基于地址关联图的分布式IDS报警关联算法被引量：4

An algorithm of alert correlation based on address correlation graph in distributed intrusion detection system

下载PDF

导出

摘要当前入侵检测系统产生的报警洪流往往使管理员无法处理,大大降低了IDS系统的有效性.对原始报警事件的关联分析可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图,对大规模分布式入侵检测系统有重要意义.为此综合分析了现有报警关联算法的优点和不足,提出了一种基于地址关联图(ACG)的报警关联算法.该算法用地址关联图模型对分布式IDS原始报警事件进行分析,以得到不同攻击之间的关联和发生步骤,得到攻击者的攻击路径,进而分析攻击者的意图.该算法无需提前制定关联知识库或提前训练关联模型,因此易于实现. The alert flood of current IDSes often overwhelms the security administrators,which largely decreases the effectiveness of IDS.The correlation of original alerts plays an important role in distributed IDS,which can draw out the effective attacks from a large number of alerts,and analyze the real intension of attackers.In this paper,the merits and defects of typical correlation algorithms are analyzed.An algorithm of alert correlation based on address correlation graph(ACG) is proposed here.The algorithm can be used to analyze the original alerts with ACG model,which can get the intrusion path of attackers through the relation and steps of different attacks,and then analyze the intension of attackers.The algorithm is easy to be implemented because it does not depend on a predefined base of correlation knowledge or a forehand training of correlation model.

作者段海新于雪丽王兰佳

机构地区清华大学信息网络工程研究中心

出处《大连理工大学学报》 EI CAS CSCD 北大核心 2005年第z1期126-131,共6页 Journal of Dalian University of Technology

基金国家自然科学基金资助项目(60203004) 国家高技术研究发展计划863资助项目(2003AA142080)

关键词入侵检测系统报警关联地址关联图 IDS alert correlation ACG

分类号 TP393 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献11

1[1]LEWIS L. A case-based reasoning approach to the management of faults in communication networks[J]. IFIP Trans. C-Comms Systems, 1993, 12: 671-682.
2[2]KLIGER S, YEMINI S, YEMINI Y. A coding approach to event correlations[A]. Proceeding of the 6th IFIP/IEEE International Symposium on Integrated Network Management[C]. London:Chapmanand Hall, 1995:266-277.
3[3]AKOBSON G, WEISSMAN M D. Alarm correlation[J]. IEEE Network, 1993, 7(6):52-59.
4[4]HASAN M, SUGLA B, VISWANATHAN R. A conceptual framework for network management event correlation and filtering system[A]. SLOMAN M, MAZUMDAR S, LUPU E. Intonation Network Management VI[C]. London: Champman Hall, 1999:233-246.
5[5]VALDES A, SKINNER K. Probabilistic alert correlation[R]. RAID 2001, 2001:54-68.
6[6]STANIFORD S, HOAGLAND J A, MCALEMEY J M. Practical automated detection of stealthy portscans[J]. Journal of Computer Security, 2002, 10:105-136.
7[7]DAIN O, CONNINGHAM R K. Fusing a heterogeneous alert stream into scenarios[A]. Proceedings of the 2001 ACM Workshop on Data Mining for Security Applications[C].[S.l.]:[s.n.], 2001:1-13.
8[8]DEBAR H, WESPI A. Aggregation and correlation of intrusion-detection alerts[R]. RAID 2001, 2001:85-103.
9[9]NING P, CUI Y. An intrusion alert correlator based on prerequisites of intrusions[A]. Technical Report TR-2002[M]. [S.l.]:North Carolina State University, Department of Computer Science, 2002[2002-06-05]. Http://uther.dlib.vt.edu/～ncstrlh/cgi-bin/OAINCSTRL_union/UI/search.pl?related=oai:ncsu_cs:TR-2003-16.
10[10]PORRAS P A, FONG M W, VALDES A. A mission-impact-based approach to INFOSEC alarm correlation[A]. RAID 2002[M]., 2002:95-114.

同被引文献41

1龚俭,梅海彬,丁勇,魏德昊.多特征关联的入侵事件冗余消除[J].东南大学学报（自然科学版）,2005,35(3):366-371. 被引量：13
2王洪泊,班晓娟,曾广平,尹怡欣,涂序彦.网络环境下虚拟机器人——“SoftMan”系统平台总体设计[J].计算机科学,2005,32(8):152-154. 被引量：8
3穆成坡,黄厚宽,田盛丰,林友芳,秦远辉.基于模糊综合评判的入侵检测报警信息处理[J].计算机研究与发展,2005,42(10):1679-1685. 被引量：49
4鲍旭华,戴英侠,冯萍慧,朱鹏飞,魏军.基于入侵意图的复合攻击检测和预测算法[J].软件学报,2005,16(12):2132-2138. 被引量：40
5穆成坡,黄厚宽,田盛丰.入侵检测系统报警信息聚合与关联技术研究综述[J].计算机研究与发展,2006,43(1):1-8. 被引量：70
6马忠贵,叶斌,曾广平,涂序彦.基于π演算的软件人群体形式化建模[J].北京理工大学学报,2006,26(2):130-134. 被引量：4
7Wang Y, Behera S R, Wong J, et al. Towards the Automatic Generation of Mobile Agents for Distributed Intrusion Detection System[J ]. Journal of Systems and Software, 2006, 79 (1) :1 - 14.
8Rawat S, Arun K, Pujari A K,et al. On the Use of SinguLar Value Decomposition for a Fast Intrusion Detection System [J]. Electronic Notes in Theoretical Computer Scienoe, 2006, 142(3) :215 - 228.
9Valdes A, Skinner K. Probabilistic Alert Correlation[ C]// Fourth International Symposium on Recent Advances in Intrusion Detection. RAID 2001. Berlin: Springer Press,2001:54 -68.
10Porras P A, Fong M W, Valdes A. A Mission-Impact based Approach to INFOSEC Alarm Correlation[ C]//Fifth International Symposium on Recent Advanoes in Intrusion Detection. Berlin: Springer Press,2002:95 - 114.

引证文献4

1左晶,段海新,于雪莉.入侵检测系统中报警验证模块的设计与实现[J].计算机工程,2008,34(2):267-269. 被引量：5
2杨晓君,张凤斌,晏义威.基于目标图的入侵检测报警关联算法[J].计算机技术与发展,2009,19(2):154-157.
3周芳,郑雪峰,于真.基于信任关联的免疫软件人群体检测模型[J].计算机科学,2011,38(B10):59-61.
4周芳,于真,郑雪峰.一种基于节点关联的报警置信度计算方法[J].北京科技大学学报,2011,33(11):1424-1429.

二级引证文献5

1王一川,张仕斌.基于人工免疫的入侵检测改进模型研究[J].昆明理工大学学报（理工版）,2009,34(1):52-56. 被引量：1
2孙国梓,俞超,陈丹伟.一种入侵检测实验系统的设计与实现[J].计算机教育,2010(6):154-157. 被引量：1
3范荣真,杨东勇.基于人工免疫的入侵检测模型研究[J].福建电脑,2010,26(4):1-2. 被引量：1
4苗华,黄继平,张栋.浏览器入侵警报验证模型的设计与实现[J].重庆理工大学学报（自然科学）,2010,24(8):61-66.
5李洪敏,卢敏,黄林,张建平.基于云计算技术的网络告警融合分析系统的设计与实现[J].信息安全与技术,2014,5(9):58-63. 被引量：3

1许勇,刘波.知识库背景下分布式IDS的结构和运行机制[J].计算机工程与设计,2002,23(1):26-28. 被引量：2
2李宏权.一种基于移动Agent的抗攻击性IDS模型[J].计算机工程与设计,2003,24(4):57-59.
3秦春秀,赵捧未,窦永香.基于用户兴趣的个性化检索[J].情报学报,2005,24(4):449-452. 被引量：7
4蒋少华,姚娟,胡华平.分布式IDS的报警关联定义[J].计算机与现代化,2006(6):88-90. 被引量：3
5李之棠,王阜东,祝幼菁.面向服务的分布式IDS自组织模型研究[J].计算机工程与科学,2007,29(1):17-18. 被引量：1
6段丹青,陈松乔,杨卫平.融合漏洞扫描的入侵检测系统模型的研究[J].计算机技术与发展,2006,16(5):131-133. 被引量：4
7郭帆,叶继华,余敏.一种分布式IDS报警聚合模型的设计与实现[J].计算机应用研究,2009,26(1):325-329. 被引量：3
8如何更好地搜索现实世界[J].东西南北,2012(24):80-80.
9邓小军.Kngine语义搜索引擎[J].互联网天地,2010(5):74-74. 被引量：1
10陈传波,周晓军.一种基于移动代理的分布式IDS模型研究[J].计算机工程与科学,2005,27(5):7-9. 被引量：2

大连理工大学学报

2005年第z1期

浏览历史

内容加载中请稍等...

基于地址关联图的分布式IDS报警关联算法被引量：4

参考文献11

同被引文献41

引证文献4

二级引证文献5

相关作者

相关机构

相关主题

浏览历史

基于地址关联图的分布式IDS报警关联算法 被引量：4

参考文献11

同被引文献41

引证文献4

二级引证文献5

相关作者

相关机构

相关主题

浏览历史

基于地址关联图的分布式IDS报警关联算法被引量：4