IPv6环境下的入侵检测系统模型设计

IPv6将作为下一代Internet的网络协议，对信息安全提出了新的挑战，入侵检测技术也需要进一步发展。针对此提出了IPv6环境下入侵检测系统模型(IDSMIPv6)。探讨了流量分析、网络阻断、灾难恢复、IP追踪、快速捕包和高速地址匹配等关键技术，并利用协同技术，实现了各个模块的总体控制。依据此系统模型构建的IPv6环境下的入侵检测系统软件在实践中得到了良好的验证。     

基于IPv6的分布式智能防火墙系统的设计与实现

针对目前IPv6环境下缺乏应用层内容过滤防火墙的现状,设计并实现了一种IPv6分布式智能防火墙原型系统.该系统通过网络层策略规则,可对IPv4和IPv6共有攻击以及IPv6特有攻击进行拦截,通过应用层策略规则,可阻拦非法、反动的网页数据.原型系统的智能性确保整体网络的策略快速主动共享.经实验测试,该原型系统能完成上述功能,并且性能良好.     

基于Uppaal的移动IPv6协议的模型检测

采用形式化方法对移动IPv6协议系统建立了时间自动机模型,使用实时模型检测工具Uppaal对所建模型的关键性质：活性、移动性和平滑切换等进行了分析和检测. 检测结果证明,移动IPv6协议在切换时存在丢包现象. 通过分析丢包产生的原因,提出了移动IPv6实现平滑切换的理想时间约束条件,并在理想条件下重新验证了协议的性质. 结合模型在理想约束条件下的检测结果指出了提高移动IPv6移动性能的设想.     

基于IPv6的网络入侵检测技术研究

IPv6技术是下一代互联网的核心技术。通过分析现有网络安全系统的基本原理,针对IPv6网络的特点,提出在IPv6环境下采用基于协议分析和模式匹配技术相结合的入侵检测系统架构。采用该系统架构能够更快、更有效地处理信息数据帧和连接,同时能够判断一个通信的实际内容及具体含义,具有抗躲避性强、系统资源占用小、检测速度高、误报率低的特点。     

基于WOWA-FCM的复合攻击检测模型

为有效处理复合攻击检测中的诸多不确定性及复杂性因素,提出了基于WOWA-FCM的复合攻击检测模型.WOWA-FCM检测模型从攻击意图分析的角度,利用模糊认知图(Fuzzy Cognitive Maps, FCM)对初级入侵警报进行因果关联;并结合脆弱性知识与系统配置信息,利用WOWA(Weighted Ordered Weighted Averaging)算子融合关联数据.WOWA-FCM检测模型不仅能识别复合攻击各个阶段、构建完整的攻击视图,并且能动态地评判攻击进度和目标系统的安全状态.WOWA-FCM模型简化了传统的复合攻击检测过程,并具有较强的适应性.Mstream DDoS攻击检测实验证明了方法的有效性.     

Netfilter框架下IPv6防火墙的设计与实现

针对目前缺乏IPv6环境下的高性价比的防火墙的现状,分析了Linux下Netfilter框架的实现防火墙的基本原理,结合IPv6协议的实现讨论了在Linux环境下基于Netfilter框架的IPv6防火墙系统中包过滤、连线跟踪、状态检测、包处理等关键功能的原理和实现.在实验环境下测试该防火墙,当规则集数量小于600条时,其性能可保持线性增长,能满足中小型用户需求,并为进一步改进查找算法、提高处理性能,满足更高性能的要求打下基础.     

基于改进的动态克隆选择算法的入侵检测模型研究

针对目前入侵检测系统不能有效检测已知攻击的变种和未知攻击行为的缺陷,受免疫系统中动态克隆选择算法的启发,提出了一种基于改进的动态克隆选择算法的入侵检测模型.该模型可以适应连续改变的环境,动态地学习变化的“正常”模式以及预测新的“异常”模式.经实验证明,该模型在降低误报率的情况下,提高了检测率.     

一种基于遗传算法的误用检测模型自适应建立算法

传统入侵检测系统的攻击模型库需要专家手工建立,不利于系统的推广和应用.为了实现入侵检测系统中入侵特征提取和攻击规则生成的自动化,提出将遗传算法应用于入侵检测规则学习问题中.采用遗传进化操作启发式搜索网络特征数据空间,通过操作算子进行遗传运算,产生出具有高适应度的个体,从而自动归纳出某种入侵的共同属性.采用DARPA入侵检测评价计划数据库进行了仿真实验,该方法归纳总结出的攻击特征符合客观事实,与专家建立的攻击规则一致,并且较好地处理了噪音数据,具有鲁棒性.误用检测模型自适应建立算法能够在无专家参与的情况下自动建立攻击类型库,增强了入侵检测系统的可移植性.     

基于CORBA技术的分布式入侵检测系统研究

首先简述了网络攻击、入侵检测和CORBA等相关概念;然后针对传统入侵检测系统的不足,设计了一个基于CORBA技术的分布式入侵检测系统的模型,详细分析了该模型的系统结构、功能及特点。     

支持IPv4/IPv6的可重构路由器构件化建模技术研究

主要研究支持IPv4/IPv6的可重构路由器的构件化建模问题.首先提出一种通用灵活的构件建模方法,对IPv4/IPv6可重构路由器中转发组件进行了构件化建模,给出一套支持IPv4/IPv6的可重构路由器构件化模型,然后针对IPv6 NexthopApplicator进行了详细的构件化建模.最后,构造了一个支持IPv4/IPv6的可重构路由路由器原形系统,实验结果证明本文提出的构件化模型可以很好地满足路由器高度可重构的需求.文章的研究成果为可重构路由器构件化模型的建立提供很好的参考价值.     

SA算法在基于模型推理入侵检测中的应用

鉴于模型推理的入侵检测方法,需要在庞大的审计记录空间中搜索巨量的攻击脚本子集中的最优值,对于这一NP类完全问题,提出了应用模拟退火算法。并建立了攻击检测的优化问题模型,给出了攻击检测实验中的解空间、目标函数、新解的产生和接受准则,得到了一个合理的冷却进度表,并对实验中的模拟退火算法进行了并行化研究。实验证明,与传统的贪心算法相比,应用模拟退火算法提高了进化速度和全局寻优能力,较好地解决了搜索效率问题。     

IPv4与IPv6兼容网络编程模式

在剖析了IPv4和IPv6编程接口区别的基础上,分析了兼容IPv4和IPv6的网络应用程序的开发方法,通过实验验证了该方法的正确性,并介绍了Windows系统和Linux系统配置IPv6网络的方法．     

受免疫原理启发的Web攻击检测方法

随着Internet应用的不断深入,Web服务器成为了黑客的主要攻击目标。为克服传统误用入侵检测系统无法识别未知Web攻击和异常入侵检测系统误报率高等缺陷,受生物免疫系统启发,该文提出了一种基于免疫原理的Web攻击检测方法。给出了自体、非自体、抗原、抗体基因库、免疫细胞等的数学定义,描述了免疫学习算法。对比实验结果表明该方法较传统的基于神经网络和ID3算法的Web攻击检测技术能有效检测未知Web攻击,具有检测率和分类率高、误报率低和实时高效等特点,是检测Web攻击的一种有效新途径。     

移动VPN内部网络检测方法研究

针对当前移动虚拟专用网（virtual private network，VPN）研究所面临的主要问题，利用移动IPv6的移动检测特性，将VPN的移动检测与移动IP的移动检测相融合，提出了一种在IPv6环境下移动VPN内部网络检测的新方法，并对方案的安全性进行了具体的分析。经分析：该方案降低了内部网络检测的复杂度，具有很好的安全性，并具有良好的可扩展性。     

移动IPv6模型安全问题及解决方案研究

通过对移动IPv6移动原理和路由优化等过程的分析和研究,证明了移动IPv6基本模型存在着严重的安全漏洞.针对路由优化绑定更新过程的脆弱性,分析了由于移动IPv6基本模型漏洞而可能带来的两种后果严重的安全攻击模式,对绑定更新过程进行了改进性设计.该设计不依赖于任何新的安全框架,简单易行,能有效遏制互联网上针对移动通信的攻击行为,对下一代互联网的安全稳定性起着积极作用.     

基于CBR技术的入侵检测系统研究

目前,成熟的商用入侵检测系统都是基于特征或者规则的精确匹配,如果攻击模式过于特殊或者攻击者采用一些躲避检测的手段,就容易产生误报或漏报,从而降低入侵检测系统的准确性。针对当前入侵检测系统存在的缺陷,提出了一种基于案例推理技术(Case-Based Reasoning,CBR)的入侵检测系统模型,并在该模型基础上提出了基于Snort的预处理模型以避免推理产生的系统资源过度消耗问题;提出了基于分层结构的案例库维护模型以解决案例质量问题和访问效率问题;设计了一种基于变权值的CBR引擎搜索匹配算法以提高搜索精度。仿真实验证明了上述系统可以有效地解决躲避攻击问题,其检测正确率较传统系统有所改善。     

基于数据关系图的恶意假数据注入攻击检测

分析了假数据注入攻击的原理,并在4节点16测点系统上进行了攻击验证.最后提出了基于数据关系图的电力系统状态估计检测方法,并在4节点16测点系统上对假数据注入攻击进行了检测效果实验.实验结果表明,基于数据关系图的电力系统状态估计检测能够检测假数据注入攻击,并能辨识攻击注入点.     

基于自适应Kalman滤波的网联车系统数据攻击检测

针对车联网环境下车辆自适应巡航系统的数据攻击检测问题,提出一种基于自适应卡尔曼滤波的网联车巡航系统数据攻击检测方法。首先,结合网联车自适应巡航控制系统模型,建立随机数据攻击、隐蔽虚假数据攻击和拒绝服务（Denial of service,DoS）数据攻击的数学模型,考虑网联车巡航系统存在不可测的未知测量噪声场景,设计测量噪声自适应动态估计的巡航系统卡尔曼滤波算法;其次,针对常规卡方检测器对隐蔽虚假数据攻击检测的不足,提出基于自适应卡尔曼滤波的网联车巡航系统数据攻击检测方法;最后,以网联车变速巡航工况为测试场景,通过对比仿真实验,分别针对随机数据攻击、隐蔽虚假数据攻击和DoS数据攻击,验证了该方法的有效性。     

基于平滑K-时间窗统计模型的网络IDS建模

分析了入侵检测系统中削弱统计分析引擎检测能力的关键因素,在半衰期时间窗模型、多层时间窗模型的基础上,提出了一种新的平滑K-时间窗统计模型.对用户行为进行短期与长期的刻画、追踪.实验结果表明相对传统统计分析方法,采用该模型能够明显减少检测过程中的虚警率和漏警率,并且能够检测到袭击者通过渐变方式隐藏其行为的复杂攻击.     

基函数神经网络入侵检测系统的实现

提出一种新型的基函数神经网络用于入侵检测技术中,其中每个神经元的活跃函数各不相同,彼此正交,在更高层次上完成对生物神经系统的模拟,它即可以用于异常检测以检测出新的攻击,也可以用于误用检测以检测出已恬的攻击及其变种。根据所用基函数神经网络的基本结构和训练方法,在Windows环境下进行了基于网络的入侵检测实验,结果表明,运用基函数神经网络检测入侵,可提高入侵检测系统的准确检测率。