孙晶茹
- 作品数:2 被引量:19H指数:2
- 供职机构:东北大学信息科学与工程学院更多>>
- 发文基金:国家自然科学基金国家高技术研究发展计划国家教育部博士点基金更多>>
- 相关领域:自动化与计算机技术更多>>
- 分布式入侵检测中的报警关联方法述评被引量:10
- 2005年
- 一个攻击者要完成一次成功的入侵通常要通过几个步骤来完成,而这些步骤之间往往不是互相独立的,前面的步骤通常是为后面步骤所作的铺垫。但传统的入侵检测集中于检测低层的入侵或异常,所检测到的结果仅仅是一次完整入侵的一部分,不能将不同的报警信息结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。如果将不同分析器上产生的报警信息进行融合与关联分析,则会更有效地检测入侵。文章介绍了几种报警关联方法,其中重点介绍了基于报警信息先决条件和结果的报警信息关联方法,并对这几种方法进行了比较和评价。
- 孙晶茹董晓梅于戈
- 关键词:入侵检测报警关联
- 基于频繁模式挖掘的报警关联与分析算法被引量:9
- 2005年
- 提出了一个入侵检测与响应协作模型,结合入侵容忍的思想扩展了入侵检测消息交换格式IDMEF,增加了怀疑度属性.除了发现的入侵事件外,一些可疑的事件也会报告给协作部件.提出了一个基于修改的CLOSET频繁闭模式挖掘算法的报警关联与分析算法,在分布式入侵检测与响应协作系统中,帮助协作部件对收到的IDMEF格式的报警消息进行关联和分析,以便做出合适的响应.为此,修改了CLOSET算法来按照最小支持度和最小怀疑度来得到频繁闭模式.实验结果表明,应用该算法可以很好地缩减报警数量,同时对于所有可疑的和入侵事件,都可以做出适宜的响应.
- 董晓梅于戈孙晶茹王丽娜
- 关键词:入侵检测报警入侵容忍
