较小,能更加有效地检测网络攻击,且能完成实时处理。     

基于不确定性知识发现的入侵报警关联方法

针对入侵检测系统报警信息量大、琐碎和分散的问题,提出了一种基于不确定性知识发现的入侵报警关联方法。该方法的知识发现部分采用提出的不确定性序列模式发现算法—CWINEPI对报警数据进行序列模式发现,并将经过筛选后获得的入侵报警序列模式转化成入侵报警精简规则;再对入侵报警序列模式进行关联以获取攻击模式,并转化为入侵场景重建规则。入侵报警关联部分利用获取的入侵报警精简规则和入侵场景重建规则,以模式匹配方法构造报警关联引擎,对多个入侵检测系统上报的入侵报警进行关联。美国国防部高级研究计划局2000年入侵评测数据（DARPA2000）的报警数据验证了知识发现部分的良好性能;测试环境中的入侵报警的关联结果表明了该方法是高效、可行的。     

PrefixSpan算法与CloSpan算法的分析与研究

数据挖掘领域的一个活跃分支就是序列模式的发现,即在序列数据库中找出所有的频繁子序列.介绍序列模式挖掘的基本概念,然后对序列模式中的经典算法PrefixSpan算法和基于PrefixSpan框架的闭合序列模式CloSpan算法进行了描述,并对它们的执行过程及其特点进行了分析与比较,总结了各自的优缺点,指出PrefixSpan算法适用于短序列方面挖掘,而CloSpan算法在长序列或者阈值较低时胜过PrefixSpan算法且CloSpan算法挖掘大型的数据库有更好的性能,得出的结果对序列模式挖掘的设计有重要的参考价值.     

PrefixSpan算法与CloSpan算法的分析与研究

数据挖掘领域的一个活跃分支就是序列模式的发现,即在序列数据库中找出所有的频繁子序列。介绍序列模式挖掘的基本概念,然后对序列模式中的经典算法PrefixSpan算法和基于PrefixSpan框架的闭合序列模式CloSpan算法进行了描述,并对它们的执行过程及其特点进行了分析与比较,总结了各自的优缺点,指出PrefixSpan算法适用于短序列方面挖掘,而CloSpan算法在长序列或者阈值较低时胜过PrefixSpan算法且CloSpan算法挖掘大型的数据库有更好的性能,得出的结果对序列模式挖掘的设计有重要的参考价值。     

一种基于遗传聚类的报警聚合方法

提出了一种基于遗传聚类算法对入侵检测系统（IDS）报警进行聚合的方法。将报警间属性的相异程度转换到值域区间[0.0,1.0]上,两报警间的相异程度用一个相异度矩阵表示;利用遗传算法的自适应优化特性选取较优的聚类中心,根据报警间的相异度矩阵将相似的报警进行聚类;在此基础上,分别对每一类中的报警采用凝聚层次的聚合方法进行聚合。实验结果证明,该方法能够有效地减少重复报警。     

基于PrefixSpan的序列模式挖掘改进算法

针对序列模式挖掘算法PrefixSpan在挖掘过程中需要构造大量投影数据库的不足,提出IPMSP算法,在递归挖掘过程中,通过检查序列数据库关于前缀的前缀,避免对同一频繁前缀模式构造重复投影数据库,同时舍弃对非频繁项的存储并在投影序列数小于最小支持度时停止扫描投影数据库,从而提高PrefixSpan算法的时空性能。实验结果证明,IPMSP算法在时间和空间性能上优于PrefixSpan算法。