基于统计分析建立流量动态临界线的蠕虫检测机制研究*

提出了一种基于正态分布进行异常流量检测,从而判断当前内网中是否存在蠕虫感染的方法。该方法根据历史流量的正态分布统计特性,计算出网络内数据流量的一般行为的可信区间,如果监控的流量超出该可信区间,则判断为异常流量并作出蠕虫威胁的报警。结合该方法,进一步分析了如何以双因素模型分析网络中蠕虫的数量。     

基于行为异常的Symbian蠕虫病毒检测方法

随着智能手机持有者大幅度增多,以手机终端传播,短信、彩信形式为栽体的蠕虫病毒对用户已造成多方面的危害。基于行为异常的Symbian蠕虫病毒检测方法以Symbian OS60操作系统为平台,通过频繁行为序列算法分析特定的系统函数调用行为,并结合对键盘按键操作行为的分析,检测出智能手机蠕虫病毒。通过实验,该方法可以有效的检测到当前流行的手机蠕虫病毒。     

未知蠕虫自动检测技术研究

现有蠕虫检测系统的误报率较高。为此,提出未知蠕虫自动检测技术。利用多维蠕虫异常检测方法发现未知蠕虫,使用跳跃式多特征串提取方法得到未知蠕虫的特征串集合,并生成相应的特征检测规则,实现未知蠕虫的自动检测。实验结果证明,该技术能够成功发现新型蠕虫,具有较高的蠕虫检测率和较低的误报率。     

基于用户窗口行为的内部威胁检测研究

用户在计算机上的行为直接体现在与应用窗口的交互过程中.针对内网安全问题,从应用窗口的使用角度出发,对用户行为进行研究.搭建完全自由的内网环境,采集与分析用户在应用窗口上的行为数据,提取面向异常用户检测与用户变化行为识别的行为特征.通过样本均值分布特性和K-S检验验证了不同用户使用应用窗口的行为存在显著差异,并结合欧氏距离与置信区间,构建异常行为检测算法.实验结果表明,该算法能够有效检测异常用户与识别用户变化行为,准确率分别高达97.4%和94.5%,对于内部威胁防御具有重要作用.     

递进式网络数据包解析与过滤方法研究

在分析企业对内部网络监控系统需求的基础上,提出了一种适用于内网监控系统的递进式网络数据包解析与过滤的方法。该方法包括网络数据包的截获、解析和过滤3个主要功能,其中主要分析了数据包解析与过滤的实现,采用递进式分级解析数据包的方式和高效的BM模式匹配算法进行规则匹配,提高了数据包解析过滤的效率。实验结果表明,该方法的应用对网络数据传输产生的延时较小,基本不影响内网用户对网络的正常使用。     

基于扫描流量统计的本地网蠕虫检测方法

为了准确检测外网蠕虫对本地网的传播,在研究蠕虫扫描行为模式的基础上,提出一种基于扫描流量统计的本地网蠕虫检测方法,并给出蠕虫检测方法实现的总体思路、关键算法和检侧过程.该检侧方法分为异常流量检测和扫描包特征匹配检测两个步骤,即首先使用马尔科夫和坎泰利不等式在网络边界检测进入本地网的扫描流量,提取异常流量中的可疑扫描包的特征;然后监控本地网,检测与可疑扫描包特征相匹配的本地网扫描活动,进而判定本地网是否感染外网蠕虫.分析与初步实验证明,该方法能够检测准确检测外网蠕虫对本地网的传播.     

一种新的蠕虫防范方法*

提前对特定漏洞可能出现的攻击数据包进行特征提取,并以此特征为基础描述了一种可以阻断未来针对特定漏洞恶意攻击的蠕虫防范方法,最后提出一种新的蠕虫防范模式和存在的一些问题。     

基于遗传神经网络分析的内网用户行为审计系统

安全审计技术是继防火墙、入侵检测技术之后出现的能有效保障大规模网络安全的一种重要手段。目前,安全审计系统多是基于广域网网络数据的审计,对于内网用户行为审计甚少,而且还处于研究初级阶段。针对这一点,本文首先分析了用户行为审计要点,提出了一种基于用户行为的内网分布式安全审计系统,并将基于遗传算法的神经网络用于审计日志分析及异常检测。实验结果证明该模型能够有效地检测出用户异常行为。     

对数无限可分级串框架下的异常网络流量分析

湍流尺度分析中的对数无限可分级串方法具有描述数据流全范围下的多尺度行为的优点，可用于对网络流量的多尺度行为的分析。在对几组正常流量和含蠕虫的异常流量分析讨论的基础上，发现受数据流内含协议数据的成分变化的影响，正常流量的多尺度分段点具有不确定性；而受W32／Blaster蠕虫影响的数据流的尺度特性符合幂律关系，即尺度不变性；W32／Nachi蠕虫不影响TCP数据流的尺度特性。     

数据包在网络异常行为研究中的应用

以网络访问中的异常行为为研究对象,通过对数据包的深入分析,从数据包中提取与网络异常行为相关的内容特征,然后通过与数据包包头信息的集合,构成对网络行为进行研究的特征库。在实验的基础上,通过对所提取得到的网络异常特征进行记录,构建完善的网络异常行为数据库。     

基于IP报文Identification标识的网络异常流量检测

由于相当一部分异常流量由于采用了特殊的生成机制而在结构上有别于遵循基本网络协议的正常流量,本文提出了一种基于IP报文Identification标识字段分布识别网络中异常流量的方法。通过CERNET网络不同时段的IP报文检测结果证明了该方法的准确性。     

网络蠕虫传播模型的分析与仿真研究

研究网络安全问题,网络蠕虫是当前网络安全的重要威胁。网络蠕虫传播途径多样化、隐蔽性强、感染速度快等特点。蠕虫模型以简单传染病模型进行传播,无法准确描述网络蠕虫复杂变化特点,网络蠕虫检测正确率比较低。为了提高网络蠕虫检测正确率,提出一种改进的网络蠕虫传播模型。在网络蠕虫传播模型引入动态隔离策略,有效切断网络蠕虫传播途径,采用自适应的动态感染率和恢复率,降低网络蠕虫造成的不利影响。仿真结果表明,相对于经典网络蠕虫传播模型,改进模型有效地加低了网络蠕虫的传播速度,提高网络蠕虫检测正确率和整个网络安全性,为网络蠕虫传播研究提供重要指导。     

网络蠕虫感染率的抗差估计法

网络蠕虫对信息安全构成了威胁,检测和防范蠕虫成为网络安全的研究课题。本文提出了一种网络蠕虫感染率的估法模型,然后根据权函数和残差区间给出了抗差等价权矩阵,分析了误差影响及验后精度估计,最后进行了仿真实验。实验结果表明,这种方法具有良好的抗粗差能力,可靠靠且收敛速度快。     

基于RBF神经网络的HTTP异常行为自动识别方法

随着互联网的高速发展和用户规模的不断扩大,各种针对网络服务端的攻击不断增加。目前大部分的网络防护措施主要针对对网络层和传输层的攻击,对针对应用层的攻击几乎没有防护能力,但越来越多的针对Web的攻击通过应用层完成。文章提出一种基于RBF神经网络的HTTP攻击行为自动识别方法。该方法通过模拟基于HTTP协议的正常行为和异常行为,对获取的Web通信过程中的数据包包体内容进行分析,结合数据包包头的相关信息,构造基于HTTP协议的网络行为。通过大量的模拟实验,形成大量的基于HTTP协议的正常行为记录和异常行为记录,再使用这些行为记录训练基于径向基函数的神经网络。系统可以利用训练好的神经网络从当前的基于HTTP协议的网络行为中自动识别异常HTTP行为,再将识别出的异常HTTP行为存入异常HTTP行为库中。     

一种基于异常流量的蠕虫入侵检测

该文对入侵检测常用检测方法做了简单概述,根据蠕虫与流量的关系,分析了基于异常流量检测蠕虫入侵的可行性,提出了一种基于异常流量的蠕虫检测模型,最后对将来需要进一步研究的工作提出了一些建议和设想。     

基于sFlow技术的园区网蠕虫病毒侦测系统

蠕虫病毒是网络的主要威胁之一.实时流量采集和分析对于快速侦测和定位已感染蠕虫病毒的计算机具有重要意义.常见的蠕虫病毒监测方法如IDS和Sniff等,都存在难以全网监控、无法快速定位伪造IP地址的病毒源的缺点.分析了多种网络流量采集技术的优缺点,重点介绍了sFlow技术,并基于sFlow技术设计实现了一套园区网蠕虫病毒快速侦测系统.     

基于贝叶斯的网络蠕虫检测技术的研究

介绍了网络蠕虫的定义和工作机制,通过分析得到了网络蠕虫的共有特性.根据蠕虫的特性,提出了一个基于贝叶斯的网络蠕虫检测方法,采用贝叶斯公式来计算首次连接失败的概率,对于不能确定的情况,用后验概率更新先验概率.设计了一个基于贝叶斯的网络蠕虫检测系统的原型系统,详细描述了该系统的结构模型,并从功能角度上介绍了该系统的两个主要组成部分.     

大规模蠕虫在线追踪培养皿

提出了一个用于反向追踪大规模网络蠕虫传播的虚拟实验环境，能够用于网络蠕虫检测和防御实验。实验环境使用虚拟机技术，虚拟大量主机和网络设备参加，尽量符合网络实际。在可控的范围内，使用真实的感染代码引发大规模蠕虫的爆发，观测蠕虫的传播过程。实验环境中可以发现蠕虫的传播特性，实时收集网络蠕虫的流量数据和感染过程。     

基于有向图分析的蠕虫早期检测方法

网络蠕虫给互联网带来了巨大的损失,实践证明,越早发现蠕虫的传播行为,就越有利于对蠕虫的遏制。首先分析了网络蠕虫早期传播的特征,然后借鉴GrIDS入侵检测系统的图分析思想,提出了一种利用有向图对网络蠕虫早期传播行为进行检测的蠕虫早期检测方法,并设计了有向图分析算法,对网络蠕虫与P2P应用、网络扫描以及突发访问等类网络蠕虫行为进行了准确识别。实验证明,可以准确检测网络蠕虫的早期传播行为,并定位蠕虫源主机。