-
题名分布式入侵检测中的报警关联方法述评
被引量:4
- 1
-
-
作者
孙晶茹
董晓梅
于戈
-
机构
东北大学信息科学与工程学院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2005年第7期58-59,107,共3页
-
基金
国家"863"计划CIMS主题资助项目(2003AA414210)
国家自然科学基金资助项目(60173051)
教育部优秀青年教师科研教学奖励计划资助项目
-
文摘
一个攻击者要完成一次成功的入侵通常要通过几个步骤来完成,而这些步骤之间往往不是互相独立的,前面的步骤通常是为后面步骤所作的铺垫。但传统的入侵检测集中于检测低层的入侵或异常,所检测到的结果仅仅是一次完整入侵的一部分,不能将不同的报警信息结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。如果将不同分析器上产生的报警信息进行融合与关联分析,则会更有效地检测入侵。文章介绍了几种报警关联方法,其中重点介绍了基于报警信息先决条件和结果的报警信息关联方法,并对这几种方法进行了比较和评价。
-
关键词
入侵检测
攻击
报警关联
超报警类
-
Keywords
Intrusion detection
Attack
alert correlation
hyper-alert class
-
分类号
TP393.09
[自动化与计算机技术—计算机应用技术]
-
-
题名基于报警序列的入侵场景自动构建
被引量:3
- 2
-
-
作者
郭帆
涂风涛
余敏
-
机构
江西师范大学计算机信息工程学院
南昌师范高等专科学校计算机系
-
出处
《计算机应用》
CSCD
北大核心
2009年第8期2223-2226,共4页
-
基金
国家973计划项目(2007CB316505)
江西师范大学博士基金资助项目(2007)
-
文摘
传统的入侵检测系统(IDS)由于其规则的抽象程度较低,导致一次攻击行为会产生大量重复和相关报警。研究表明,入侵场景可提供较高层次的抽象来表示攻击过程,但是已有研究方法均无法在线生成入侵场景。提出一种自动构建入侵场景的方法,将原始报警按照(源,目标)IP对和优先级分类成不同超报警序列集合,从中挖掘频繁闭序列作为入侵场景。在Darpa数据集上的实验表明,该方法可以满足在线运行,并可有效发现攻击过程。
-
关键词
入侵检测
入侵场景
超报警序列
频繁闭序列
-
Keywords
intrusion detection
intrusion scenario
hyper-alert sequence
frequent closed sequence
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名一种入侵容忍系统在Internet上的应用
被引量:2
- 3
-
-
作者
乔佩利
冯晶莹
-
机构
哈尔滨理工大学计算机科学与技术学院
-
出处
《哈尔滨理工大学学报》
CAS
2007年第1期9-12,共4页
-
基金
科学技术部社会公益研究专项基金资助(2005DIB2J218)
-
文摘
给出了一种在Internet环境下使用的入侵容忍系统的体系结构.在数据挖掘单元中加入入侵容忍模型概念,当数据挖掘单元发现异常情况时,立即建立入侵容忍模型,并以超警报方式通知系统控制单元进行处理.该体系结构有助于增强系统的稳定性.
-
关键词
入侵容忍
入侵容忍模型
超警报
拒绝服务攻击
-
Keywords
intrusion tolerance system
intrusion tolerance model
hyper alert
denial of service attack
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名多步攻击告警关联模型构建与实现
被引量:1
- 4
-
-
作者
翟光群
周双银
-
机构
郑州大学信息工程学院
-
出处
《计算机应用》
CSCD
北大核心
2011年第5期1276-1279,共4页
-
基金
河南省重点科技攻关项目(0423020300)
-
文摘
为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。
-
关键词
入侵检测
报警信息
多步攻击
事件关联
超报警
-
Keywords
intrusion detection
alert information
multistep attack
event correlation
hyper alert
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名一种基于关联分析的攻击场景构造方法
被引量:1
- 5
-
-
作者
邱荣斌
许榕生
-
机构
福州大学计算机系
中国科学院高能物理研究所计算中心
-
出处
《计算机应用研究》
CSCD
北大核心
2006年第12期138-139,142,共3页
-
基金
国家自然科学基金资助项目(70471064)
-
文摘
将IDS报警归类为若干种超报警(Hyper-alert)类型,为每种超报警类型定义相应的攻击条件和攻击结果,通过对超报警的关联分析,生成超报警关联图,构造出攻击场景,从而揭示攻击者的攻击策略和攻击意图。
-
关键词
超报警
攻击条件
攻击结果
-
Keywords
hyper-alert
Prerequisite
Consequence
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名一种基于多因素的告警关联方法
被引量:3
- 6
-
-
作者
吴东
郭春
申国伟
-
机构
贵州大学计算机科学与技术学院
贵州省公共大数据重点实验室
-
出处
《计算机与现代化》
2019年第6期30-37,共8页
-
基金
国家自然科学基金资助项目(61540049,61802081)
贵州省科技计划项目([2017]1051,[2018]3001)
+1 种基金
贵州省公共大数据重点实验室开放课题(2017BDKFJJ025)
河南省科技攻关计划项目(182102210123)
-
文摘
入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。
-
关键词
告警关联
多步攻击序列
超级告警
关联度评价
-
Keywords
alert correlation
multi-step attack sequence
hyper alert
relevance evaluation
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-