入侵检测报警相关性及评测数据集研究

首先对报警相关性技术和方法进行深入的研究,分析各种报警相关性方法的优缺点;在此基础上提出了基于多源数据融合的报警相关性功能模型;然后对报警相关性的评测数据集进行了讨论,分析它们适用的范围和存在的问题;最后指出了报警相关性的发展方向。

基于扩展CPN的多源数据报警相关性

针对网络安全管理员要处理来自IDS、防火墙、防病毒软件以及漏洞扫描器等安全工具所产生的报警信息来获得计算机网络中攻击的高级描述,提出基于多源数据报警相关性的方法。首先,对CPN(Colored Petri Net)进行扩充,增加了反映安全工具报警信息的观测集,形成了ECPN(Extended Colored Petri Net),并对其进行了形式化描述与图形建模;其次,提出了基于ECPN攻击场景的构建关联算法ECPN-Scenario-Constructor以及攻击动作提取算法Multistep-Abstract;最后,对DARPA 2000入侵场景关联评测数据集进行了实验。实验结果表明:该算法可以对报警进行有效的关联,及早地发现攻击者的攻击策略,并能有效地避免误报和减少漏报。

智能报警管理若干研究问题

报警是及时发现生产过程中异常情况的直接手段,因此科学、高效、准确的智能报警管理对提高生产过程安全性和可操作性至关重要,也是进一步进行优化、控制和故障诊断的基础。本文就智能报警管理这一研究领域进行综述,首先从工业需求上论述报警管理的重要意义,说明报警对于过程安全的影响,指出数量过多和难以辨别是主要难题,并将现实情况与国际标准相对比;然后概述了报警管理的概念和内涵,介绍报警系统改造的全生命周期。其次总结该领域的主要研究问题,并针对单个报警和多个报警的设计展开讨论,揭示误报与漏报、检测速度与鲁棒性的矛盾,并给出常用的解决方法。针对单个报警,通过滤波、延迟和死区,对过程时间序列进行处理,实现报警的快速和准确。针对多个报警,通过多元统计分析全面表征多个变量之间的关系,利用相关性分析和传递熵分析来识别因果报警。最后通过一个实例来说明智能报警管理的过程。