一种入侵场景构建模型——BPCRISM

就单一传统入侵检测系统而言,其异构性和自治性使得针对同一攻击行为产生的警报,在包含内容、详略程度、不确定性等方面存在很大的差异,导致大量重复性警报涌现.而这些大量、重复的警报信息不仅影响了入侵检测系统的性能,又不能体现出完整的黑客入侵过程.为了有效地分析和处理入侵警报,提出了一种入侵场景构建模型---BPCRISM,其能够利用警报的检测时间属性的接近程度将警报关联分为两大类:警报概率关联和警报因果关联,然后给出了概率关联和因果关联的算法,并从关联的警报信息中分辩出完整的黑客攻击流程和重构出入侵场景.初步实现该模型后,使用DARPA Cy-ber Panel Program Grand Challenge ProblemRelease3.2(GCP)入侵场景模拟器进行了测试,实验结果验证了该模型的有效性.

基于报警序列的入侵场景自动构建

传统的入侵检测系统(IDS)由于其规则的抽象程度较低,导致一次攻击行为会产生大量重复和相关报警。研究表明,入侵场景可提供较高层次的抽象来表示攻击过程,但是已有研究方法均无法在线生成入侵场景。提出一种自动构建入侵场景的方法,将原始报警按照(源,目标)IP对和优先级分类成不同超报警序列集合,从中挖掘频繁闭序列作为入侵场景。在Darpa数据集上的实验表明,该方法可以满足在线运行,并可有效发现攻击过程。

基于状态机的入侵场景重构关键技术研究

分析了现有的各种安全事件关联算法,提出了一种基于状态机的攻击场景重构技术。基于状态机的攻击场景重构技术将聚类分析和因果分析统一起来对安全事件进行关联处理,为每一种可能发生的攻击场景构建一个状态机,利用状态机来跟踪、记录攻击活动的发展过程,以此来提高关联过程的实时性和准确性。最后通过DARPA2000入侵场景测试数据集对所提出的技术进行了分析验证。

一种基于入侵场景的可视化呈现系统

针对入侵检测系统警报日志传统的分析方法在处理海量信息时存在认知困难、实时交互性不强等问题,提出了基于入侵场景的可视化呈现系统,完成从警报日志到入侵场景的可视化过程,并利用3D游戏引擎将网络攻击过程在3D场景中展现出来.目标是使网络分析人员能够在更高层次对网络安全状况有深入的认识,以做出相应判断和应对.通过用户评价和性能测试实验证明其具备可用性并具有较强的可视化能力.

基于隐马尔可夫模型的入侵场景构建

提出了一种基于隐马尔可夫模型的入侵场景构建方法,实现自动地从大量低级的入侵检测告警信息中构建出更高层次的入侵场景的目的。为了简化处理过程,对数据流采用两次抽象描述和一次回溯处理过程完成对入侵场景的构建,在DARPA2000测试数据集上的实验表明该方法是有效的。

电力信息物理融合系统入侵攻击场景还原技术

电力系统中信息技术的广泛使用为攻击者提供了更多入侵和攻击的途径,这已成为电力信息物理融合系统(Cyber-Physical Systems,CPS)安全的最大隐患之一。为更好地分析多源安全威胁,有必要应用基于告警关联的入侵攻击场景还原技术。本文阐述了电力系统告警数据采集方法;并对现有的告警分析处理方法进行了分析和比较;最后提出电力系统应用入侵攻击场景还原面临的重要技术问题和发展方向。

基于攻击图与报警相似性的混合报警关联模型

为了揭示入侵检测系统所生成的报警数据之间的关联关系和重构入侵攻击场景,提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型结合攻击图和报警数据分析的优点,首先根据入侵攻击的先验知识定义初始攻击图,描述报警数据间的因果关联关系,再利用报警数据的相似性分析修正初始攻击图的部分缺陷,进而实现报警关联。实验结果表明,混合关联模型能够较好地恢复攻击场景,并能够完全修复攻击图中单个攻击步骤的缺失。