-
题名多源攻击模式图入侵检测方法
被引量:5
- 1
-
-
作者
张礼哲
顾兆军
何波
刘树发
-
机构
中国民航大学信息安全测评中心
中国民航大学计算机科学与技术学院
天津市公安局网络安全保卫总队
-
出处
《计算机工程与设计》
北大核心
2016年第11期2909-2916,共8页
-
基金
民航局科技基金项目(MHRD20140205
MHRD20150233)
+4 种基金
民航局安全能力建设资金基金项目(PDSA0008)
民航安全基金项目(PESA0001)
中央高校基本科研业务费中国民航大学专项基金项目(3122013Z008
3122013C004
3122015D025)
-
文摘
针对入侵检测分析方法中因IDS误报漏报,无法完整还原整个攻击场景的问题,提出一种基于多源日志分析的入侵检测方法。使用PrefixSpan算法对序列化后的攻击过程序列数据进行频繁模式挖掘,构建多源攻击模式图;当网络中产生新警告时,按警告所属设备在攻击模式图中进行攻击模式匹配,匹配成功后采用可疑攻击识别算法构建可疑攻击模式图,发现新的攻击过程。实验结果表明,该方法在进行攻击场景还原时还原率高于其它方法,对未知攻击过程具有一定检测能力。
-
关键词
入侵检测
多源警告
警告日志
频繁模式
攻击模式图
-
Keywords
intrusion detection
multi-source alerts
alert log
frequent pattern
attack pattern graph
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于可疑队列的多源攻击图入侵检测方法
被引量:4
- 2
-
-
作者
顾兆军
何波
-
机构
中国民航大学计算机科学与技术学院
中国民航大学信息安全测评中心
-
出处
《计算机工程与设计》
北大核心
2017年第6期1408-1413,1463,共7页
-
基金
民航局科技基金项目(MHRD20140205
MHRD20150233)
+4 种基金
民航局安全能力建设基金项目(PDSA0008)
中央高校基本科研业务费中国民航大学专项基金项目(3122013Z008
3122013C004
3122015D025)
中国民航大学科研启动基金项目(2013QD24X)
-
文摘
现在大部分针对IDS警告的因果关联分析、攻击图等入侵检测方法,在警告有大量误报、漏报时不能够很好地进行攻击场景还原。针对该问题,提出使用来源于多种设备的警告日志进行入侵检测的方法,将多种设备日志进行关联分析,构建包含大量攻击场景的攻击图。攻击图中每个攻击场景包含来源于不同设备的警告,每当有新警告产生时,将该警告与攻击图中场景匹配,发现新的攻击过程。实验结果表明,该方法在进行攻击场景还原,尤其是在IDS警告有大量误报、漏报的情况下,攻击场景的还原率明显高于其它同类检测方法。
-
关键词
入侵检测系统
多源警告
警告日志
攻击图
可疑队列
-
Keywords
intrusion detection system(IDS)
multi-source alerts
alert log
attack graph
suspicious queue
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名一种基于属性哈希的告警日志去重方法
- 3
-
-
作者
胡倩
罗军勇
尹美娟
曲小美
-
机构
信息工程大学网络安全空间学院
-
出处
《计算机科学》
CSCD
北大核心
2016年第S1期332-334 360,共4页
-
文摘
网络安全防护设备产生的告警日志中存在大量重复告警,影响实时的网络威胁态势分析。为解决告警日志的实时准确去重问题,提出了一种基于属性哈希的告警日志去重方法。该方法采用属性哈希实现重复告警的快速检测,并采用哈希表同时解决了大量非重复告警日志的存储问题。在基于Darpa数据集构建的告警日志上进行了实验,结果表明该方法在保证较低时间复杂度的同时,去重准确率可以达到95%以上。
-
关键词
告警日志
重复告警
属性哈希
-
Keywords
alert log
Repeat alert
Property hash
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于EA-DS证据理论的安全事件关联分析
- 4
-
-
作者
龙春
申罕骥
李俊
-
机构
中国科学院计算机网络信息中心
中国科学院大学
-
出处
《微电子学与计算机》
CSCD
北大核心
2015年第11期46-52,共7页
-
基金
国家科技支撑计划课题(2012BAH01B03)
科技部"九七三"课题(2012CB315803)
+1 种基金
科技部"八六三"课题(2013AA010601)
中科院战略性先导专项(XDA06010306)
-
文摘
为了对多源安全事件进行关联分析,提出了基于EA-DS证据理论的安全事件关联分析方法.该方法结合所在网络环境将来自多个不同种类的安全传感器数据进行证据融合,计算网络服务威胁状态置信度,能够快速发现高威胁状态的服务并采取相应的措施进行响应.通过在实际网络环境中进行实验和对比,该方法有较好的高危攻击发现能力.
-
关键词
安全事件
报警日志
关联分析聚合
EA-DS证据理论
-
Keywords
security events
alert log
correlation analysis fusion
EA-DS evidence theory
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名在线数据流的连续限制查询算法
- 5
-
-
作者
黄凯
余金山
-
机构
华侨大学计算机科学与技术学院
-
出处
《华侨大学学报(自然科学版)》
CAS
北大核心
2010年第2期174-179,共6页
-
基金
福建省自然科学基金计划资助项目(A0810013)
-
文摘
提出并实现一个基于持续限制查询的在线系统,使其能在网络日志数据流中,当满足一定条件的事件时自动发出警告;而条件是根据用户需要而设定的,用来侦测可能严重破坏网站正常运作的行为.分析并评测时间索引算法、无时间索引算法、紧过期时间算法、紧过期时间无索引算法、多查询并行算法5种算法的性能,结果表明,单个查询时,无时间索引算法是最好的选择;而在多个查询时,多查询并行算法是最佳的算法.
-
关键词
持续限制查询
警告触发
网络日志
在线数据流
算法
-
Keywords
continuous constraint query
alert triggering
Web log
online data stream
algorithm
-
分类号
TP393.07
[自动化与计算机技术—计算机应用技术]
TP301.6
[自动化与计算机技术—计算机科学与技术]
-
