报警信息关联模型的构建和实现

Design and Implementation of Alert Information Correlation Model

下载PDF

导出

摘要协同和分布式的网络攻击对传统的网络安全防护提出了巨大的挑战,同时也对分布式入侵检测技术提出了更高的要求,而有效融合多种入侵检测系统报警信息能够提高告警的准确性。首先给出了五维度报警信息关联的定义;然后设计与实现了带有实时响应机制的层次化关联模型,该模型具有较广泛的适用性,每一层都可以作为一个单独的模块完成相应的功能;最后给出了报警信息融合模块的实现。实验证明:报警信息融合可以降低误报、漏报率,并能识别攻击意图,达到预警的目的。 Conventional network security protection is facing a great challenge of coordinated and distributed attack, so distributed intrusion detection technology is required. Fusing multi-kinds of IDS alerts can effectively improve warning veracity. Based on annotation to alert correlation definition renewedly, the paper designed and implemented layered correlation model with real-time response mechanism. The model is much adaptive, each layer of which can do its work independently. At last, the function of fusing alert information is implemented, which can resolve problems of management of alerts, false negative and false positive better and can warn according to attack intention identified.

作者裴晋泽胡华平黄辰林

机构地区国防科学技术大学计算机学院

出处《计算机应用研究》 CSCD 北大核心 2006年第3期98-101,104,共5页 Application Research of Computers

基金国家"863"计划资助项目(2003AA142010)

关键词入侵检测报警关联响应信息融合 Intrusion Detection Alert Correlation Response Information Fusion

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献13

1Peter G Neumann,Phillip A Porras.Experience with EMERALD to Date[C].Santa Clara:The 1st USENIX Workshop on Intrusion Detection and Network Monitoring,1999.73-80. 被引量：1
2Eugene H Spafford,Deigo Zamboni.AAFID:Intrusion Detection Using Autonomous Agents[J].Computer Networks,2000,34:547-570. 被引量：1
3Extends Security Manager to Monitor and Manager ISS RealSecure[EB/OL].http://download.netiq.com/Library/Product_Brochures/NetIQ_DS_SM_RealSecure.pdf,2004-05. 被引量：1
4Cheung S,Hoagland J,Levitt K,et al.The Design of GrIDS:A Graph-based Intrusion Detection System[R].Technical Report,CSE-99-2,Computer Science Department,U.C.Davis,http://citeseer.nj.nec.com/cheung99design.html,1999. 被引量：1
5E Amoroso.Intrusion Detection:An Introduction to Internet Surveillance,Correlation,Trace Back,Traps,and Response Intrusion[M/OL].Net Books,1999. 被引量：1
6郑挺,胡华平.入侵检测系统报警信息融合模型的设计与实现[J].计算机应用研究,2004,21(8):95-98. 被引量：4
7CVE Editorial Board.The Common Vulnerabilities and Exposures[EB/OL].http://www.cve.mitre.org,2003. 被引量：1
8O Dain,R K Cunningham.Fusing a Heterogeneous Alert Stream into Scenarios[C].Proceedings of the ACM Workshop on Data Mining for Security Applications,2001.1-13. 被引量：1
9H Debar,A Wespi.Aggregation and Correlation of Intrusion-Detection Alerts[C].Recent Advances in Intrusion Detection,Number 2212 in Lecture Notes in Computer Science,2001.85-103. 被引量：1
10李信满..网络入侵检测技术若干关键问题研究[D].东北大学,2002:

二级参考文献8

1[1]Poirk Y. Event Correlation. IEEE Potentials, 2001,20(2): 34～35 被引量：1
2[2]Ye Nong, Li Xiaoyang, Chen Qiang, et al. Probabilistic techniques for intrusion detection based on computes audit data. IEEE Transactions on System, Man, and Cybernetics, 2001, 31(4): 266～274 被引量：1
3A Valdes, K Skinner. Probabilistic Alert Correlation[ C ].4th International Workshop on the Recent Advances in Intrusion Detection (RAID'2001), Davis, USA,2001. 被引量：1
4C Geib, R Goldman. Plan Recognition in Intrusion Detection Systems [ C ]. DARPA Information Survivability Conference and Exposition (DISCEX) ,2001. 被引量：1
5P Ning, D Reeves, et al. Correlating Alerts Using Prerequisites of Intrusions[ R]. Technical Report TR-2001-13, North Carolina State University, Department of Computer Science ,2001. 被引量：1
6F Cuppens,A Miege. Alert Correlation in a Cooperative Intrusion Detection Framework [ J ]. IEEE Symposium on Security and Privacy,Oakland, USA, 2002. 被引量：2
7P Ning, Y Cui. An Intrusion Alert Correlator Based on Prerequisites of Intrusions [ R ]. Submitted for Publication. Technical Report TR2002-01, Department of Computer Science, North Carolina State University ,2002. 被引量：1
8胡华平,张怡,陈海涛,宣蕾,孙鹏.面向大规模网络的入侵检测与预警系统研究[J].国防科技大学学报,2003,25(1):21-25. 被引量：43

共引文献14

1张基温,朱剑.基于事件关联的电子取证实时入侵重构[J].计算机工程与设计,2006,27(22):4325-4327. 被引量：1
2张翔,胡昌振,尹伟.基于事件关联的网络威胁分析技术研究[J].计算机工程与应用,2007,43(4):143-145. 被引量：1
3王莉娜,房鼎益,吴晓南,陈晓江.网络入侵事件防御决策技术研究[J].计算机应用与软件,2007,24(4):41-44.
4张楠,张振国.基于规则的检测SQL注入攻击方法的研究[J].陕西科技大学学报（自然科学版）,2007,25(2):121-123. 被引量：8
5高秀峰,陈立云,胡昌振.入侵事件建模研究[J].计算机工程,2008,34(9):151-153.
6修洁蕾,许南山,危胜军.基于Drools的安全事件回放研究[J].计算机安全,2008(10):39-40.
7修洁蕾,许南山,危胜军.基于Drools的离线分析研究与实现[J].微计算机信息,2009,25(3):148-149.
8胡振华,张永胜,逯义军,徐震.报警信息聚合研究[J].计算机安全,2009(2):77-80.
9高雪霞.基于编码技术的泛型安全结构设计[J].河南师范大学学报（自然科学版）,2009,37(1):50-52. 被引量：1
10李思广,赵振然.事件关联分析算法及其实现技术[J].信息系统工程,2009,22(10):64-67. 被引量：2

1张洪水,贾小珠,纪美霞.一种改进的基于意图识别技术的报警信息关联处理模型[J].青岛大学学报（自然科学版）,2007,20(4):73-76.
2柳亚明,许峰,吕志军,黄皓.基于攻击意图的报警信息关联研究[J].计算机科学,2005,32(9):61-65. 被引量：5
3李益文.基于SOA的商业系统的信息安全技术探讨[J].电脑编程技巧与维护,2010(20):114-115. 被引量：1
4郦昊,曾玲.基于分布式防火墙的网络安全系统研究[J].计算机与数字工程,2007,35(6):106-107. 被引量：2
5王庆红.分布式防火墙的网络安全研究[J].计算机安全,2009(6):54-56. 被引量：1
6林亚卓,唐陈峰.Ad Hoc网络的入侵检测技术研究[J].通信技术,2008,41(1):99-101. 被引量：6
7何淑霞,沈宪章,张州,杜大军.一种基于移动Agent的分布式入侵检测系统[J].河南科学,2005,23(1):94-96. 被引量：3
8刘喆,王蔚然.分布式防火墙的网络安全系统研究[J].电子科技大学学报,2005,34(3):351-354. 被引量：15
9魏秀蓉.无线传感器网络数据融合研究综述[J].无线互联科技,2015,12(14):22-22. 被引量：2
10李艳芳.基于CORBA的分布式入侵检测技术[J].零陵学院学报,2004,25(6):118-120.

计算机应用研究

2006年第3期

浏览历史

内容加载中请稍等...

报警信息关联模型的构建和实现

参考文献13

二级参考文献8

共引文献14

相关作者

相关机构

相关主题

浏览历史