CN102281163A - 一种网络入侵检测报警的方法 - Google Patents
一种网络入侵检测报警的方法 Download PDFInfo
- Publication number
- CN102281163A CN102281163A CN2011102778856A CN201110277885A CN102281163A CN 102281163 A CN102281163 A CN 102281163A CN 2011102778856 A CN2011102778856 A CN 2011102778856A CN 201110277885 A CN201110277885 A CN 201110277885A CN 102281163 A CN102281163 A CN 102281163A
- Authority
- CN
- China
- Prior art keywords
- degree
- attack
- warning
- node
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Alarm Systems (AREA)
Abstract
基于网络入侵检测报警方法,IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID,并确定以下基本元素;1 )节点、服务; 2 )节点价值和服务价值; 3 ) 节点安全度; 4 ) 报警可信度; 5 ) 报警危险度; 6 ) 报警威胁度计算:报警威胁度的评价要先对报警可信度和报警危险度进行评价,报警可信度的评价还需要先对报警信息的环境匹配度进行评价,因此其算法还是多层传递的;6-1)、根据已知各环境因素的匹配度计算环境匹配度
Description
一、技术领域
本发明涉及一种网络入侵检测报警的新方法。
二、背景技术
自从20世纪80年代James Anderson首先提出入侵检测概念以来,入侵检测系统作为网络安全的一个组件获得了极大的发展。许多研发机构和安全厂商都在进行这方面的研究和开发,推出了很多相应的产品。虽然功能越来越强,但它们目前都存在着一个重要问题:过高的误报。这一方面给管理员增加了繁重的工作负担,从而使其可能忽视了系统中真正需要处理的关键攻击事件;另一方面,过高的误报率使得自动入侵响应,比如与防火墙联动,不能很好地执行下去。
三、发明内容
本发明目的是,从IDS(入侵检测)自身的特点出发,提出了一个能感知IDS所处系统环境的基于威胁度的报警分析TDAA(Threat-based Dynamic Alerts Analysis)模型,该模型较之以前的一些报警评价研究在评价标准上进行了改进,使用了威胁度的概念,即在通常使用的可信度评价标准的基础上,增加了对危险度的评价,并增加了节点、服务的价值和节点安全度等概念,使得评价模型更加全面、科学和合理。在报警威胁度的计算上,本发明使用了改进了的多层模糊模型识别的方法,并且我们在评判矩阵、权值的确定方面进行了改进和简化,降低了参数的不确定性。这种算法较之以前的研究在算法原理上更加贴近于报警评价的原理,并且在计算中,减少了计算的步骤和复杂度,减少了需要人工确定或学习的参数,因此报警评价计算的准确度得到了提高。
本发明技术方案是:基于网络入侵检测报警方法,IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID,并确定以下一些基本元素。
1)节点、服务
指的是网络中一个特殊的机器和设备,而服务指的是一个节点所提供的基于局域网或Internet的网络服务,节点和服务对进入系统的连接来说是目的地;
2)节点价值和服务价值
节点价值是一个用来表示节点重要性的量化的一个值,其中1表示的是最低的重要性,而N表示最高的重要性;每一个服务都要赋予一个表示服务重要性的服务价值,其范围也是从1到M;
3)节点安全度
和节点价值与服务价值标示的是节点与服务的重要性相似,节点的安全度标示的是节点的安全性。节点的安全度也是一个量化的值,它由节点安装的操作系统及版本,应用程序,开放的服务、端口,使用的安全措施以及它在网络中的位置等来确定。它的值在一个范围之间,同节点价值一样,设为1到P,其中1表示最低的安全度,P表示最高安全度(本章中为了计算机的简便设P为10)。一台安装了Windows98并且没有加装安全补丁,而且其大部分端口都开放的节点可以评估它的安全度为1,另一台安装RedHat AS3且安装当前所有补丁,安装单机防火墙,关闭了大多数服务的节点,可以评估它的安全度为9。节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的。
对报警信息的评价,我们确定评价出来的等级为10个:0.1,0.2,0.3,…,1,值越大其威胁程度越高,而管理员也可以考虑根据其实际需要,对报警威胁度的等级分类成诸如高度威胁、中度威胁、轻度威胁和无威胁等。
如上所述,报警信息的威胁度包括两个方面:报警可信度与报警危险度。
4)报警可信度
报警可信度指的是报警信息所报攻击真实发生的可能性。首先,一般一种攻击要达到目的只能针对某种系统或服务程序的漏洞,因此可以通过将攻击所需的环境与目的地系统真实的环境进行对比来确定报警信息的可信度。本文将系统的环境归结到5个属性:操作系统的类型与版本、硬件类型、服务及使用的程序和版本、网络端口、应用。
同时,报警信息的可信度还与报警信息所报攻击的特征有很大的关系,如有的攻击的特征是一串字符,或某个特殊端口,当只检测到这一个特征时,其可信度较低;另外一些攻击,由一系列特殊操作组成,正常活动不会进行这套操作,这些类型的可信度相对较高。在本文中,根据攻击特征的不同将攻击分成扫描攻击,拒绝服务攻击,缓冲区溢出攻击,基于Web代码的攻击和其它攻击等几种类型并分配不同的可信程度。
其次报警信息所报攻击的相关攻击信息也影响其可信程度,其中相关攻击信息指系统中近段时间里是否存在和该攻击相关的辅助攻击;或类似的攻击是否已多次发生过。相关攻击信息对每一个报警需要建立一个强相关和弱相关攻击的列表。
最后,目的地的节点安全度,也影响着报警信息可信度,安全度高的系统势必会增加攻击成功的难度。综上所述,报警信息的可信度与目的地系统的环境、攻击类型、相关攻击信息以及目的地系统节点安全度有关。
5)报警危险度
报警危险度指的是报警信息所报攻击如果真实发生时对系统的危险程度。对不同节点价值和服务价值的目的地发起同样的攻击,如果都成功的话,对系统造成的危害是不同的。同时,报警信息所报攻击自身,由于攻击目的和攻击方式的不同,导致攻击成功后对系统的影响,即危害程度也会不同,实际上一般的IDS也都有一个报警自身危险程度的评估。因此,报警危险度与报警目的地的节点价值、服务价值以及报警信息本身的危险度是直接相关的。
6)报警威胁度计算
由于报警威胁度采用多层模糊模型识别的方法进行报警威胁度评价。多层识别用于识别某个具体对象属于何种类别,而模糊模型识别是在标准模型和待识别对象可能是模糊的情况下的识别,这与我们前面分析的报警威胁度评价原理是非常吻合的;报警威胁度的评价要先对报警可信度和报警危险度进行评价,报警可信度的评价还需要先对报警信息的环境匹配度进行评价,因此其算法还是多层传递的;具体如下:
设因素集为U={U1,U2},其中U1为报警可信度,U2为报警危险度;
评判集为V={V1,V2,…,Vn},其中从V1到Vn表示从低到高报警威胁度的n个评价等级,本文中n=10。而因素U1和U2又分别由以下因素决定:
U1={u11,u12,u13,u14},其中u11、u12、u13、u14分别指的是环境匹配度、攻击类型可信度、相关攻击情况、节点安全度诸因素;
U2={u21,u22,u23},其中u21、u22、u23分别指的是报警自身危险度、节点价值、服务价值;
最后u11={w1,w2,w3,w4,w5},其中w1、w2、w3、w4、w5分别指的是操作系统、硬件、服务、端口、应用诸因素;
6-1)、根据已知各环境因素的匹配度计算环境匹配度u11;
先确定u11的评判集p={0.1,0.2,…,1},表示环境匹配的从低到高的10个等级,然后确定w1、w2、w3、w4、w5对各个评判等级的标准匹配度,建立匹配度矩阵R={Rij};采用一种简便方法,即设Rij=pi,表示在评价等级是pi时因素wj的匹配度;而对操作系统因素的实际匹配情况,只确定三种,即匹配、不匹配和未知,匹配度取值分别为1、0和0.5;就能进行各因素实际匹配度和每一评判等级的标准匹配度进行贴近度计算来评判匹配等级;而由于各个因素的匹配情况对报警匹配情况影响的不同,因此在进行对比时还要设定各自的权值α1…,α5,其中
6-2)、使用和计算环境匹配度一样的方法来逐级计算可信度和危险度以及最后的报警威胁度:可信度和危险度以及威胁度的计算都是先确定相应的评判集,然后建立各自的标准匹配度矩阵,实验中其建立过程类似于环境匹配度矩阵。而报警的攻击类型等因素的实际匹配度取值,定义如下:攻击类型可信度的状态分为高、中、低三种,取值分别为1、0.6、0.2,相关攻击的状态分别设为强相关、弱相关和无相关三种,取值分别为1,0.7和0.4,自身危险度按通常IDS的风险等级设为高、中、低三种状态,取值分别为1、0.6和0.2;节点安全度、节点价值、服务价值的计算时的取值要乘上0.1,环境匹配度、可信度和危险度的取值为下层因素评判出来的等级;贴近度的计算依然使用Euclid贴近度来进行计算,最终计算出报警威胁度的等级。
如何对IDS报警信息进行评价和管理一直是入侵检测研究领域的重要课题,一方面它能让系统管理员从海量的报警信息中发现较为可信的关键的报警信息,另一方面对系统的进一步响应包括自动响应也起着促进的作用。但是目前已有的一些报警评价和管理机制往往不够明确,其评价因素也不够全面。
本发明有益效果是:TDAA模型提出了一个新的报警评价体系:报警威胁度,它将报警可信度和危险度结合在一起,全面地考虑了报警信息评价的各个因素并明确了评价标准。
四、具体实施方式
根据IETF入侵检测工作组IDWG(Intrusion Detection Working Group)起草的入侵检测信息交换格式IDMEF(Intrusion Detection Message Exchange Format),一般的IDS报警信息包含的属性主要包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID等。如果要对IDS报警信息的威胁度进行评价,仅凭IDS报警提供的这些信息是不够的,为此还要确定以下一些基本元素。
1节点、服务
节点指的是网络中一个特殊的机器和设备,而服务指的是一个节点所提供的基于局域网或Internet的网络服务。节点和服务对进入系统的连接来说是目的地。
2节点价值和服务价值
节点价值是一个用来表示节点重要性的量化的一个值。我们设节点价值度量的范围从1到N,其中1表示的是最低的重要性,而N表示最高的重要性(本章中为了计算的简便N设为10)。一些诸如不重要的匿名FTP服务器或者密罐(Honey pot)系统等节点的节点价值可能被赋予1;相反,像生产服务器这样非常关键的节点可能被赋予一个比较高的节点价值比如9。像节点一样,每一个服务都要赋予一个表示服务重要性的服务价值,其范围也是从1到M(同节点价值一样,本章中为了计算的简便,M也设为10)。节点价值、服务价值的度量范围和取值是根据整个系统的具体情况由系统管理员指定的。
如果在一个有很多节点、服务的网络,特别是一些大型的企业网络,要在整个网络里对每台主机和服务逐一分配或修改节点价值和服务价值将是一件非常繁琐且困难的事。为了减少节点管理的复杂性以及便于对节点和服务的价值进行分配,这时可以引入了角色的概念。这儿的角色借鉴了RBAC(Role-Based Access Control)[74]中的角色某些特征,它与RBAC中的角色最大的不同在于对角色赋予的是价值属性而不是授权。
3节点安全度
和节点价值与服务价值标示的是节点与服务的重要性相似,节点的安全度标示的是节点的安全性。节点的安全度也是一个量化的值,它由节点安装的操作系统及版本,应用程序,开放的服务、端口,使用的安全措施以及它在网络中的位置等来确定。它的值在一个范围之间,同节点价值一样,设为1到P,其中1表示最低的安全度,P表示最高安全度(本章中为了计算机的简便设P为10)。一台安装了Windows98并且没有加装安全补丁,而且其大部分端口都开放的节点可以评估它的安全度为1,另一台安装RedHat AS3且安装当前所有补丁,安装单机防火墙,关闭了大多数服务的节点,可以评估它的安全度为9。节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的。
对报警信息的评价,我们确定评价出来的等级为10个:0.1,0.2,0.3,…,1,值越大其威胁程度越高,而管理员也可以考虑根据其实际需要,对报警威胁度的等级分类成诸如高度威胁、中度威胁、轻度威胁和无威胁等。
如上文所述,报警信息的威胁度包括两个方面:报警可信度与报警危险度。
4报警可信度
报警可信度指的是报警信息所报攻击真实发生的可能性。首先,一般一种攻击要达到目的只能针对某种系统或服务程序的漏洞,因此可以通过将攻击所需的环境与目的地系统真实的环境进行对比来确定报警信息的可信度。本文将系统的环境归结到5个属性:操作系统的类型与版本、硬件类型、服务及使用的程序和版本、网络端口、应用。
同时,报警信息的可信度还与报警信息所报攻击的特征有很大的关系,如有的攻击的特征是一串字符,或某个特殊端口,当只检测到这一个特征时,其可信度较低;另外一些攻击,由一系列特殊操作组成,正常活动不会进行这套操作,这些类型的可信度相对较高。在本文中,根据攻击特征的不同将攻击分成扫描攻击,拒绝服务攻击,缓冲区溢出攻击,基于Web代码的攻击和其它攻击等几种类型并分配不同的可信程度。
其次报警信息所报攻击的相关攻击信息也影响其可信程度,其中相关攻击信息指系统中近段时间里是否存在和该攻击相关的辅助攻击;或类似的攻击是否已多次发生过。相关攻击信息对每一个报警需要建立一个强相关和弱相关攻击的列表。
最后,目的地的节点安全度,也影响着报警信息可信度,安全度高的系统势必会增加攻击成功的难度。综上所述,报警信息的可信度与目的地系统的环境、攻击类型、相关攻击信息以及目的地系统节点安全度有关。
5报警危险度
报警危险度指的是报警信息所报攻击如果真实发生时对系统的危险程度。对不同节点价值和服务价值的目的地发起同样的攻击,如果都成功的话,对系统造成的危害是不同的。同时,报警信息所报攻击自身,由于攻击目的和攻击方式的不同,导致攻击成功后对系统的影响,即危害程度也会不同,实际上一般的IDS也都有一个报警自身危险程度的评估。因此,报警危险度与报警目的地的节点价值、服务价值以及报警信息本身的危险度是直接相关的。
6报警威胁度计算
由于报警威胁度实际上是个模糊概念,经过细致地分析和比较,本文采用多层模糊模型识别的方法进行报警威胁度评价。模型识别用于识别某个具体对象属于何种类别,而模糊模型识别是在标准模型和待识别对象可能是模糊的情况下的识别,这与我们前面分析的报警威胁度评价原理是非常吻合的。当然,由于本文报警威胁度的评价要先对报警可信度和报警危险度进行评价,报警可信度的评价还需要先对报警信息的环境匹配度进行评价,因此其算法还是多层传递的。具体如下:
设因素集为U={U1,U2},其中U1为报警可信度,U2为报警危险度;
评判集为V={V1,V2,…,Vn},其中从V1到Vn表示从低到高报警威胁度的n个评价等级,本文中n=10。而因素U1和U2又分别由以下因素决定:
U1={u11,u12,u13,u14},其中u11、u12、u13、u14分别指的是环境匹配度、攻击类型可信度、相关攻击情况、节点安全度诸因素。
U2={u21,u22,u23},其中u21、u22、u23分别指的是报警自身危险度、节点价值、服务价值。
最后u11={w1,w2,w3,w4,w5},其中w1、w2、w3、w4、w5分别指的是操作系统、硬件、服务、端口、应用诸因素。
具体计算过程如下:
1、根据已知各环境因素的匹配度计算环境匹配度u11。
先确定u11的评判集p={0.1,0.2,…,1},表示环境匹配的从低到高的10个等级,然后确定w1、w2、w3、w4、w5对各个评判等级的标准匹配度,建立匹配度矩阵R={Rij},可由专家确定或通过学习获得。本文的实验使用一种简便方法,即设Rij=pi,表示在评价等级是pi时因素wj的匹配度,例如R34=03表示环境匹配等级为0.3时,报警所需端口和节点端口的匹配度应为0.3。而对操作系统等因素的实际匹配情况,只确定三种,即匹配、不匹配和未知,匹配度取值分别为1、0和0.5。这样,就能进行各因素实际匹配度和每一评判等级的标准匹配度进行贴近度计算来评判匹配等级。而由于各个因素的匹配情况对报警匹配情况影响的不同,因此在进行对比时还要设定各自的权值α1,…,α5,其中贴近度的计算,我们使用比较容易理解的Euclid贴近度来进行计算,即计算其中r=(r1,r2,r3,r4,r5)表示报警r的实际匹配度,计算出来δ(r,Rj)值最大的表示报警r的实际环境匹配度等级为j。
2、使用和计算环境匹配度一样的方法来逐级计算可信度和危险度以及最后的报警威胁度。
类似步骤1,可信度和危险度以及威胁度的计算都是先确定相应的评判集,然后建立各自的标准匹配度矩阵,本文实验中其建立过程类似于环境匹配度矩阵。而报警的攻击类型等因素的实际匹配度取值,定义如下:攻击类型可信度的状态分为高、中、低三种,取值分别为1、0.6、0.2,相关攻击的状态分别设为强相关、弱相关和无相关三种,取值分别为1,0.7和0.4,自身危险度按通常IDS的风险等级设为高、中、低三种状态,取值分别为1、0.6和0.2。节点安全度、节点价值、服务价值的计算时的取值要乘上0.1,环境匹配度、可信度和危险度的取值为下层因素评判出来的等级。贴近度的计算依然使用Euclid贴近度来进行计算,最终计算出报警威胁度的等级。
以上算法中的环境匹配度、可信度、危险度以及威胁度的贴近度计算时的权值,首先由专家或管理员根据经验知识提出几种可能的权值方案,然后选用一些有代表性的报警,经贴近度计算与事先确定的评判值最相近的即为选用的权值方案。
Claims (1)
1.基于网络入侵检测报警方法,其特征是基于如下步骤,IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID,并确定以下一些基本元素;
1)节点、服务
指的是网络中一个特殊的机器和设备,而服务指的是一个节点所提供的基于局域网或Internet的网络服务,节点和服务对进入系统的连接来说是目的地;
2)节点价值和服务价值
节点价值是一个用来表示节点重要性的量化的一个值,其中1表示的是最低的重要性,而N表示最高的重要性;每一个服务都要赋予一个表示服务重要性的服务价值,其范围也是从1到M;
3)节点安全度
节点的安全度标示的是节点的安全性;节点的安全度也是一个量化的值,它由节点安装的操作系统及版本,应用程序,开放的服务、端口,使用的安全措施以及它在网络中的位置等来确定;它的值在一个范围之间,同节点价值一样,设为1到P,其中1表示最低的安全度,P表示最高安全度;节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的;
对报警信息的评价,确定评价出来的等级为10个:0.1,0.2,0.3,…,1,值越大其威胁程度越高,而管理员也可以考虑根据其实际需要,对报警威胁度的等级分类成诸如高度威胁、中度威胁、轻度威胁和无威胁;报警信息的威胁度包括两个方面:报警可信度与报警危险度;
4)报警可信度
报警可信度指的是报警信息所报攻击真实发生的可能性;首先,一般一种攻击要达到目的只能针对某种系统或服务程序的漏洞,因此可以通过将攻击所需的环境与目的地系统真实的环境进行对比来确定报警信息的可信度;系统的环境归结到5个属性:操作系统的类型与版本、硬件类型、服务及使用的程序和版本、网络端口、应用;
根据攻击特征的不同将攻击分成扫描攻击,拒绝服务攻击,缓冲区溢出攻击,基于Web代码的攻击和其它攻击等几种类型并分配不同的可信程度;
其次报警信息所报攻击的相关攻击信息也影响其可信程度,其中相关攻击信息指系统中近段时间里是否存在和该攻击相关的辅助攻击;或类似的攻击是否已多次发生过;相关攻击信息对每一个报警需要建立一个强相关和弱相关攻击的列表;
最后,目的地的节点安全度,也影响着报警信息可信度,安全度高的系统势必会增加攻击成功的难度;综上所述,报警信息的可信度与目的地系统的环境、攻击类型、相关攻击信息以及目的地系统节点安全度有关;
5)报警危险度
报警危险度指的是报警信息所报攻击如果真实发生时对系统的危险程度;对不同节点价值和服务价值的目的地发起同样的攻击,如果都成功的话,对系统造成的危害是不同的;同时,报警信息所报攻击自身,由于攻击目的和攻击方式的不同,导致攻击成功后对系统的影响,即危害程度也会不同,实际上一般的IDS也都有一个报警自身危险程度的评估;因此,报警危险度与报警目的地的节点价值、服务价值以及报警信息本身的危险度是直接相关的;
6)报警威胁度计算
由于报警威胁度采用多层模糊模型识别的方法进行报警威胁度评价;多层识别用于识别某个具体对象属于何种类别,而模糊模型识别是在标准模型和待识别对象可能是模糊的情况下的识别,这与我们前面分析的报警威胁度评价原理是非常吻合的;报警威胁度的评价要先对报警可信度和报警危险度进行评价,报警可信度的评价还需要先对报警信息的环境匹配度进行评价,因此其算法还是多层传递的;具体如下:
设因素集为U={U1,U2},其中U1为报警可信度,U2为报警危险度;
评判集为V={V1,V2,…,Vn},其中从V1到Vn表示从低到高报警威胁度的n个评价等级,本文中n=10;而因素U1和U2又分别由以下因素决定:
U1={u11,u12,u13,u14},其中u11、u12、u13、u14分别指的是环境匹配度、攻击类型可信度、相关攻击情况、节点安全度诸因素;
U2={u21,u22,u23},其中u21、u22、u23分别指的是报警自身危险度、节点价值、服务价值;
最后u11={w1,w2,w3,w4,w5},其中w1、w2、w3、w4、w5分别指的是操作系统、硬件、服务、端口、应用诸因素;
6-1)、根据已知各环境因素的匹配度计算环境匹配度u11;
先确定u11的评判集p={0.1,0.2,…,1},表示环境匹配的从低到高的10个等级,然后确定w1、w2、w3、w4、w5对各个评判等级的标准匹配度,建立匹配度矩阵R={Rij};采用一种简便方法,即设Rij=pi,表示在评价等级是pi时因素wj的匹配度;而对操作系统因素的实际匹配情况,只确定三种,即匹配、不匹配和未知,匹配度取值分别为1、0和0.5;就能进行各因素实际匹配度和每一评判等级的标准匹配度进行贴近度计算来评判匹配等级;而由于各个因素的匹配情况对报警匹配情况影响的不同,因此在进行对比时还要设定各自的权值α1,…,α5,其中
6-2)、使用和计算环境匹配度一样的方法来逐级计算可信度和危险度以及最后的报警威胁度:可信度和危险度以及威胁度的计算都是先确定相应的评判集,然后建立各自的标准匹配度矩阵,实验中其建立过程类似于环境匹配度矩阵;而报警的攻击类型等因素的实际匹配度取值,定义如下:攻击类型可信度的状态分为高、中、低三种,取值分别为1、0.6、0.2,相关攻击的状态分别设为强相关、弱相关和无相关三种,取值分别为1,0.7和0.4,自身危险度按通常IDS的风险等级设为高、中、低三种状态,取值分别为1、0.6和0.2;节点安全度、节点价值、服务价值的计算时的取值要乘上0.1,环境匹配度、可信度和危险度的取值为下层因素评判出来的等级;贴近度的计算依然使用Euclid贴近度来进行计算,最终计算出报警威胁度的等级。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011102778856A CN102281163A (zh) | 2011-09-19 | 2011-09-19 | 一种网络入侵检测报警的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011102778856A CN102281163A (zh) | 2011-09-19 | 2011-09-19 | 一种网络入侵检测报警的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102281163A true CN102281163A (zh) | 2011-12-14 |
Family
ID=45106360
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011102778856A Pending CN102281163A (zh) | 2011-09-19 | 2011-09-19 | 一种网络入侵检测报警的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102281163A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102722683A (zh) * | 2012-06-11 | 2012-10-10 | 中山爱科数字家庭产业孵化基地有限公司 | 一种健康医疗信息安全存储的防护系统 |
CN103218664A (zh) * | 2013-05-08 | 2013-07-24 | 重庆邮电大学 | 一种基于小波神经网络的告警权值确定方法 |
CN104301330A (zh) * | 2014-10-29 | 2015-01-21 | 云南大学 | 基于异常行为监测和成员亲密度测量的陷阱网络检测方法 |
CN105210042A (zh) * | 2013-03-14 | 2015-12-30 | 班杜拉有限责任公司 | 互联网协议威胁防护 |
CN107689956A (zh) * | 2017-08-31 | 2018-02-13 | 北京奇安信科技有限公司 | 一种异常事件的威胁评估方法及装置 |
CN109545367A (zh) * | 2018-11-01 | 2019-03-29 | 浙江大学 | 医疗设备警报信息管理方法 |
CN112671736A (zh) * | 2020-12-16 | 2021-04-16 | 深信服科技股份有限公司 | 一种攻击流量确定方法、装置、设备及存储介质 |
CN115713339A (zh) * | 2023-01-09 | 2023-02-24 | 量子科技长三角产业创新中心 | 一种数据量子计算管控方法、装置、设备及计算机介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005041141A2 (en) * | 2003-10-15 | 2005-05-06 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
CN101005510A (zh) * | 2007-01-19 | 2007-07-25 | 南京大学 | 一种综合漏洞的网络实时风险评估方法 |
-
2011
- 2011-09-19 CN CN2011102778856A patent/CN102281163A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005041141A2 (en) * | 2003-10-15 | 2005-05-06 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
CN101005510A (zh) * | 2007-01-19 | 2007-07-25 | 南京大学 | 一种综合漏洞的网络实时风险评估方法 |
Non-Patent Citations (2)
Title |
---|
孙云,黄皓: "一种混合式网络入侵检测系统", 《计算机工程》 * |
张琨,曹宏鑫,衷宜,刘凤玉: "网络入侵检测中一种新型SVM特征加权分类方法", 《南京理工大学学报(自然科学版)》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102722683A (zh) * | 2012-06-11 | 2012-10-10 | 中山爱科数字家庭产业孵化基地有限公司 | 一种健康医疗信息安全存储的防护系统 |
CN105210042A (zh) * | 2013-03-14 | 2015-12-30 | 班杜拉有限责任公司 | 互联网协议威胁防护 |
CN105210042B (zh) * | 2013-03-14 | 2019-07-12 | 班杜拉有限责任公司 | 互联网协议威胁防护 |
CN103218664A (zh) * | 2013-05-08 | 2013-07-24 | 重庆邮电大学 | 一种基于小波神经网络的告警权值确定方法 |
CN104301330A (zh) * | 2014-10-29 | 2015-01-21 | 云南大学 | 基于异常行为监测和成员亲密度测量的陷阱网络检测方法 |
CN104301330B (zh) * | 2014-10-29 | 2017-09-15 | 云南大学 | 基于异常行为监测和成员亲密度测量的陷阱网络检测方法 |
CN107689956A (zh) * | 2017-08-31 | 2018-02-13 | 北京奇安信科技有限公司 | 一种异常事件的威胁评估方法及装置 |
CN107689956B (zh) * | 2017-08-31 | 2020-12-01 | 奇安信科技集团股份有限公司 | 一种异常事件的威胁评估方法及装置 |
CN109545367A (zh) * | 2018-11-01 | 2019-03-29 | 浙江大学 | 医疗设备警报信息管理方法 |
CN112671736A (zh) * | 2020-12-16 | 2021-04-16 | 深信服科技股份有限公司 | 一种攻击流量确定方法、装置、设备及存储介质 |
CN112671736B (zh) * | 2020-12-16 | 2023-05-12 | 深信服科技股份有限公司 | 一种攻击流量确定方法、装置、设备及存储介质 |
CN115713339A (zh) * | 2023-01-09 | 2023-02-24 | 量子科技长三角产业创新中心 | 一种数据量子计算管控方法、装置、设备及计算机介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102281163A (zh) | 一种网络入侵检测报警的方法 | |
CN107204876B (zh) | 一种网络安全风险评估方法 | |
CN104509034B (zh) | 模式合并以识别恶意行为 | |
CN104486141B (zh) | 一种误报自适应的网络安全态势预测方法 | |
CN102098180B (zh) | 一种网络安全态势感知方法 | |
CN102546638B (zh) | 一种基于场景的混合入侵检测方法及系统 | |
Anuar et al. | An investigation and survey of response options for Intrusion Response Systems (IRSs) | |
CN102457412A (zh) | 基于指标体系的大规模网络安全态势评估方法 | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
CN108040493A (zh) | 利用低置信度安全事件来检测安全事故 | |
CN102594783B (zh) | 一种网络安全应急响应方法 | |
CN105471854B (zh) | 一种基于多级策略的自适应边界异常检测方法 | |
CN105141598A (zh) | 基于恶意域名检测的apt攻击检测方法及装置 | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
US20070226803A1 (en) | System and method for detecting internet worm traffics through classification of traffic characteristics by types | |
Alzubi | A deep learning-based frechet and dirichlet model for intrusion detection in IWSN | |
Tianfield | Cyber security situational awareness | |
CN105868629B (zh) | 一种适用于电力信息物理系统的安全威胁态势评估方法 | |
CN109063205A (zh) | 一种面向网络安全的知识库构建方法 | |
EP3329640B1 (en) | Network operation | |
CN101459537A (zh) | 基于多层次多角度分析的网络安全态势感知系统及方法 | |
CN112165470B (zh) | 一种基于日志大数据分析的智能终端接入安全预警系统 | |
CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
CN101668012A (zh) | 安全事件检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111214 |