基于入侵行为模式的告警关联

本文提出了一种基于入侵行为模式的告警关联方式。入侵行为模式是定义在时间基础上的一组谓词公式,其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时,对虚警的处理尤为有效。

网络入侵行为模式研究

针对网络入侵行为模式进行分析,给出由图像函数定义的系统状态,包括主体和客体、主体和客体关系、保护设置和合法流矩阵,利用系统状态的所有直接和间接关系确定系统转换过程中行为模式的变化及其规则,在此基础上简单分析了"特洛伊木马"的检测方法.

基于模式匹配的告警关联

告警关联技术是入侵检测领域中一个新的发展方向,它对解决目前入侵检测系统存在的告警数量大、告警信息含量少、虚警数量大等问题具有十分重要的意义。文章介绍了在我们设计开发的分布式协同入侵检测系统(DACIDS)中通过对入侵行为模式的匹配而进行告警关联的方法。入侵行为模式是定义在时间基础上的一组谓词公式,其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时,对虚警的处理尤为有效。

基于改进Apriori算法的网络入侵数据挖掘仿真

当前的网络入侵数据挖掘方法大多应用Apriori算法,但是传统Apriori算法存在数据负载大、冗余性高、效率低的问题。为降低数据规模对入侵数据挖掘效率的影响,提出新的基于改进Apriori算法的网络入侵数据挖掘方法。通过可拓理论改进Apriori算法,建立MEOM函数,计算入侵行为与正常行为之间的阈值距离,并与标准设定阈值相比较,挖掘网络入侵数据。基于此,改进分类规则生成算法,分类待挖掘网络入侵的数据类型,并赋予不同标签,便于网络安全状态的数据检测与管理。仿真结果表明,上述方法入侵数据挖掘数量优势明显;数据挖掘效率受数据规模和最小支持度影响较小;数据挖掘运行时间和关联规则数量受最小置信度阈值和最小支持度阈值影响较大,最小置信度阈值是0.55、最小支持度阈值是0.5时,该方法挖掘效率最高。