基于行为模式挖掘的骨干网攻击检测算法

针对Internet骨干网面临的主要攻击行为,提出一种基于攻击行为模式的建模方法。基于行为模式挖掘设计一种快速检测算法,提出一种基于双页表结构的攻击信息树的构建算法。实验结果证明该检测方法能够实时地检测骨干网中已知或未知的攻击,定位报告受害源。     

基于OSSIM关联分析技术的蠕虫攻击检测

由于近些年蠕虫攻击日益泛滥和业界相应安全检测产品的功能单一化,导致了安全事件频繁虚警和漏警。鉴于目前这种困境,该文在分别研究了著名开源项目OSSIM和蠕虫攻击技术的基础上,提出了基于序列化启发式关联技术的蠕虫检测方法。该文中提出的这种关联方法采用XML文档描述蠕虫入侵模式,这就使该关联方法比其他方法更加灵活、可信。最后,该文中不仅给出了蠕虫检测的通用关联规则,还搭建了以OSSIM为母体的安全管理平台进行测试。从测试过程和结果显示了该方法的灵活可靠性。     

Zero-day攻击多态蠕虫研究与进展

随着计算机网络的不断普及与发展,网络蠕虫已经成为网络系统安全的重要威胁之一。近年来,网络蠕虫又有了新的变化,出现了新的Zero-day攻击多态蠕虫,这种蠕虫采用＂多态＂技术并以＂Zero-day漏洞＂为攻击目标,可在短时间内有效地避开检测系统,成为未来互联网安全的一大隐患。因此,研究Zero-day攻击多态蠕虫及其检测技术是非常必要的。首先论述了Zero-day攻击多态蠕虫的攻击原理,接着对近几年提出的基于网络流过滤和模拟执行检测等方法进行了分析、总结,最后给出一些热点问题及展望。     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。     

XML数据流分页频繁子树挖掘研究

随着XML数据流的广泛应用,从挖掘XML数据流中发现知识具有重要的理论与应用价值.相比其他频繁模式挖掘,大型XML文档与数据流的频繁子树挖掘面临困难:XML数据流不可能整体在内存解析;对XML数据流分段挖掘必须考虑XML数据的半结构化特征等.针对上述问题,提出数据流分页频繁子树挖掘模型Tmlist.Tmlist对XML数据流进行分页,管理跨页节点及频繁候选子树的跨页增长,逐页挖掘频繁子树;频繁候选子树的增长根据根节点层次由浅至深地在最右路径加入频繁候选节点,避免以低层次为根子树的重复性递归增长;对频繁候选子树采用子树拓扑序列和最右路径共同标识,子树的增长不需要对子树前缀进行匹配,省去前缀节点存储与匹配开销;以页面最小支持度对频繁候选子树按页筛选,子树按页面衰减度衰减支持度、剪枝.Tmlist在可控误差范围内降低频繁子树挖掘的空间消耗,提高内存利用率和挖掘效率.     

DDoS攻击的全局异常相关检测方法

骨干网中存在的DDoS攻击,由于背景流量巨大,且分布式指向受害者的多个攻击流尚未汇聚,因此难以进行有效的检测。为了解决该问题,提出一种基于全局流量异常相关分析的检测方法。根据攻击流引起流量之间相关性的变化,采用主成分分析提取多条流量中潜在异常部分之间的相关性,并将相关性变化程度作为攻击检测测度。实验结果证明了该测度的可用性,能够克服骨干网中DDoS攻击流幅值相对低且不易检测的困难,同现有的全局流量检测方法相比,所提出的方法能够取得更高的检测率。     

基于流交互三态模型的DDoS攻击检测*

针对传统方法在检测DDoS攻击时的不足,提出了一种新的IP流交互行为特征算法(IFF),该方法利用IP地址和端口表示IP流的交互性。采用IFF特征,将网络流定义为三种状态,即健康、亚健康和异常,提出了基于IFF特征的三态模型检测方法(DASA),该方法采用了基于滑动平均方法的自适应双阈值算法和报警评估机制,提高了检测DDoS攻击的准确度。仿真实验结果表明,该方法不但能快速、有效地检测DDoS攻击,而且具有较低漏报率和误报率。     

基于攻击特征的ARMA预测模型的DDoS攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点。本文提出一个能综合反映DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等多个本质特征的IP流特征(IFFV)算法,采用线性预测技术,为正常网络流的IFFV时间序列建立了简单高效的ARMA(2,1)预测模型,进而设计了一种基于IFFV预测模型的DDoS攻击检测方法(DDDP)。为了提高方法的检测准确度,提出了一种报警评估机制,减少预测误差或网络流噪声所带来的误报。实验结果表明,DDDP检测方法能够迅速、有效地检测DDoS攻击,降低误报率。     

基于失败连接流量偏离度的蠕虫早期检测方法

通过分析网络蠕虫攻击的特点，定义了能够反映蠕虫攻击特征的失败连接流量偏离度（FCFD）的概念，并提出了一种基于FCFD时间序列分析的蠕虫早期检测方法。该方法利用小波变换对FCFD时间序列进行多尺度分析，利用高频分量模极大值进行奇异点检测，从而发现可能的蠕虫攻击。同时给出了一种基于失败连接分析的蠕虫感染主机定位和蠕虫扫描特征提取方法。实验结果显示，该方法能够有效检测未知蠕虫的攻击。和已有方法相比，该方法具有更高的检测效率和更低的误报率。     

基于良性益虫的对等网络蠕虫防御技术

对等网络蠕虫利用对等网络的固有特征(如本地路由表、应用层路由等),不仅复制快,而且提供了更好的隐蔽性和传播性,因而其危害大,防御困难。从分析互联网蠕虫及其传播机制入手,对对等网络上的蠕虫(即P2P蠕虫)及其特殊性进行了综合分析。在此基础之上,提出了基于良性益虫的被动激活主动传播防御策略(PAIFDP),并对该策略的技术原理和响应防御系统的功能模块等进行了详细设计。以Peersim仿真平台为基础,对各种不同网络参数下的防御效果和资源消耗情况进行了实验分析。结果表明,基于良性益虫的P2P蠕虫防御技术具有收敛时间快、网络资源消耗少、适应性强等特点。     

基于生物免疫原理的网络蠕虫免疫模型

提出一种新的网络蠕虫传播模型,并基于生物免疫原理提出了成熟良性蠕虫、记忆良性蠕虫和疫苗良性蠕虫新概念,建立了新的主机状态转移关系,运用系统动力学理论和方法,建立了一种新的网络蠕虫免疫模型,它能够从定性和定量两方面分析和预测网络蠕虫免疫过程,并能够深入刻画恶性蠕虫和良性蠕虫交互过程中的网络特性,为动态防治网络蠕虫提供了新的理论依据。模拟实验结果表明,引入的三种良性蠕虫是动态防御恶性网络蠕虫传播的重要因素。     

基于流量特征的区域互联网攻击源IP地址检测

当区域互联网受到攻击时,其流量会发生较为明显的变化,因此提出基于流量特征的区域互联网攻击源IP地址检测方法。采用NetFlow技术采集用户高速转发的IP数据流,得到网络流量数据。针对网络流量中突变数据,实施去除处理。通过最小冗余最大相关性,提取互联网的流量特征,以提高攻击源IP地址的检测精度。以流量特征的信息熵作为输入,结合极限学习机与k均值算法实现攻击流量检测并确定互联网攻击源IP地址。测试结果表明:在该方法的应用下,攻击源IP地址检测质量指数在0.9以上,由此说明该方法的检测准确性更高,检测质量更好。     

基于多测度约束的快速蠕虫传播源定位算法研究

近年来频繁爆发的大规模网络蠕虫对Internet的整体安全构成了巨大的威胁，已经造成了巨额的经济损失，新的变种仍在不断出现。目前对于蠕虫的监测与响应都是事后与人工的。本文提出了一种新的基于模式发现的多测度蠕虫快速定位方法，通过源地址活跃度、目标地址离散度和响应度准则等多个测度对监测目标网络已知和未知蠕虫的活动进行快速定位。基于本文的方法在应用中能以较低的资源代价发现未知的蠕虫传播并进行快速源定位。此外为提高算法的效率，本文研究了一种基于双页表结构的攻击树构建方法。     

Defending against hitlist worms using network address space randomization

Worms are self-replicating malicious programs that represent a major security threat for the Internet, as they can infect and damage a large number of vulnerable hosts at timescales where human responses are unlikely to be effective. Sophisticated worms that use precomputed hitlists of vulnerable targets are especially hard to contain, since they are harder to detect, and spread at rates where even automated defenses may not be able to react in a timely fashion.This paper examines a new proactive defense mechanism called Network Address Space Randomization (NASR) whose objective is to harden networks specifically against hitlist worms. The idea behind NASR is that hitlist information could be rendered stale if nodes are forced to frequently change their IP addresses. NASR limits or slows down hitlist worms and forces them to exhibit features that make them easier to contain at the perimeter. We explore the design space for NASR and present a prototype implementation as well as experiments examining the effectiveness and limitations of the approach.     

基于统计分析建立流量动态临界线的蠕虫检测机制研究*

提出了一种基于正态分布进行异常流量检测,从而判断当前内网中是否存在蠕虫感染的方法。该方法根据历史流量的正态分布统计特性,计算出网络内数据流量的一般行为的可信区间,如果监控的流量超出该可信区间,则判断为异常流量并作出蠕虫威胁的报警。结合该方法,进一步分析了如何以双因素模型分析网络中蠕虫的数量。     

一种基于客户端的网络蠕虫预警方法

针对现有网络蠕虫预警方法的不足，通过对网络蠕虫繁衍原理和行为模式的分析，提出一种基于客户端的网络蠕虫预警方法。改进了现有方法中所有操作均在服务器端进行的不足。与现有的网络蠕虫预警方法比较，新方法更加有效，而且能够预警未知的蠕虫。又因为这种方法结合了客户端和服务器端的功能，所以大大减轻了服务器端的负担。     

P2P网络中沉默型蠕虫传播建模与分析

蠕虫给Internet带来巨大威胁,给作为Internet覆盖网的P2P网络带来的威胁更大,这主要是由P2P网络本身的特点决定的(就是这些特点为用户带来巨大方便).考虑到威胁P2P网络的3种蠕虫中沉默型蠕虫传播模型还没有被提出(其他2种分别为被动型蠕虫和主动型蠕虫)和沉默型蠕虫的巨大危害性,提出了沉默型蠕虫的传播模型和免疫模型,并基于该模型推导出了沉默型蠕虫不会流行的条件.为了考查各个P2P参数对蠕虫传播的影响和从实践上验证推导出的蠕虫不会流行的条件,使用Matlab进行了大量仿真实验.实验表明,理论推导出的蠕虫不会流行的条件是正确的;实验还进一步表明,蠕虫的流行程度是由流行指数来决定的,这为提出蠕虫控制策略提供了依据.通过对决定流行指数的几个参数的分析表明,在发现蠕虫时迅速降低下载率是补丁发布前控制蠕虫最有效的办法.     

基于AOI方法的未知蠕虫特征自动发现算法研究

近年来频繁爆发的大规模网络蠕虫对Internet的整体安全构成了巨大的威胁，新的变种仍在不断出现。由于无法事先得到未知蠕虫的特征，传统的基于特征的入侵检测机制已经失效。目前蠕虫监测的一般做法是在侦测到网络异常后由人工捕获并进行特征的分析，再将特征加入高速检测引擎进行监测。本文提出了一种新的基于面向属性归纳（AOI）方法的未知蠕虫特征自动提取方法。该算法在可疑蠕虫源定位的基础上进行频繁特征的自动提取，能够在爆发的早期检测到蠕虫的特征，进而通过控制台特征关联监测未知蠕虫的发展趋势。实验证明该方法是可行而且有效的。