您的位置:360文档中心› 因果告警相关方法在入侵检测系统中的应用与实现

因果告警相关方法在入侵检测系统中的应用与实现

合集下载

入侵探测技术与报警系统的使用

入侵探测技术与报警系统的使用

通过本章学习,了解入侵探测报警的基础知识,熟悉入侵探测技术的种类及应用,熟练掌握常见探测器、报警控制器的使用和操作要领,提高入侵报警系统的应用能力。

1.入侵报警系统的概念。

2.常用的入侵探测器。

3.报警控制器的功能。

常用探测器的种类;探测器的防范区域及性能;入侵报警系统的类型及应用2.1 入侵报警技术概述入侵探测报警系统是由入侵探测系统和报警系统组成的。

它可以协助人们担任防入侵、防盗等警戒工作。

在防范区内用不同种类的入侵探测器可以构成看不见的警戒点、警戒线、警戒面或警戒空间的警戒区,将它们交织便可形成一个多层次、多方位的安全防范报警网。

入侵报警技术在我国也是较早发展的技术之一。

利用传感技术和电子信息技术探测并指示非法入侵或试图非法入侵设防区域的行为、处理报警信息、发出报警信号的电子系统或网络,叫入侵报警系统。

入侵报警系统就是用探测器对建筑内外重要地点和区域进行布防。

它可以及时探测非法入侵,并且在探测到有非法入侵时,及时向有关人员示警。

例如门磁开关、玻璃破碎报警器等可有效探测外来的入侵,红外探测器可感知人员在楼内的活动等。

一旦发生入侵行为,能及时记录入侵的时间和地点,同时通过报警设备发出报警信号。

第一代入侵报警器是开关式报警器,它防止破门而入的盗窃行为,这种报警器安装在门窗上。

第二代入侵报警器是安装在室内的玻璃破碎报警器和振动式报警器。

第三代入侵报警器是空间移动报警器(例如超声波、微波、被动红外报警器等),这类报警器的特点是,只要所警戒的空间有人移动就会引起报警。

第 章入侵探测技术与报警系统的应用2.1.1 入侵报警系统的组成入侵探测报警系统由入侵探测器(简称探测器)、传输部分和报警控制器三部分组成。

图2-1所示为最简单的入侵报警系统的组成。

图2-1 简单入侵报警系统的组成前端探测部分由各种探测器组成,是入侵报警系统的触觉部分,相当于人的眼睛、鼻子、耳朵、皮肤等,感知现场的温度、湿度、气味、能量等各种物理量的变化,并将其按照一定的规律转换成适于传输的电信号。

入侵检测和报警关联技术研究的开题报告

入侵检测和报警关联技术研究的开题报告

入侵检测和报警关联技术研究的开题报告一、选题背景和意义随着计算机技术的发展,网络已经成为人们进行信息交流和资源共享的主要平台。

然而,随着网络规模的不断扩大,网络安全问题也变得日益严重。

因为网络攻击、病毒攻击、恶意软件、DDoS攻击等网络攻击行为已经成为网络的主要安全威胁。

入侵检测和报警技术是一种保护计算机和网络安全的有效方法。

它可以帮助管理员及时发现和响应网络攻击以保护网络安全。

但是,传统的入侵检测和报警系统低效、误报率高。

因此,如何提高入侵检测和报警系统的准确性和响应速度,成为了当前网络安全研究的一个重要方向。

本课题将研究基于关联技术的入侵检测和报警系统,旨在提高入侵检测的准确性和响应速度,保护网络安全。

二、研究目标和内容本研究旨在:1、研究入侵检测和报警系统的发展历程、现状和未来趋势;2、探讨关联技术在入侵检测和报警中的应用;3、设计基于关联技术的入侵检测和报警算法并进行性能优化;4、构建实验系统验证研究成果,分析算法的准确性和响应速度;5、开发基于web的用户界面,实现入侵事件的可视化展示。

具体的研究内容包括:1、入侵检测和报警技术的研究与分析;2、关联技术的原理和发展研究;3、设计基于关联的入侵检测和报警算法;4、系统实现与性能测试;5、结果分析与系统优化及界面实现。

三、研究方法本研究采用以下方法:1、文献综述法:研究和分析入侵检测和报警、关联技术等领域的文献资料,为研究提供必要的理论基础和技术知识;2、设计实验法:根据科学方法,设计入侵检测和报警相关实验,获取实验数据;3、建模法:针对研究的问题,提出入侵检测和报警的基于关联技术的模型;4、实验分析法:通过实验数据分析,验证所提出的模型的准确性和可行性;5、系统开发法:根据研究结果,开发基于web的用户界面实现入侵事件的可视化展示。

四、预期结果和意义本研究预期达到的结果包括:1、设计并实现基于关联技术的入侵检测和报警算法,并验证其在准确性和响应速度方面的优越性;2、构建实验系统并进行性能测试,为后续研究提供可靠的实验数据支持;3、开发基于web的用户界面,实现入侵事件的可视化展示;4、深入探索关联技术在入侵检测和报警领域的应用,为网络安全领域的研究和实践提供新思路。

物理安全工程师的入侵检测与报警

物理安全工程师的入侵检测与报警

物理安全工程师的入侵检测与报警物理安全工程师是负责保障企业或组织的信息系统和设施免受未经授权的访问、破坏或干扰的专业人员。

入侵检测与报警是物理安全工程师在保障信息系统和设施安全中非常重要的一环。

本文将介绍物理安全工程师在入侵检测与报警方面的职责和技术措施。

第一部分:入侵检测入侵检测是物理安全工程师的一项关键任务。

通过使用各种技术手段来监测和识别潜在的入侵行为,从而及时做出应对和反应。

以下是一些常用的入侵检测技术:1. 环境监测系统:物理安全工程师通常会使用环境监测系统来监测物理环境中的异常情况,如温度过高、湿度过低等。

这些异常情况可能表明有人员试图非法进入设施或进行破坏。

2. 视频监控系统:安装在关键区域的视频监控摄像机可以记录和监测设施内的活动。

物理安全工程师会使用视频监控系统来检测任何可疑的行为,例如闯入、恶意破坏等。

3. 门禁系统:物理安全工程师会设置门禁系统,通过使用电子卡、密码或生物识别等方式控制人员出入,确保只有经过授权的人员才能进入特定区域。

第二部分:报警系统当入侵检测系统检测到异常或可疑行为时,物理安全工程师需要及时做出反应。

为了实现这一点,他们会部署报警系统。

以下是一些常见的报警技术:1. 声音报警器:声音报警器是物理安全工程师用来吸引人们注意的一种报警设备。

当入侵检测系统触发报警时,声音报警器会发出响亮的声音,提醒人们有异常情况发生。

2. 灯光报警器:灯光报警器是通过闪烁或变换颜色等方式来吸引人们注意的报警设备。

与声音报警器相比,灯光报警器能够在嘈杂的环境中更好地发挥作用。

3. 报警通知系统:报警通知系统可以通过多种方式向物理安全工程师发送警报信息,例如短信、邮件、电话等。

这样,物理安全工程师可以迅速采取行动,并与其他相关人员进行协调。

第三部分:应对措施当入侵被检测并报警后,物理安全工程师需要迅速采取合适的应对措施来阻止入侵并保护信息系统和设施的安全。

以下是一些常用的应对措施:1. 安全巡逻:物理安全工程师会组织定期的安全巡逻,巡查设施内的各个区域,确保安全设备的正常运行,并寻找任何可疑的活动或异常情况。

网络安全中的入侵检测与事件响应系统设计与应用

网络安全中的入侵检测与事件响应系统设计与应用

网络安全中的入侵检测与事件响应系统设计与应用随着互联网的普及和发展,网络安全问题日益凸显。

不论是个人用户还是企业机构,都面临着被黑客攻击和数据泄露的风险。

为了确保网络的安全性和可靠性,很多组织和机构都开始使用入侵检测与事件响应系统来监测并应对潜在的入侵行为。

本文将介绍网络安全中的入侵检测与事件响应系统的设计与应用。

入侵检测与事件响应系统是一种通过监测网络流量和系统日志来检测潜在的入侵行为,并及时采取相应措施防止安全事件升级的系统。

它主要包括入侵检测系统(Intrusion Detection System,简称IDS)和事件响应系统(Incident Response System,简称IRS)两个主要组成部分。

首先,入侵检测系统是整个系统的核心组成部分。

IDS能够通过监测网络流量和系统日志,识别出潜在的入侵行为并进行报警。

它分为主机型IDS和网络型IDS两种类型。

主机型IDS主要通过检测主机上的系统与应用程序的异常行为来发现入侵行为。

它可以监测系统的文件完整性、进程和网络连接等方面的异常情况。

主机型IDS可以在主机上部署,对主机进行实时监测,准确地发现可能存在的安全问题。

网络型IDS则是通过监测网络流量,识别出潜在的入侵行为。

它可以监测网络上的各种协议和数据包,判断是否存在恶意活动。

网络型IDS可以部署在网络的关键节点上,对整个网络进行实时监测。

它可以发现针对网络层、传输层和应用层的攻击,并通过报警通知管理员及时采取相应的措施。

其次,事件响应系统是对检测到的入侵行为进行及时响应和处置的过程。

IRS主要有以下三个阶段:预防、检测和响应。

在预防阶段,IRS通过加固系统安全、设置防火墙、更新安全补丁等方式,尽可能地避免潜在的入侵行为发生。

同时,组织还应制定相应的安全策略和规范,明确员工的安全责任和操作规范。

在检测阶段,当IDS检测到潜在的入侵行为时,IRS将根据预先设定的响应策略,对入侵行为进行分析和调查,并通过报警通知管理员。

一种新的入侵检测报警关联分析方法

一种新的入侵检测报警关联分析方法

关 键 词 :入 侵 检 测 系统 ; 聚类 分析 ; 因果 关联
A New M e h o Cor e a i n t od f r l t o An ys s o l t u i De e t o Al t al i f r n r s on t c in er
D N i -c& H un -t o, H O Z a — u A G X o h o, U G a g a A hn jn & ,
K w o d ey r s: i rs n e e t n y t m; c seig n lss c u a o rlt n n u i d tc i s se t o o l trn a ay i; a s]c rea i u o
1引言
入 侵 检 测 系 统 (n r so Dee to S se ,简 I tu in tci n y tm
测系统 、防 病毒 软件 等 ,这些 系统 关注 安全 的 不 同方面 , 发 现异 常 情 况会 产 生 各 自的 报警 信 息 。如 此 选择 正 确 的
程序 ,定期 (mi ) 集来 自网络 内部其 他主机 的维 护或 5 n收
管理 信 息 ,这可能 产 生扫 描 SNM P的攻 击报警 ( 天会 每 有 2 8条报警 ) 8 ,然 而这 又属 于正 常行 为 。因此 ,本 文首
2 报 警 关 联 模 型
有研究 表明 ,连 续运行 的 I DS报警 数据 量常常达 到 G 数量级 ,最多的时候 9O 以上都是误报或无关报警 。例如 , 9o / 在 安装 入侵 检测 系统 时 ,某 台机器 上运 行有 S NMP服务
称 I ) 是 对计 算机或 计算 机 网络 系统 中的攻 击行 为进 DS 行检 测 的 自动 系统 …。 由于 各 种机 构 和 公 司 为 了 维护 其 内部 安 全 ,往往 配 备 多种 安 全 系统 ,如 防火 墙 、 入侵 检

入侵检测告警相关部件的设计与实现的开题报告

入侵检测告警相关部件的设计与实现的开题报告

入侵检测告警相关部件的设计与实现的开题报告一、研究背景随着网络技术的不断发展和普及,网络安全问题越来越引起人们的关注。

网络入侵已经成为网络安全领域中最为严重的问题之一,它危害着企业和个人用户的数据安全和隐私保护。

入侵检测系统(IDS)是一种重要的网络安全管理工具,可以有效地检测网络中的安全漏洞和入侵行为。

入侵检测系统通常分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)两种类型。

主机入侵检测系统主要监控系统内部的活动,而网络入侵检测系统则主要监测网络流量。

其中,网络入侵检测系统是目前应用最为广泛的一种入侵检测技术。

网络入侵检测系统采用分析技术,对网络流量进行实时、动态的监测,通过深度分析网络数据的特征和行为,以此检测出可能存在的攻击和异常流量。

针对实际应用中的网络入侵检测需求,本课题将从设计和实现入侵检测告警相关部件入手,研究如何实现高效、准确地监测网络中的异常流量和攻击行为。

具体包括告警规则的设计与实现、告警系统的实现和告警信息的推送等方面。

二、研究内容1. 告警规则的设计与实现:本研究将设计一系列有效、全面的告警规则,用于检测网络中的异常流量和攻击行为。

这些规则将基于常见的网络攻击类型(如DoS、DDoS、SYN Flood等),并综合考虑网络环境和实际需求,确定合适的检测方式和参数设置。

2. 告警系统的实现:本研究将基于Snort入侵检测系统,开发一种高效、可靠的告警系统。

该系统将包括数据采集、流量分析、规则判断和告警生成等模块,实现网络流量的实时监测和入侵检测。

3. 告警信息的推送:本研究将设计和实现一个告警信息的推送系统,用于将告警信息及时、准确地推送给相关的管理员。

该系统将支持多种告警信息的推送方式,如邮件、短信等。

三、研究意义本研究将从告警规则的设计和实现、告警系统的实现以及告警信息的推送等方面入手,提出一种高效、准确的网络入侵检测解决方案,为网络安全领域的研究和实践提供一定的参考和借鉴。

网络安全技术中的入侵检测系统使用技巧

网络安全技术中的入侵检测系统使用技巧随着互联网的普及和信息技术的发展,网络安全问题日益突出。

为了保护网络系统的安全,企业和组织都采用了各种网络安全技术,其中入侵检测系统(Intrusion Detection System, IDS)是一种常见的技术手段。

入侵检测系统是一种针对网络威胁和攻击的监控与防御机制,可以监测和识别非法入侵行为,对网络系统的安全进行保护。

在使用入侵检测系统时,以下几个技巧非常重要。

首先,了解入侵检测系统的原理和工作方式是至关重要的。

入侵检测系统通常包括网络监控和事件处理两个主要部分。

网络监控通过对网络流量的监测和分析,来发现潜在的入侵行为。

事件处理是在检测到入侵行为后,对入侵事件进行分析和响应的过程。

通过了解入侵检测系统的原理和工作方式,可以更好地使用它来保护网络系统的安全。

其次,选择适合的入侵检测系统对于网络安全至关重要。

市场上有多种入侵检测系统可供选择,如网络入侵检测系统(Network-based Intrusion Detection System, NIDS)和主机入侵检测系统(Host-based Intrusion Detection System, HIDS)等。

根据实际需求和网络环境,选择适合的入侵检测系统可以提高检测的准确性和效果。

使用入侵检测系统时,还需要注意以下几点。

首先,及时更新入侵检测系统的规则和签名库。

入侵检测系统通过匹配攻击特征来进行检测,因此规则和签名库的更新至关重要。

及时更新规则和签名库可以提高检测的准确率,并有效地防止最新的攻击。

其次,配置入侵检测系统的阈值和报警机制。

入侵检测系统对于潜在的入侵行为会生成警报,设置合适的阈值可以平衡误报和漏报的问题。

同时,配置报警机制,及时通知相关人员发生了入侵行为,可以加强对网络安全的响应能力。

此外,定期对入侵检测系统进行审计和测试也是非常重要的。

通过定期的审计和测试,可以发现入侵检测系统的漏洞和不足之处,并进行相应的改进。

入侵检测系统及应用 PPT课件

4.3.1 分布式入侵检测框架及检测机制 随着高速网络的发展,网络范围的拓宽,各种分布式网 络技术、网络服务的发展,使原来的网络入侵检测很难适 应现在的状况。因此有必要把检测分析过程也实现分布化。 在分布式结构中,n个检测器分布在网络环境中,直接接 受sensor(传感器)的数据,有效的利用各个主机的资源, 消除了集中式检测的运算瓶颈和安全隐患;同时由于大量 的数据用不着在网络中传输,大大降低了网络带宽的占用, 提高了系统的运行效率。
除了以上两类主要数据分析技术外,研究人员还提出了 一些新的分析技术,如免疫系统、基因算法、数据挖掘、 基于代理的检测等。本节详细内容参见书本P126~P129页。
2020/3/31
3
4.1.3 主要入侵检测模型
如果按照检测对象划分,入侵检测技术又可分为“基于 主机的检测”、“基于网络的检测”和“混合型检测”三 大类。
本节详细内容参见书本P132~P134页。
2020/3/31
7
4.2 入侵检测原理和应用
4.2.1 入侵检测原理 从总体来说,入侵检测系统可以分为两个部分:收集系 统和非系统中的信息然后对收集到的数据进行分析,并采 取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态 和行为。入侵检测利用的信息一般来自:系统和网络日志 文件、非正常的目录和文件改变、非正常的程序执行这三 个方面。 2. 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息,是通过模式匹配、统计分析和完整性分析这 三种手段进行分析的。前两种用于实时入侵检测,完整性 分析用于事后分析。
4.3 分布式入侵检测系统
由于传统入侵检测技术的种种不足,加上新型的分布式 入侵和攻击行为的频繁出现,所以一种新型的入侵检测技 术就诞生了,那就是分布式入侵检测系统(DIDS)。它包 括两方面的含义:首先它是针对分布式网络攻击的检测方 法;其次使用分布式方法检测分布式的攻击,其中的关键 技术为检测信息的协同处理与入侵攻击的全局信息提取。

基于因果关系的实时告警关联系统

[’] 聚类技术的分析方法 , 该方法是通过计算网络安
全信息 (告警) 之间的相似度, 进而决定新产生的告 警的聚类归属。 5>M"-," 通过手工定义的属性相似 概率矩阵和函数来计算属性相似度, 通过对多属性 相似度做加权平均来计算网络安全信息间的整体相 似度。这种方法在一定程度上能够对告警信息进行 聚类和关联, 但它不能揭示告警信息之间的关系。 C98E8- 等提出了一种基于专家系统的攻击场景 [/] 识别技术 。其主要思想是将攻击场景描述为一系 列模块, 每个模块描述了一个攻击场景, 攻击场景可 以由一系列攻击子场景和攻击事件组成, 当攻击子 场景或者事件满足一定约束条件时, 则认为发生了 特定的攻击场景。这种方法可以识别出已知的攻击 场景, 但对未知的攻击场景无能为力。
力; !"#$%&’%#!% 定义事件成功发生后可能会产生的 结果集合, 包括攻击者对某些事实的发现或某种能 力的获取。 ()*%+,-.%+/ 0%#%+1/"+ 就是负责将来自于不同类 型 234 (或其他安全设备) 所产生的大量性质相同或 相近的原始报警和事件进行合并和聚合。在 52-6 系统中, ()*%+,-.%+/ 格式如图 7 所示。
林昭文等: 基于因果关系的实时告警关联系统
聚类分析 ( !"#$%&’()* +),"-$($) 可以根据告警特 性提供模糊的统计功能。 关联分析 (+$$./(,%(.) +),"-$($) 可以定义复杂的 管理规则, 实现用户特定的关联视图。 !0" 在线采集器 在我们关联系统中, 安全事件采集器采用 ! 1 2 结构, 由一个命令器 ( !.33,)4&’) 和若干 个 分 布 式 (5($%’(6#%&4 +*&)%) 组成。其中命令器负责接收 +*&)% 来自 789 的用户配置命令, 并解析构成事件采集原 语, 向 +*&)%$ 请求相关事件信息。由于实际网络各 安全组件如 952 将产生海量的告警信息, 如果把所 有的告警都进行传输和关联, 势必大大浪费网络带 宽和减低关联的效率, 而管理员往往都会比较关注 一些特定范围或者特定类型的告警信息, 因此我们 在时间采集器中定义了 : 种约束条件。 时间约束: 给定一个时间间隔 ! (例如 ;<$) , 如

(整理)入侵探测与报警技术

入侵探测与报警技术第一节入侵探测与报警技术概述一、入侵探测与报警技术的基本概念二、入侵探测报警系统的基本组成一个完善而有效的技术防范配合人力防范的入侵探测与报警技术系统的组成通常如图1-1所示。

图1-1 技防配合人防的入侵探测报警系统的基本组成该系统主要是由报警探测器、报警控制器、传输系统、通信系统及保安警卫力量所组成。

入侵探测报警系统的最基本组成如图1-2所示。

图1—2 入侵探测报警系统的基本组成三、入侵探测报警系统的基本电性能要求(一) 功能(二) 灵敏度和探测范围(三) 误报率要低(四) 漏报率要低(五) 防破坏保护防拆保护传输线路短路和断路的保护(六) 电源适用范围(七) 电源功耗(八) 备用电源(九) 稳定性要求(十) 耐久性要求(十一) 抗干扰要求(十二) 可靠性要求四、入侵探测报警系统在安全技术防范工作中的作用入侵探测报警系统则是技术防范系统中极其重要的一个组成部分,它在技术防范工作中起到了举足轻重的作用,是打击和预防犯罪(特别是盗窃犯罪)的有力武器。

(一) 入侵探测报警系统的应用范围十分广泛;(二) 入侵探测报警系统具有快速反应能力,可及时发现案情,提高破案率;(三) 入侵探测报警系统具有威慑作用,犯罪分子不敢轻易作案,减少了发案率;(四) 入侵探测报警系统协助人防担任警戒和报警任务,可节省人力、物力和财力;(五) 入侵探测报警系统可以在维护社会应用治安方面之外推广应用。

第二节入侵探测器一、入侵探测器概述(一)入侵探测器的作用(二) 入侵探测器的种类1.按用途或使用的场所不同来分可分为户内型入侵探测器、户外型入侵探测器、周界入侵探测器、重点物体防盗探测器等等。

2.按探测器的探测原理不同或应用的传感器不同来分可分为雷达式微波探测器、微波墙式探测器、主动式红外探测器、被动式红外探测器、开关式探测器、超声波探测器、声控探测器、振动探测器、玻璃破碎探测器、电场感应式探测器、电容变化探测器、视频探测器、微波—被动红外双技术探测器、超声波—被动红外双技术探测器等等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

告警相关部件是控制 台的一个功能模块。它利用因果告 警相关方法来对控 制 台数据库 中所选 择 的告警信 息进 行分
析 , 除掉其 中的无效告警 , 以图形的形式显示有效告警信 剔 并
主要完成被监控网段 中网络 报文 的收集 、 解析 、 规则 匹配 , 然
后将符合规则要求 的告警信息通过 C B R通信控制部件发 O A
教 授 , 要 研究 方 向为 信 息 安全 、 件 工 程 。 主 软

硕士研究 生, 主要研究方 向为信息 安全、 入侵检测技术 ; 秦

20 ・ 8
维普资讯
告警相关部 件对告警 信息的分析也是依据定义 的告警相 关规则进行 的, 了保证规 则定 义和解析 的通用 性和 可移植 为 性, 规则 的定 义 结 构 采 用 了通 用 的 X ML格 式 。在 规 则 的 X ML文件中 , 定义 了三个 数据 部分 , 它们分别是谓词部 分 、 隐 含部分 、 超级告警部分[ 。 6 ]
析功能的入侵检测系统。该 系统首先利 用人侵检测技 术捕获 告警信息( 称之为原始告警信息)然后利用因果告警相关模块 , 的功能分析这些原始告警信息之间的因果相关关系 , 剔除掉其 中误告警信息 , 以图形 的形式显示有效告警信息之间的因果 并 相关关系 , 出攻击者 的攻击过程和攻击策略l ] 揭示 _ 。 4
W ANG Zepn QI Z e g ig N h n
( o t r S fwa eCol g f Hu a n v r iy,Ch ng h 0 8 Ch n ) l eo n nU iest e a s a 41 0 2, i a
1 引言
经过二十多年 的发 展, 入侵 检测技术 已 日臻完善 。概 略 地 讲 , 侵 检 测 技 术 可 以分 为 异 常 检 测 和误 用 检 测 。异 常 检 入 测 是以一事物的正常行 为为基础 , 任何偏离 正常行为 的事 件都被看成人侵 ; 误用检测 l是基于 已知的特征或 系统弱点 , _ 2 ] 任何匹配已知攻击模式或系统漏洞的行 为都被认为是攻击 。 但 由于其技术本身 的原 因 , 入侵 检测技术至今都 无法 克 服其误警率高 的缺点 。为了弥补入侵检测技术的这种先天不 足, 近几年人们在入侵检测技术 的基础上发 展了告警相关 技
维普资讯
计算机科学 2 0 Vo.5 o 6 0 8 13 N .
因果 告 警 相关 方 法在 入 侵 检 测 系统 中的应 用 与 实现
王泽 平 秦 拯
( 南大学软件 学 院 长 沙 40 8 ) 湖 10 2
摘 要 针 对某公 司入侵检测 系统 产品误 警率高, 因果告警相 关方 法融入到原 系统 中, 将 对告警信息进行相 关分析 。 利用 D R A 20 A P 0 0入侵检测场景数据集 L D S . L O 10对新 系统进行 实验 验证 , 结果表明 , 通过 新 系统可有效 降低 误警 率, 并可用图形的形式显示告警信息之间的因果相 关关系, 形象揭示 出攻击者的攻击过程与攻击策略。 关键词 入侵检测 , 因果关 系, 告警相关

网 取
传 感器部分
囊 籍
图 1 系统体系结构 图
2 系统体 系结构
2 1 体 系结 构 概 述 .
2 2 告 警 相 关 部 件 .
从 整 体 的功 能 结 构 上 看 , 系统 可 以 划 分 为 传 感 器 和 控 本 制 台两 大 部 分 , 图 1 示 。传感 器 分布 在 被 监 控 网 段 内 , 如 所 它
App ia i n a d I lme t to fCa s lAl r r e a i n M e h d i n r i n De e to y tm lc to n mp e n a i n o u a e tCo r l to t o n I t u o tc i n S s e s
送 到控制 台, 同时根据规则要求处理对 网络 的响应 。 控 制 台部 分 主要 完 成 对 告 警 信 息 的 管 理 及 分 析 , 时 通 同 过C A OB R通信控制部件完成 与传感器 的数据 交换 , 括接 包 收传感器 的告警信息及向传感器发 送控制信 息( 匹配规则 如 等) 。控制台中的告警相关 部件主要 完成 对告警信 息的第二 次分析 , 然后以图形 的方式显示出攻击者 的攻击过程 。
术 。基 于 因果 关 系 的告 警 相 关 方 法 认 为 : 击不 是 孤 立 的 , 攻 它 们 是 攻 击 序列 的不 同 阶 段 , 面 的 攻 击 是 为 其 后 的 攻 击 作 前 准 备 。告 警 相 关 方 法 就 是 通 过 构 造 告 警 信 息 之 间 的 相 关 关 系 , 示 出攻 击 者 的 攻 击过 程 和 攻 击 策 略 l ] 人员可 以通过 这种形 象化的图
形 来 分 析 攻 击者 的攻 击 过 程 及 攻 击 策 略 。
*) 国防科 T委基础科研“ 十一 五” 规划项 目( 编号:0 6 1 3 6 )湖南省科技计划项 目( .2 0 F 4 1) 广东省科技项 目( 7 12 4 0 5 , 201429, No 0 6 J1 0 , 0 10 0 0 17 粤 科基办字E0 7 6 )东莞l科技项 目( 0 6 1 4 ,0 7 0 1 1 2 ) 20  ̄ 号 , 市 2 0 D 0 6 20 18 0 0 1 。王泽平


警 I图 无
相 L—1 _


部 口

件 部
r’
I 警 息 理l 报信 整

本文针对入侵检测系统误警率高的缺点 , 在某公司已有入 侵检 测 系 统 的基 础上 , 基 于 因果 关 系 的告 警 相关 方 法 的 功 能 将
模块与原有入侵检测 系统结合起来 , 形成一款具有告警相关分
相关文档
最新文档