导读:本文包含了入侵检测报警关联论文开题报告文献综述及选题提纲参考文献,主要关键词:报警关联,入侵场景,攻击图,报警相似性
入侵检测报警关联论文文献综述
朱梦影[1](2013)在《入侵检测系统报警关联技术研究》一文中研究指出入侵检测系统在实际应用中存在误报率和漏报率高、报警信息孤立、海量报警信息无法及时分析等问题。为了克服以上问题,报警关联技术研究发掘攻击事件间的关联关系、重构攻击者的入侵路径,来提高报警信息的准确性和可用性的。本文分析对比了常用的报警关联方法及其优缺点,将报警关联方法分为基于专家先验知识和基于数据统计两类方法。基于专家知识的关联方法可以形成完善正确的攻击场景,但受漏报和误报警的影响较大;基于数据统计的关联方法可以发现一些新的攻击,但不能正确的揭示报警间的内在联系。结合两类报警关联方法的优点,本文提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型主要包含叁个部分:报警预处理、基于攻击图报警关联和基于报警数据相似性分析报警关联。模型先通过傅里叶变换并设定规则删除周期性的误报警;再利用基于动态滞留时间与多级聚合粒度的自适应算法来删除报警数据集中的重复报警。在去除报警数据集中的误报警和冗余报警后,首先根据入侵攻击的先验知识定义初始攻击图描述报警数据间的因果关系;然后用基于报警数据相似性分析方法进行报警关联,进而修正初始攻击图的部分缺陷,完善报警关联结果。应用上述模型建立原型系统,通过实验系统结果得出,混合关联模型可以清晰地将报警数据集中包含的入侵路径表现出来,帮助网络管理员发现入侵者的攻击目的,及时制定入侵响应策略。同时模型降低了对专家先验知识的依赖,能够较好的恢复攻击图中单个攻击步骤的缺失。(本文来源于《沈阳航空航天大学》期刊2013-12-23)
彭凌西,杨进,胡晓,曾金全,刘才铭[2](2013)在《一种基于免疫的入侵检测关联报警模型》一文中研究指出在入侵检测系统Snort的基础上,结合网络实时危险评估技术,提出了一种基于免疫的网络入侵检测报警模型SAIM。给出了网络环境下记忆细胞的表示方法,以及记忆细胞实时危险计算过程,建立了主机分类及总体实时危险计算方程,在此基础上给出了网络入侵检测报警模型。理论分析和试验结果均表明,SAIM模型能有效进行关联报警,提高报警质量。(本文来源于《电子技术应用》期刊2013年07期)
党小超,胡广涛,郝占军[3](2010)在《一种新的入侵检测报警关联分析方法》一文中研究指出报警聚合和关联是入侵检测领域很重要的发展方向,报警聚合是将相同或相近特征的报警信息关联起来,报警关联是根据攻击之间的因果依赖关系关联报警。采用模糊C-均值(FCM)算法剔除误报或无关报警,然后用因果关联分析发现攻击场景,恢复攻击场景。实验表明,该方法能够恢复攻击场景。(本文来源于《计算机安全》期刊2010年11期)
王台华,万宇文,郭帆,余敏[4](2010)在《应用于入侵检测系统的报警关联的改进Apriori算法》一文中研究指出在众多的关联规则挖掘算法中,Apriori算法是最为经典的一个,但Apriori算法有以下缺陷:需要扫描多次数据库、生成大量候选集以及迭代求解频繁项集。提出了一种一步交集操作得到最大频繁项目集的方法。支持度由交集的次数得到而无需再去扫描事务数据库,将其中一些属性进行编号能减少存储空间且方便搜索候选集列表,从而提高算法的效率。最后针对入侵检测系统形成关联规则。实验结果表明,优化后的算法能有效地提高关联规则挖掘的效率。(本文来源于《计算机应用》期刊2010年07期)
尹钰[5](2010)在《基于报警关联分析的智能入侵检测技术》一文中研究指出入侵检测技术是继防火墙、数据加密等传统安全保护措施之后的新一代安全保障技术,是P2DR网络安全模型中的重要环节,它对系统的安全防护起着至关重要的作用。但是在P2DR安全模型下,入侵检测系统(IDS)与安全信息/事件管理系统(SIEM)的关系是单向的、孤立的、静态的,这使得入侵检测系统不可避免的具有一系列缺陷,如滞后性、高漏报率、高误报率、产生海量琐碎的日志等。为了改善IDS存在的上述缺陷,本论文提出一种基于报警关联分析的智能入侵检测技术。该技术的基础为一个基于状态迁移的IDS框架,对每种入侵行为的检测方式都围绕着一个攻击场景来设计、表示和实施,每个攻击场景相当于一个有限状态机(FSM),将检测过程看作是系统安全状态在攻击场景中的变迁,当系统安全状态随着一系列安全事件的发生而转移到“报警”状态时,IDS发出报警信息。系统对这些报警信息做分布式采集、集中存储和处理,并由一个关联分析引擎来挖掘报警信息之间存在的关系和联系。设计一种调整方式,使得原有IDS的有限状态机可以根据关联分析的结果而动态地、实时地进行调整,从而达到改进检测方式、降低漏报率/误报率、减少报警信息数量和增加报警信息质量的目的。本论文的工作主要体现在如下方面:1.研究并搭建基于状态迁移的入侵检测系统;2.对入侵检测系统的报警信息进行标准格式化和集中收集、存储;3.研究、选择并实现数据挖掘领域中的关联分析方法,对采集的报警信息数据进行关联分析,挖掘出有益于改进入侵检测性能的、存在于出报警信息间的关系和联系;4.设计并实现算法,根据关联分析的结果而动态改变入侵检测系统的状态机,即改变入侵检测的方式。(本文来源于《西安电子科技大学》期刊2010-01-01)
邱于辉,李向军[6](2009)在《入侵检测系统报警聚合关联研究》一文中研究指出针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。(本文来源于《电脑知识与技术》期刊2009年31期)
古晓明[7](2009)在《一种优化的MLP入侵检测报警关联方法》一文中研究指出对于入侵检测系统发出的大量报警而言,报警关联是一种非常重要的技术。当前,该领域的研究前沿主要集中在从初始报警中获取攻击策略。有理由相信,纯入侵检测已经不能满足安全的需要。入侵响应和入侵预警对于保护网络和使网络损失最小化已经非常重要。在掌握网络的真实安全状况和攻击者的攻击策略的情形下,网络管理员才能发出合适的攻击的响应动作或在攻击未完成时给出预警。而使用报警关联技术可以为管理员提供网络安全状况甚至攻击者的攻击策略,这是研究报警关联技术的重要目的。本文在当今报警关联方法的基础上,提出了一种能够使初始报警自动关联的方法。前人的工作中,报警关联大多基于聚类方法或基于专家知识、报警知识库。本文方法相对于这些关联方法的不同之处就是在不依赖于已有专家报警知识的前提下,能自动识别攻击场景,当然,必须经过初始的训练。本文方法有以下特点:(1)用MLP网络来计算报警之间的关联概率。从报警信息中提取六个特征来对不同的报警进行比较,将得到的相似度值作为MLP的输入,用S型函数使得MLP的输出为0到1之间的值,以此值作为两报警的关联概率。(2)利用关联矩阵来保存两报警之间的关联信息。用MLP输出的报警关联概率计算得到关联权重和关联强度,并表示为关联矩阵。(3)用实时报警图和攻击策略图来表示攻击者意图。实时报警图从报警关联概率值构建,反应的是攻击者实施攻击的实际步骤;而攻击策略图则是从报警关联强度值构建,反应的是一类攻击的步骤,它相当于是实时报警图的一般化表示。实时报警图则是攻击策略图的特例。(4)MLP网络结构参数由遗传算法来训练得到。这一点也即本方法所需的初始训练部分。由于本方法关联报警的准确性跟报警关联概率密切相关,而报警关联概率又依赖于MLP网络的输出准确性,因此本方法中用遗传算法来优化MLP网络结陶参数,试图得到较优的MLP网络结构参数。最后,用DARPA2000中的已被标记的两个场景LLDOS1.0和LLDDOS2.0.2对本文方法进行了验证。实验中用snort来得到相关报警,经本文方法得到了两个场景,对LLDOS1.0攻击策略图中缺少了第五步,对LLDDOS2.0.2攻击策略图中缺少了第一步和第五步。这相对于P.ning引用报警知识库得到的结果相差不大,但本文方法不需要人工编辑报警知识库。本文方法未完全分析出场景的所有步骤,分析原因有以下两方面:一方面,snort对该数据的冗余报警较多,另一方面MLP网络的参数问题。因此以后的工作还有:采用更优良的入侵检测软件来获得原始报警,对原始报警进行冗余处理,对MLP网络参数进一步优化等。(本文来源于《山西大学》期刊2009-06-01)
杨晓君,张凤斌,晏义威[8](2009)在《基于目标图的入侵检测报警关联算法》一文中研究指出针对入侵检测系统响应能力差以及误报率高的问题,提出了基于目标图的入侵检测报警关联算法。该算法在动作节点之间实现报警信息的前因后果链关系,并根据报警信息显式地跟踪系统状态变化以及攻击者的主观状态,监视状态的变化,推断攻击者的意图以及攻击策略。实验表明,该方法产生的关联结果能够很好地发现攻击者意图以及攻击策略,并且能够有效地降低入侵检测系统的误报率。(本文来源于《计算机技术与发展》期刊2009年02期)
李露璐[9](2008)在《分布式入侵检测系统的报警关联与分析算法》一文中研究指出随着计算机技术和通信技术的迅速发展,计算机得到了日益广泛和深入的应用。但是,计算机网络的安全问题也越来越成为人们关注的一个热点问题。入侵检测是保障计算机及网络安全的措施之一,已经成为保护计算机系统的第二道防线。随着新的攻击方法的不断出现,尤其是一些互相协作的入侵行为的出现,给入侵检测领域的研究带来了新的课题。早期的集中式入侵检测系统已经不能有效地防止这一类的入侵。目前对入侵检测系统的研究趋向于设计和建立分布式的入侵检测系统,由多个检测实体监控不同的主机和网络部分,各实体间相互协作完成检测任务。因此,研究分布式入侵检测系统是十分必要的,具有十分重要的理论意义与实际应用价值,并已成为国际上亟待解决的重大前沿课题。在分布式入侵检测系统中存在以下几个问题:(1)数据量过大,使系统难以处理;(2)入侵检测分析部件集中于捕获单独的入侵行为,而忽略了报警之间的关联,不能获得报警间的有用信息;(3)误报警率过高,导致大量的误报警与真正的报警相混淆。同时入侵者完成一次进攻通常要通过若干个步骤来实现,并且一次进攻通常要涉及到网络上的几台主机。所以,需要将不同分析器上产生的报警信息进行融合与关联分析,以便更有效地检测入侵。目前较好的关联方法一般都是进行离线的分析,速度都相对较慢,因此关联分析的处理效率不高,难以对攻击行为采取及时的响应。此外,对一个系统而言,能够容忍一般的攻击也很重要,而已有的研究中都没有考虑入侵容忍技术。本文先提出了一个基于CLOSET频繁闭模式挖掘的报警关联与分析算法,然后又加以改进,按照一个最小怀疑度和最小支持度对报警消息进行预处理,然后使用修改的频繁闭模式挖掘算法,对报警信息进行挖掘,得到频繁闭模式序列。我们的算法不仅速度快,而且结合了入侵容忍的思想,更有利于对系统的保护。(本文来源于《大连理工大学》期刊2008-12-01)
赵宣,王伟平[10](2008)在《入侵检测系统报警信息关联分析模型的设计与实现》一文中研究指出入侵检测系统报警信息的关联分析技术,对解决目前入侵检测系统所存在的误报、漏报、报警信息层次低和难管理等问题,具有十分重要的意义。本文综合了目前所提出的几种关联分析方法,建立了一个入侵检测系统关联分析模型,该模型将关联分析过程划分为叁个层次:聚类、融合和因果关联,可以对不同入侵检测系统产生的报警信息进行关联分析。(本文来源于《计算机与现代化》期刊2008年02期)
入侵检测报警关联论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
在入侵检测系统Snort的基础上,结合网络实时危险评估技术,提出了一种基于免疫的网络入侵检测报警模型SAIM。给出了网络环境下记忆细胞的表示方法,以及记忆细胞实时危险计算过程,建立了主机分类及总体实时危险计算方程,在此基础上给出了网络入侵检测报警模型。理论分析和试验结果均表明,SAIM模型能有效进行关联报警,提高报警质量。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
入侵检测报警关联论文参考文献
[1].朱梦影.入侵检测系统报警关联技术研究[D].沈阳航空航天大学.2013
[2].彭凌西,杨进,胡晓,曾金全,刘才铭.一种基于免疫的入侵检测关联报警模型[J].电子技术应用.2013
[3].党小超,胡广涛,郝占军.一种新的入侵检测报警关联分析方法[J].计算机安全.2010
[4].王台华,万宇文,郭帆,余敏.应用于入侵检测系统的报警关联的改进Apriori算法[J].计算机应用.2010
[5].尹钰.基于报警关联分析的智能入侵检测技术[D].西安电子科技大学.2010
[6].邱于辉,李向军.入侵检测系统报警聚合关联研究[J].电脑知识与技术.2009
[7].古晓明.一种优化的MLP入侵检测报警关联方法[D].山西大学.2009
[8].杨晓君,张凤斌,晏义威.基于目标图的入侵检测报警关联算法[J].计算机技术与发展.2009
[9].李露璐.分布式入侵检测系统的报警关联与分析算法[D].大连理工大学.2008
[10].赵宣,王伟平.入侵检测系统报警信息关联分析模型的设计与实现[J].计算机与现代化.2008