基于CPN的多步骤攻击警报关联方法

在研究彩色Petri网(CPN)理论的基础上,针对目前入侵检测的"警报疲劳"问题,构建了依据入侵者可获取的权限来划分的CPN攻击模板。通过对低级别的、离散的警报信息进行顺序关联,呈现出多步骤攻击的全过程。该关联方法仅使用有限数量的模板,与以前的方法相比更简便和易于实现。同时安全人员能够从入侵者获取攻击能力的角度来预测并评估网络的安全状况。

基于CPN的规划识别及多步骤攻击检测方法

在Kautz规划识别算法基础上,利用CPN作为新的规划表示和识别方法。与目前规划识别领域广泛使用的Kautz表示方法相比,新的表示方法更加简便与高效。以多步骤攻击检测作为实例,通过计算行为间的变迁关系,以重新得到攻击全貌。

一个用于IDS告警分析的验证-聚类-关联模型

多步骤攻击是当前占据主流的攻击模式,但当前的入侵检测系统在检测这种攻击时存在告警冗余、告警孤立等问题.为解决这些问题,提出了一个验证-聚类-关联告警分析模型.该模型将验证、聚类、关联这3个告警分析环节结合在一起,逐层地对告警信息进行分析,通过验证过滤掉原始告警信息中的误报及无关信息,验证后的有效告警信息通过聚类生成无冗余的单步告警,再通过关联生成能描述攻击者意图的全局告警.对相关的算法与规则进行了描述,并通过几个实际的攻击场景验证了该模型的有效性.