利用主机软件信息消除NIDS虚警

Use of host's software information to mitigate false positive in signature-based NIDS

下载PDF

导出

摘要由于缺乏对网络主机上下文的了解,多数基于特征的NIDS(网络入侵检测系统)产生的虚警数量太多,使得管理员无法尽快将注意力集中到真正有威胁的报警上。通过改进已有的NIDS使其能够有效利用网络主机上的软件信息消除NIDS虚警的有效方法,改进后的NIDS根据已知的受监控网段内的主机软件信息,在与入侵规则做匹配之前进行预先判断,过滤掉不需要匹配的入侵规则,从而减少很多没有实际意义的报警记录。改进后的NIDS原型系统在企业内部网实施的实测结果显示,该方法确实可以达到减少虚警数量提高报警质量的目的。 For lackness of knowledge about the context of network hosts, most signature-based NIDSs produce too many false positives, which prevent the administrators from focusing their efforts on real dangerous alerts quickly. A mechanism in NIDS is proposed, which makes a decision before pattern matching to filter unnecessary intrusion rules for matching, by utilizing the sottware information of the target hosts, to mitigate false positives drastically. This method is implemented in the prototype system. The result of testing on typical intranet shows that this method surely mitigate false positives and improve quality of alerts in NIDS.

作者龙小飞冯雁王瑞杰

机构地区浙江大学计算机学院

出处《计算机工程与设计》 CSCD 北大核心 2007年第3期538-541,共4页 Computer Engineering and Design

基金浙江省科研基金项目(2004201) 浙江省科学技术厅基金项目

关键词网络入侵检测系统入侵检测主机上下文基于特征虚警 NIDS intrusion detection＇, host context signature-based false positive

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献8

1Masayoshi Mizutani,Shin Shirahata,Masaki Minami,et al.The design and implementation of session based NIDS[OL].2004.http://www.sfc.wide.ad.j p/～mizutani/article/sb-ids/article.pdf.
2David Safford,Martin Roesch.A new approach to vulnerability management and intrusion detection[S].2003.
3Steven J Scott.Threat management systems the state of intrusion detection[OL].2002.http://www.snort.org/docs/threatmanagement.pdf.
4Marc Norton,Daniel Roelker.SNORT 2.0 rule optimizer[OL].2004.http://www.snort.org/docs.
5Andrés Felipe Arboleda,Charles Edward Bed(o)n.Snort diagrams for developers[OL].2005.http://www,snort.org/docs.
6Kruegel C,Toth T,Kirda E.Service specific anomaly detection for network intrusion detection[S].Spain:Symposium on Applied Computing,2002.
7Dayioglu B,Ozgit A.Use of passive network mapping to enhance signature quality of misuse network intrusion detection systems[S].Proceedings of the Sixteenth International Symposium on Computer and Information Sciences,2001.
8Antonatos S,Anagnostakis K G,Markatos E P,et al.Performance analysis of content matching intrusion detection systems[C].Proceedings of the 4th IEEE/IPSJ Symposium on Applications and Internet,2004.

1通过国家保密局涉密信息系统安全保密测评中心检测的产品目录(2011年2月1日至2月29日)[J].保密科学技术,2012(3):79-80.
2通过国家保密局涉密信息系统安全保密测评中心检测的产品目录(2010年4月—2010年5月)[J].保密科学技术,2010(1):79-80.
3曹晶秀,王晓燕.分布式入侵检测系统监控点及监控网段部署方法的研究[J].网络安全技术与应用,2008(9):84-85.
4龙小飞,冯雁,王瑞杰.网络入侵检测系统预先决策检测引擎研究[J].浙江大学学报（工学版）,2006,40(10):1701-1704. 被引量：3
5邱联奎,刘启亮,雷文龙.基于背景减除与三帧差分相融合的运动检测[J].合肥工业大学学报（自然科学版）,2014,37(5):572-577. 被引量：20
6沈贺磊.漫谈信息消除技术[J].信息安全与通信保密,2009,31(8):92-94.
7邱联奎,刘启亮,赵予龙,李冠杰.混合高斯背景模型目标检测的一种改进算法[J].计算机仿真,2014,31(5):378-384. 被引量：20
8祁峰,高琪,何蓬.固态存储设备和器件的信息消除方法研究[J].保密科学技术,2011(6):54-59. 被引量：2
9李清.VS2010+Qt开发文件粉碎软件[J].电脑编程技巧与维护,2013(23):79-82.
10蒋朝福.数据安全从信息消除开始[J].网管员世界,2009(17):26-27.

计算机工程与设计

2007年第3期

浏览历史

内容加载中请稍等...

利用主机软件信息消除NIDS虚警

参考文献8

相关作者

相关机构

相关主题

浏览历史