资料介绍
本文提出了一种基于入侵行为模式的告警关联方式。入侵行为模式是定义在时间
基础上的一组谓词公式,其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时,对虚警的处理尤为有效。
根据检测引擎的实现技术,入侵检测系统(IDS)可分为 “基于误用”和“基于异常”
两类。由于每类IDS 都有其自身无法克服的缺陷,因此目前倾向于在网络环境下安装多个IDS,这些IDS 可能采用基于误用的也可能采用基于异常的检测方式。但大多数IDS 只是对简单攻击或异常进行检测,它们除了产生大量的告警以外并没有做任何更深入的工作。准确的告警和误警常常混合在一起。在复杂攻击的情况下告警之间可能存在某种联系,而这些IDS 却不能发现这些攻击之间的逻辑关系,也不能发现隐藏在这些告警背后的攻击策略,它们只是产生相对独立的告警。为解决这个问题,通常需要对各IDS 的告警进行聚类和关联。
与入侵检测一样,告警关联的方法也分两类:基于异常的告警关联与基于误用。前者的
典型代表是基于相似概率的告警关联[1],此种方法是基于告警之间的相似度进行告警关联,虽然该方法在关联某些告警信息时很有效,但相似度的衡量及取值比较困难,不能完全揭示相关告警之间的关系。后一种方法的代表是基于攻击的前提和结果[2],这种方法是从攻击的角度分析攻击的前提条件及结果,如果一个早期攻击的结果满足一个较晚攻击的前提条件,就可以关联这些攻击的告警信息。这种方法有一定的灵活性,对发现隐藏在告警序列背后的攻击策略非常有效,但面临定义攻击前提和结果的难题,且难于把握告警之间的时间限制,此外对虚警的处理很不理想。本文介绍了我们在分布式协同入侵检测系统(DACIDS)[3]中使用的另一种基于误用的告警关联方法,该方法定义了一种基于时间的入侵行为模式[4],通过对模式的识别进行告警关联。这种方法有效解决了告警之间的时间限制的定义,而且在对大量告警进行关联的同时,对减少告警数量以及对虚警的处理方面尤为有效。
本文第1 节对入侵行为模式给出定义,第2 节详细描述了对入侵行为模式的匹配算法,
第3 节概述了DACIDS 中使用的告警信息关联模型,最后给出了后续工作内容并加以小结。
基础上的一组谓词公式,其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时,对虚警的处理尤为有效。
根据检测引擎的实现技术,入侵检测系统(IDS)可分为 “基于误用”和“基于异常”
两类。由于每类IDS 都有其自身无法克服的缺陷,因此目前倾向于在网络环境下安装多个IDS,这些IDS 可能采用基于误用的也可能采用基于异常的检测方式。但大多数IDS 只是对简单攻击或异常进行检测,它们除了产生大量的告警以外并没有做任何更深入的工作。准确的告警和误警常常混合在一起。在复杂攻击的情况下告警之间可能存在某种联系,而这些IDS 却不能发现这些攻击之间的逻辑关系,也不能发现隐藏在这些告警背后的攻击策略,它们只是产生相对独立的告警。为解决这个问题,通常需要对各IDS 的告警进行聚类和关联。
与入侵检测一样,告警关联的方法也分两类:基于异常的告警关联与基于误用。前者的
典型代表是基于相似概率的告警关联[1],此种方法是基于告警之间的相似度进行告警关联,虽然该方法在关联某些告警信息时很有效,但相似度的衡量及取值比较困难,不能完全揭示相关告警之间的关系。后一种方法的代表是基于攻击的前提和结果[2],这种方法是从攻击的角度分析攻击的前提条件及结果,如果一个早期攻击的结果满足一个较晚攻击的前提条件,就可以关联这些攻击的告警信息。这种方法有一定的灵活性,对发现隐藏在告警序列背后的攻击策略非常有效,但面临定义攻击前提和结果的难题,且难于把握告警之间的时间限制,此外对虚警的处理很不理想。本文介绍了我们在分布式协同入侵检测系统(DACIDS)[3]中使用的另一种基于误用的告警关联方法,该方法定义了一种基于时间的入侵行为模式[4],通过对模式的识别进行告警关联。这种方法有效解决了告警之间的时间限制的定义,而且在对大量告警进行关联的同时,对减少告警数量以及对虚警的处理方面尤为有效。
本文第1 节对入侵行为模式给出定义,第2 节详细描述了对入侵行为模式的匹配算法,
第3 节概述了DACIDS 中使用的告警信息关联模型,最后给出了后续工作内容并加以小结。
下载该资料的人也在下载
下载该资料的人还在阅读
更多 >
- 多数据平台融合模式下的轨迹关联求解 5次下载
- 行为关联网络:针对视频中的完整行为建模 3次下载
- 基于因果知识和时空关联的攻击场景重构技术 14次下载
- 一种基于随机森林与人工免疫的入侵检测算法 3次下载
- 业务驱动的电力通信网告警的故障关联分析 11次下载
- 加权增量关联规则挖掘在通信告警预测中的应用说明 2次下载
- 用于减小电信网络的干扰告警系统的告警过滤算法 14次下载
- 基于电气距离的低频振荡关联区域和模式类型识别 0次下载
- 入侵检测系统中模式匹配算法的研究
- 基于最大模式的关联规则挖掘算法研究
- 基于水印追踪技术的入侵检测系统的研究
- 入侵检测报警聚合与关联系统设计与实现
- 基于数据挖掘的入侵检测系统研究
- 基于CVM的入侵检测
- 联动防火墙的主机入侵检测系统的研究
- EM储能网关 ZWS智慧储能云应用(4) — 告警介绍(下) 169次阅读
- EM储能网关 ZWS智慧储能云应用(4) — 告警介绍(上) 157次阅读
- 基于CNN的网络入侵检测系统设计 365次阅读
- AWTK 开源串口屏开发(10) - 告警信息的高级用法 223次阅读
- AWTK 串口屏开发(3) - 告警信息 296次阅读
- 服务器nova-compute down告警的问题处理 1158次阅读
- 行为型设计模式在UVM中的应用 552次阅读
- 责任链设计模式详解 366次阅读
- 设计模式最佳实践探索—策略模式 843次阅读
- 如何使用Tracealyzer的流模式来跟踪ThreadX应用 1261次阅读
- 具备开盖告警功能的智能电表和开盖告警方法 1.1w次阅读
- 带DTU断线告警功能的温度变送器的原理及设计 1560次阅读
- 基于SNORT规则集的高速网络入侵检测系统 4647次阅读
- 技术帖:入侵报警系统七大误报解决方案 3383次阅读
- 示波器的各种视图模式是什么意思? 1.4w次阅读
下载排行
本周
- 1电子电路原理第七版PDF电子教材免费下载
- 0.00 MB | 1490次下载 | 免费
- 2单片机典型实例介绍
- 18.19 MB | 93次下载 | 1 积分
- 3S7-200PLC编程实例详细资料
- 1.17 MB | 27次下载 | 1 积分
- 4笔记本电脑主板的元件识别和讲解说明
- 4.28 MB | 18次下载 | 4 积分
- 5开关电源原理及各功能电路详解
- 0.38 MB | 10次下载 | 免费
- 6基于AT89C2051/4051单片机编程器的实验
- 0.11 MB | 4次下载 | 免费
- 7基于单片机和 SG3525的程控开关电源设计
- 0.23 MB | 3次下载 | 免费
- 8基于单片机的红外风扇遥控
- 0.23 MB | 3次下载 | 免费
本月
- 1OrCAD10.5下载OrCAD10.5中文版软件
- 0.00 MB | 234313次下载 | 免费
- 2PADS 9.0 2009最新版 -下载
- 0.00 MB | 66304次下载 | 免费
- 3protel99下载protel99软件下载(中文版)
- 0.00 MB | 51209次下载 | 免费
- 4LabView 8.0 专业版下载 (3CD完整版)
- 0.00 MB | 51043次下载 | 免费
- 5555集成电路应用800例(新编版)
- 0.00 MB | 33562次下载 | 免费
- 6接口电路图大全
- 未知 | 30320次下载 | 免费
- 7Multisim 10下载Multisim 10 中文版
- 0.00 MB | 28588次下载 | 免费
- 8开关电源设计实例指南
- 未知 | 21539次下载 | 免费
总榜
- 1matlab软件下载入口
- 未知 | 935053次下载 | 免费
- 2protel99se软件下载(可英文版转中文版)
- 78.1 MB | 537791次下载 | 免费
- 3MATLAB 7.1 下载 (含软件介绍)
- 未知 | 420026次下载 | 免费
- 4OrCAD10.5下载OrCAD10.5中文版软件
- 0.00 MB | 234313次下载 | 免费
- 5Altium DXP2002下载入口
- 未知 | 233046次下载 | 免费
- 6电路仿真软件multisim 10.0免费下载
- 340992 | 191183次下载 | 免费
- 7十天学会AVR单片机与C语言视频教程 下载
- 158M | 183277次下载 | 免费
- 8proe5.0野火版下载(中文版免费下载)
- 未知 | 138039次下载 | 免费
评论
查看更多