当前位置: MCBANG > 首页考试试题 > 计算机 > 安全论文 > 正文

尖刀网安: 新的入侵检测数据融合模型

2012-7-4 16:23 来源:尖刀网安 浏览次数:976 我来说两句(0)
  入侵检测系统(IDs,iⅡ是新一代安全保障技术,IDs就是能够通过分析与系统安全相关的数据来检测入侵活动的系统,主要分为基于网络的IDs和基于主机的IDs。但是现有的ⅢS技术大都存在着不同程度的误报率、漏报率高的问题?。为了提高IDs的检测的准确率,最近几年一些学者尝试把数据融合技术应用到IDs中。论述了下一代IDs中的多传感器数据融合技术口'3J。
  撕onal的研究项目EMERALD使用概率统计的算法进行警报融合,在应用过程中,元警报的确定有些困难;工程项目M皿ADOR使用专家系统的方法来定义相似度函数计算两个警报相似度,进行警报融合,但实时性不强:再有Bu“ou曲s,和cybenko提出了用贝叶斯多假设跟踪算法来跟踪和识别攻击者的方法”‘,它识别攻击的能力达到89%,但同时错误率也达到了20%。国内对于数据融合技术在Ds中应用的研究比较少。从不同角度论述了把数据融合技术应用于Ⅱ堪,提出了一些融合模型。以上文献多是对融合技术的一般性的讨论,很少涉及具体的融合方法。
  本文基于多传感器数据融合技术,提出了一种新的IDs融合模型一ⅢsFP(Ⅲs fusion a11d pre.。对来自多个不同ms的警报进行融合,并把融合后的警报关联起来做出智能推理,对当前安全态势进行评估,做}h预警指示,加强对与攻击意图有关的数据的检测。从而提高了检测效率,同时降低IDs的误报率、漏报率。为了准确判断一个网络是否发生了入侵,需要综合基于网络的口Ds的信息和基于主机的IDs的信息。此外,攻击者的攻击方式由单台主机进行攻击发展到分布式协同攻击,为了有效防范这种攻击,保护网络的安全,也需要统计多个网段的可疑信息和入侵信息。当发生攻击网络的事件时,网络中的多个不同类型的IDs或其它安全产品可能会发出多个不同警报,警报关联模块将负责关联这些警报。关联模块处理与攻击事件相对应的每一个警报,关于它产生的警报航迹只有2种可能性:
  规则1该攻击事件产生了已经属于一个警报航迹的其它警报。这就是说,正在处理的警报与特定的警报航迹相关联。规则2没有一个已存在的警报航迹对应于产生该警报的事件。就是说,该警报是一个新检测到的攻击事件引起的警报,它组成自己的警报航迹。这两种可能性如图3,图中描述了配置在网络中的3个IDs,此时发生了3个事件(事件1、事件2和事件3)。基于网络的IDSl检测到事件1和事件3,基于网络的IDs 2检测到事件1和事件2,基于主机的IDs检测到事件1和事件3。这时褥到个警报(2个是基于主机的Ⅲs发出的,4个是基于网络的IDs发出的)。


[广告]赞助链接:

知安,互联网产品安全医院:http://www.knowsafe.com
舆情监测,互联网舆情首选查舆情:http://www.chayuqing.com/
爱尖刀科技,关注企业数据与安全:http://www.ijiandao.com

关注公众号:Mcbang_com 了解更多精彩,关注:chayuqing_com 娱乐资讯早知道!
收藏 分享 发布者: admin |
看完这篇文章,你的感受如何?


伤心


无视


惊讶


流汗


赞同


路过
Copyright© 2006-2016 IjianDao.Com All rights reserved.
知娱 版权所有 京ICP备14006288号-3