云环境中基于警报关联的入侵检测算法研究

云计算环境由大量的虚拟机构成,能够为用户或者各种应用系统按需提供计算能力或存储能力等。然而,云计算在发展的过程中,其安全性已成为不可忽视的重要问题。云安全是保护云上资产不受侵害的重要保障。文章详细介绍AASID的入侵检测方案,针对满足复杂网络环境、提高入侵检测精度、减少误报的实现目标,给出AASID的系统模型和算法整体描述;详细阐述入侵证据收集策略,包括C&C通信检测和主机脆弱性分数评估;与多种现有算法进行仿真比较,分析AASID算法的多项性能。仿真结果表明,AASID算法的功能完善且入侵检测性能良好,可以有效减少误报率。

一种基于Choquet模糊积分的入侵检测警报关联方法

文章研究了警报关联方法,模糊积分和模糊认知图基本理论,提出了一种基于Choquet模糊积分的入侵检测警报关联方法,设计并实现了一个能够识别多步攻击的警报关联引擎.通过DRDOS和LLDOS实验表明,该引擎能够有效的检测网络中存在的大规模分布式多步攻击.

警报关联图:一种网络脆弱性量化评估的新方法

作为一种基于模型的脆弱性分析技术,攻击图能够识别网络中存在的脆弱性和它们之间的相互关系,分析出可能的攻击路径和潜在威胁。论文在攻击图的基础上提出了警报关联图的概念,利用攻击图中蕴含的脆弱性先验知识,将实时IDS警报信息映射到攻击路径,动态反映攻击进程和攻击者意图。在此基础上提出了一种基于警报关联图的网络脆弱性量化评估方法,通过计算警报关联边的权值对网络脆弱性进行动态分析,这种方法结合了静态的网络脆弱性先验知识和动态变化的攻击者意图,能有效反映网络脆弱性在动态攻击情况下的变化。

基于数据挖掘和本体的入侵警报关联模型

为了突破入侵检测领域的原有瓶颈,提出了一种新的基于数据挖掘和本体的入侵警报关联模型。该模型通过对底层警报的聚类和分类,发现并且筛选攻击,然后根据已建立的基于本体的攻击知识模型,对这些攻击进行关联,以达到识别、跟踪和预测多步攻击的目的。通过对KDD Cup1999和DARPA 2000数据集的模拟实验,验证了模型的有效性。

多IDS环境中基于可信度的警报关联方法研究

针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组合规则来融合这些证据,最后决策判断警报所对应的攻击是否发生,从而消除各IDS报告警报的模糊性和冲突性,达到提高警报质量的目的。在DARPA 2000测试数据集上的实验结果表明,该方法能有效降低误报率,减少警报数目60%以上。

基于符号表达式的程序语义缺陷警报关联识别方法

针对程序静态缺陷检测存在高误报需要耗费大量人力消除的问题,提出了一种程序语义缺陷警报关联的方法,通过挖掘警报间的深层次关联信息建立警报关联,有助于提升人工判定警报的效率。首先采用符号表达式与区间表示一个变量的取值,并基于符号表达式的逻辑关系建立了警报间的关联推导规则,然后在缺陷检测阶段根据缺陷触发条件识别出警报并推导出不同警报间的关联,最后根据警报间的关联关系对警报进行自动判定。通过对5个实际C工程的测试结果表明,本文所提方法可以有效识别出警报间的关联关系,能够有效减轻人工判定警报的工作。

运用警报关联的威胁行为检测技术综述

基于警报关联的网络威胁行为检测技术因其与网络上大量部署的安全产品耦合,且能充分挖掘异常事件之间的关联关系以提供场景还原证据,正成为复杂威胁行为检测的研究热点。从威胁行为和网络安全环境的特点出发,引出威胁行为检测的应用需求和分类,介绍基于警报关联的威胁行为检测的基本概念和系统模型;重点论述作为模型核心的警报关联方法,并分类介绍了各类典型算法的基本原理和特点,包括基于因果逻辑的方法、基于场景的方法、基于相似性的方法和基于数据挖掘的方法;并结合实例介绍了威胁行为检测系统的三种典型结构,即集中式结构、层次式结构和分布式结构;基于当前研究现状,提出了对未来研究趋势的一些认识。

基于CPN的多步骤攻击警报关联方法

在研究彩色Petri网(CPN)理论的基础上,针对目前入侵检测的"警报疲劳"问题,构建了依据入侵者可获取的权限来划分的CPN攻击模板。通过对低级别的、离散的警报信息进行顺序关联,呈现出多步骤攻击的全过程。该关联方法仅使用有限数量的模板,与以前的方法相比更简便和易于实现。同时安全人员能够从入侵者获取攻击能力的角度来预测并评估网络的安全状况。

基于警报关联摘要的过程间警报关联分析

针对函数与函数之间存在警报间关联关系的问题,论文提出警报关联摘要来实现函数间分析,并利用该警报关联摘要实现过程间警报关联,通过该方法能够有效减轻人工判定警报的工作量。论文首先通过采用警报关联摘要实现函数调用的过程间分析,接着在调用点处进行警报关联摘要实例化得出警报对应的符号表达式及取值区间,分析警报间对应的符号表达式的逻辑关系得出关联关系,最后根据警报间的关联关系对警报进行判定。通过对5个实际C工程的测试结果表明,论文所提方法可以有效识别过程间警报关联关系,能够在一定程度上有效减轻人工判定警报的工作量。

一种基于数据挖掘的多步入侵警报关联模型

基于传统网络入侵检测系统,提出一种基于数据挖掘的多步入侵警报关联模型.该模型能将多个入侵检测系统的警报信息进行融合,对大量、无序的警报信息进行分析,发现其中的内在联系,精简攻击事件警报,并通过不断更新场景知识库发现融合后警报中的多步入侵行为.与已有模型进行对比的结果表明,该模型的关联分析方法及多步入侵知识库的建立有助于更好地结合系统的特征实现多步入侵的警报关联.

一种基于警报数据关联的入侵检测系统模型

入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。

一种通用可扩展的在线警报关联方法

大规模网络环境下,多样化网络攻击类型产生的高速警报数据流,对警报关联方法的通用性、实时性以及系统开销控制提出了很高的要求.目前警报关联技术相关研究多是基于集中式结构的算法设计,难以满足实时性的要求;而已有少数分布式警报关联系统未深入考虑负载均衡和系统开销控制.为此,提出了一种通用可扩展的在线警报关联方法CACDS(causal alert correlation on distributed system).CACDS在分布式流处理环境中采用"分派-汇聚"机制作为在线警报关联的基本框架.基于该框架,CACDS采用因果逻辑方法进行关联分析,松弛匹配警报之间的前因后果,能够对各种不同攻击类型进行有效检测.为了充分利用分布式环境下各节点资源,提出一种混合式关联图划分技术,以不同警报类型引起的计算开销和系统开销为依据,警报被映射至不同的关联进程中以实现并行警报关联,保证了系统实时性和低开销.基于Storm平台的原型系统实验表明,与其他方法相比,CACDS具有更好的可扩展性、更高的吞吐率和更低的系统开销.

基于警报序列聚类的多步攻击模式发现研究

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。

防网络攻击警报信息实时融合处理技术研究与实现

针对分布式入侵检测和网络安全预警所需要解决的问题,文章对多传感器数据融合技术进行了研究。在分析IDS警报信息之间的各种复杂关系的基础上,提出了一个警报信息实时融合处理模型,并根据该模型建立警报信息融合处理系统。实时融合来自多异构IDS传感器的警报信息,形成关于入侵事件的攻击序列图,并在此基础上进行威胁评估及攻击预测。该模型中拓展了漏报推断功能,以减少漏报警带来的影响,使得到的攻击场景更为完整。实验结果表明,根据该模型建立的融合处理系统应用效果好,具有很高的准确率和警报缩减率。

警报信息实时融合处理技术研究与实现

针对分布式入侵检测和网络安全预警所需要解决的问题,对多传感器数据融合技术进行了研究。在分析IDS警报信息之间各种复杂关系的基础上,提出了一个警报信息实时融合处理模型,并根据该模型建立警报信息融合处理系统。实时融合来自多异构IDS传感器的警报信息,形成关于入侵事件的攻击序列图,并在此基础上进行威胁评估及攻击预测。该模型中拓展了漏报推断功能,以减少漏报警带来的影响,使得到的攻击场景更为完整。实验结果表明,根据该模型建立的融合处理系统应用效果好,具有很高的准确率和警报缩减率。

一种可扩展的实时多步攻击场景重构方法

入侵检测系统(intrusion detection system,IDS)作为一种积极主动的安全防护技术,能够发现异常情况和及时发出警报信息或采取主动防护措施,成为网络安全系统的重要组成部分.但是近年随着网络攻击规模的快速增长,IDS在对复杂的多步攻击行为进行实时分析方面变得力不从心.设计了基于专家知识的可扩展攻击匹配模板,用以实现对多步攻击场景的还原与重构,从攻击者视角还原攻击事件,帮助安全人员定位安全威胁.以实时警报信息为输入,通过挖掘出语义知识和预先构建的攻击匹配模板,利用匹配关联算法对警报进行聚合和关联,还原攻击场景,展示攻击脉络。实验结果显示,该方法可以实现对IDS的实时警报处理和关联,形成的攻击事件和攻击场景可为安全人员对漏洞的修复和下一步攻击的预防提供极大帮助,同时,设计构建的攻击匹配模板具有可扩展性及应对未来更多攻击的能力.

新的入侵检测数据融合模型——IDSFP

以多传感器数据融合技术为基础,提出了新的入侵检测融合模型——IDSFP。其具有对多个IDS入侵检测系统的警报进行关联、聚合,产生对安全态势判断的度量,从而构成证据的特点。IDSFP应用D-S证据理论来形成对当前安全态势进行评估的信息,并动态地反馈、调整网络中各个IDS(intrusiondetectionsystem),加强对与攻击意图有关的数据的检测,进而提高IDS检测效率,降低系统的误报率和漏报率。

一种入侵场景构建模型——BPCRISM

就单一传统入侵检测系统而言,其异构性和自治性使得针对同一攻击行为产生的警报,在包含内容、详略程度、不确定性等方面存在很大的差异,导致大量重复性警报涌现.而这些大量、重复的警报信息不仅影响了入侵检测系统的性能,又不能体现出完整的黑客入侵过程.为了有效地分析和处理入侵警报,提出了一种入侵场景构建模型---BPCRISM,其能够利用警报的检测时间属性的接近程度将警报关联分为两大类:警报概率关联和警报因果关联,然后给出了概率关联和因果关联的算法,并从关联的警报信息中分辩出完整的黑客攻击流程和重构出入侵场景.初步实现该模型后,使用DARPA Cy-ber Panel Program Grand Challenge ProblemRelease3.2(GCP)入侵场景模拟器进行了测试,实验结果验证了该模型的有效性.

网络入侵意图识别方法综述

复合攻击的检测是近年来IDS着力解决的一个重要问题。研究表明,解决这个问题的根本途径在于建立有效的模型积累、识别多报文间的上下文关系,从而进一步对入侵的意图进行精确判断。本文跟踪了近年来意图识别领域的技术发展,详细介绍了几种有代表性方法的核心思想,分析它们适用的范围和存在的问题,比较了各自的优劣所在,最后总结了这个领域的难点问题和发展趋势。

基于攻击者能力状态的入侵建模方法

为解决反应式容忍入侵系统中入侵模型的构建问题,提出了一个基于攻击者能力的入侵模型及相应的模型构建与描述算法。该模型以攻击者对系统操控能力的状态转移过程来描述入侵,首先在警报关联过程中发现入侵者的攻击逻辑并据此构建元攻击模型,然后将元攻击模型转化为一种简单的覆盖形式,并证明了元攻击、覆盖与攻击模型三者之间的一一对应关系,从理论上获得了该入侵模型的存在性与唯一性证明,提出了自动描述该模型的TIBC算法。最后,在警报关联系统中测试了该入侵模型及其构建与描述算法,获得了较高的识别率与较低的虚警率。