安全事件管理系统中关联分析引擎的实现

随着信息化技术的不断发展,网络攻击行为日益猖獗,大型企业为了保障企业网络的正常运转,在网络上部署了大量的安全设备。当网络攻击行为发生时,安全设备会在短时间内产生大量的安全告警事件,管理员很难在有限时间内从告警事件中获得有价值的信息。安全事件管理系统统一收集和管理这些安全事件,并将安全告警事件、网络设备和主机日志以及通过漏洞扫描获得的系统漏洞信息进行关联分析,能快速地发现网络攻击行为可能带来的危害,提高整个网络的安全性和可靠性。     

对入侵检测警报关联分析的研究与实践

该文从网络入侵检测系统(NIDS)的工作原理、配置策略和警报格式三方面对其重复警报信息量大、误报多的原因进行了详细分析,指出了因此带来的危害。提出利用对警报信息的关联分析方法来调整IDS的配置策略和确定攻击行为,并结合分析的结论和漏洞扫描的结果对网络配置状况进行了重新评估,指出网络中存在的问题,使网络安全管理员及时解决问题,加固系统,提高了网络入侵检测系统的准确性、实用性。     

基于关联分析的IDS报警信息的研究与设计

入侵检测系统的大部分报警事件之间都存在某种联系,通过对这些报警信息的关联分析,对解决目前入侵检测系统所存在的误报、漏报、重复报警、报警信息层次低等问题,具有重要的意义。该文基于因果关联方法,建立了一个入侵检测系统关联分析模型,该模型的关联分析过程分为聚合和关联分析,可以对不同入侵检测系统产生的报警信息进行关联分析。     

基于数据挖掘的入侵检测告警关联分析研究

关联分析技术能够大大减少报警的数量、降低入侵检测误报警率 (false positive)和适当减少入侵检测漏报率 (falsenegative)。所以在入侵检测系统中引入报警关联分析功能具有重要的实际意义。目前入侵检测报警关联分析技术获得了广泛的研究。基于数据挖掘的入侵检测告警关联分析能够自动提取关联规则 ,分析告警并发现新的入侵模式 ,是一种智能性较强的解决方法。本文对基于数据挖掘的入侵检测告警关联分析进行了较详细的研究。     

利用关联和风险评估方法减少误报和漏报

高误报和漏报率是入侵检测系统面临的主要问题。提出了一种利用关联和风险评估的方法 ,利用构建的安全关联模型 ,计算出每个安全事件 (如告警事件、系统安全日志记录等 )的实时风险值 ,对风险值较高的事件给出新的警告 ,并摈弃那些风险值较低的事件 ,从而降低漏报和误报率。实验结果表明 ,利用这种方法实现的事件关联系统能够显著降低检测系统的误报和漏报率。     

NIDS报警信息关联分析进展研究

入侵检测技术是当前网络安全领域的一个研究热点,报警关联分析是其中一个重要部分。通过报警信息的关联分析,可以显著地降低入侵检测系统的误警率,提高它的检测率和可用性,帮助网络管理员更好地掌握当前网络的安全状况。本文对当前国际上报警关联分析技术的研究现状进行了综合分析,并对现有方法进行了分类和比较。     

等级保护安全事件关联分析技术的研究

文章在对湖北联通业务承载网络进行调研的同时,结合等级保护对安全审计的要求,在对当前主流关联分析技术进行研究的基础上,提出了一种新的安全事件关联分析技术。该技术涉及到多源数据预处理、报警聚合、关联分析、大数据分析和安全状况态势评估等相关技术。     

网络安全信息关联分析技术研究与应用

针对当前网络安全信息分析过程中出现的安全描述片面性、信息可视化程度低和误报警、漏报警现象等问题,提出运用关联方法对网络中的报警和日志信息进行综合分析,用于提高网络安全信息分析能力。给出关联分析的定义和模型,对关联分析的分类和实施方法进行了阐述,并结合相应事例说明了关联分析在网络安全信息分析中的作用。     

安全事件关联模型的研究与实现

基于攻击前提和后果关联的技术有多种,在此基础上,研究并实现了一种面向分布式的多源实时报警收集及关联分析的框架。初步实验证明,该框架在复杂的网络环境下能够有效地减少和分析报警事件,帮助管理员从大量数据中找到重要信息。     

安全事件关联模型的研究与实现

基于攻击前提和后果关联的技术有多种,在此基础上,研究并实现了一种面向分布式的多源实时报警收集及关联分析的框架。初步实验证明,该框架在复杂的网络环境下能够有效地减少和分析报警事件,帮助管理员从大量数据中找到重要信息。     

分布式入侵告警关联分析

为了精简分布式入侵检测系统中重复性的、不完善的或不完整的告警数据,降低误告警率,解决具有因果关系和非因果关系共存的告警关联问题,提出了一种分级关联算法．利用告警数据的检测时间属性的接近度将关联分析分为两类：概率关联和因果关联．给出了自调节增量贝叶斯分类器和实时因果关联算法,从而实现了多种特征混合的告警关联,提高了告警关联率．使用MIT Lincoln Lab提供的2000 DARPA入侵检测攻击场景数据集LLDOS1．0对该算法进行了性能测试,实验结果验证了算法的有效性．     

网络安全报警关联研究

随着网络攻击的日趋智能化,大量安全设备被部署在网络中,它们在保护网络的同时,也为网络管理员的分析工作带来了新的挑战,如何从这些安全设备产生的海量信息中挑选出有效信息,并还原攻击场景,仅靠人工操作是难以完成的。在这种情况下,网络安全报警关联技术应运而生。该文在分析了几种传统的安全报警关联系统体系结构后,着重介绍了当前比较流行的几种网络安全报警关联方法,并分析了其优缺点。     

分布式IDS的报警关联定义

网络规模越来越大。传统的IDS往往存在漏报误报率高、报警太低级的问题,因而不能及时准确反映整个系统的安全态势。网络管理人员不得不面对海量的原始报警信息,如大海捞针般地寻找可能的安全威胁和攻击来源。本文首先讨论了现有IDS的不足;之后给出了报警关联的定义。本文的研究成果已经在“网络安全监控与预警系统”（十五863项目）中得到应用,对分布式入侵检测系统的报警关联设计有重要的参考价值。     

基于支持向量机的降低入侵检测误报警方法

应用支持向量机处理入侵检测系统所产生的报警数据，以降低大量误报警。由于报警数据的异构性，在构造支持向量机时选择可以准确度量异构距离的类径向基核函数，以提高分类精度。实验数据是利用入侵检测器Snort对实验环境下获得的攻击和正常数据产生的报警数据集，并添加了6项背景属性以增强分类精度。测试结果表明了该文的方法具有良好的性能：在不增加漏报的前提下真报警率为100%，误报警消除率为99.729 1%，每条数据的处理时间为0.38ms。     

IDSIC: an intrusion detection system with identification capability

Security is an important but challenging issue in current network environments. With the growth of Internet, application systems in enterprises may suffer from new security threats caused by external intruders. This situation results in the introduction of security auditors (SAs) who perform some test methods with hacking tools the same as or similar to those used by hackers. However, current intrusion detection systems (IDSs) do not consider the role of security auditors despite its importance. This causes IDSs to generate many annoying alarms. In this paper, we are motivated to extend a current IDS functionality with Identification Capability, called IDSIC, based on the auditing viewpoint to separate auditing traffic from malicious attacks. The IDSIC architecture includes two components: fingerprint adder and fingerprint checker, which can provide a separability of security auditors and hackers. With this architecture, we show that IDSICs can lower the consequential costs in the current IDSs. Therefore, such IDSICs can ensure a more stable system performance during the security examination process.     

入侵检测报警聚合与关联系统设计与实现

入侵检测系统的大部分报警事件之间都存在某种联系。通过对这些报警的聚合与关联能够消除或减少重复报警，降低误报率及发现高层多步攻击策略。论文设计并实现了一种报警聚合与关联系统，系统主要包括报警聚合、报警校验、多步攻击报警关联和报告分析与规则控制等部分。实验证明：该系统能够减少报警数量，并能识别攻击意图，达到预警的目的。     

基于校园网的网络安全系统研究与设计

传统模式的校园网络安全依靠单一的网络防火墙和防病毒软件构建的二层防护体系来实现。随着网络攻击手段的提高,二层防护体系已经很难适应当前的校园网。本文在比较了防火墙和入侵检测系统各自的区别和联系的基础上,提出一种将入侵检测与防火墙结合起来互动运行的校园网络安全防御系统的解决方案,在不必大幅增加运行成本的基础上大大提高校园网络系统的安全防护水平和网络管理水平。     

网络入侵检测系统的分析与设计

随着网络的高速发展,网络信息安全问题不断暴露出来。介绍了入侵检测系统中的网络入侵检测系统(NIDS)的基本概念和分析设计原理。系统采用了模块化设计,对各模块都进行了分析设计介绍。