基于有向图分析的蠕虫早期检测方法

网络蠕虫给互联网带来了巨大的损失,实践证明,越早发现蠕虫的传播行为,就越有利于对蠕虫的遏制。首先分析了网络蠕虫早期传播的特征,然后借鉴GrIDS入侵检测系统的图分析思想,提出了一种利用有向图对网络蠕虫早期传播行为进行检测的蠕虫早期检测方法,并设计了有向图分析算法,对网络蠕虫与P2P应用、网络扫描以及突发访问等类网络蠕虫行为进行了准确识别。实验证明,可以准确检测网络蠕虫的早期传播行为,并定位蠕虫源主机。     

基于BP神经网络的应用层DDoS检测方法

CC（Challenge Collapsar）攻击通过模拟用户正常访问页面的行为，利用代理服务器或僵尸主机向服务器发送大量http请求，造成服务器资源耗尽，实现应用层DDoS。目前，对于CC攻击的检测已经取得了一些进展，但由于CC攻击模拟用户正常访问页面，与正常网页访问特征较为相似，导致攻击识别较为困难，且误报率较高。根据CC攻击的特点，结合包速率、URL信息熵、URL条件熵三种有效特征，提出一种基于误差逆向传播（Back Propagation，BP）神经网络的CC攻击检测算法。在真实网络环境中的实验结果证明，该模型对中、小型网站能准确地识别正常流量与CC攻击流量，对大型网站也有较为准确的检测结果。     

网络安全检测系统的设计与实现

网络安全问题是当今互联网应用的重要课题之一,强化网络应用安全一方面需要加强网络安全应用意识,另一方面通过技术手段部署网络安全检测系统,实时审计网络应用内容,实现对网络应用环境的监控和保护。本文设计和实现一款网络安全检测系统,该系统能够对用户身份进行管理、通过获取主机信息和硬件信息管理软件和硬件,建立网址黑名单屏蔽危险网站浏览,并对网络传输文件进行审计,确保网络应用安全。     

基于ARP协议的非法入网检测与阻止技术研究

介绍ARP协议、Windows系统中ARP实现,设计了一个非法入网检测及阻止系统.该系统通过ARP扫描,实时检测非法主机（未知主机）接入内部网络的企图,并通过发送冲突包和其它伪造数据包,阻止与内部网络的其它主机进行信息交换,从而有效地保护了内部网络的信息安全.     

基于电子商务的客户访问模式算法的分析研究

通过对电子商务中服务器上的日志文件等Web数据进行客户访问信息的分析，重点研究了客户分析系统的数据采集、数据处理以及跟踪客户在Web上的浏览行为并进行模式分析，并构建了用户访问模式的挖掘模型及算法的分析与实现。     

基于JPEG的网络视频监控系统

实现了基于JPEG压缩的视频监控系统,采用运动检测算法,根据设定的时间间隔把捕获的运动图像保存为jpg格式的图片,并且可以把保存的图片归档为一个avi文件,实现自动上传和内置Web服务器实现远端通过IE浏览器访问.     

应用共生矩阵特征的改进自适应JPEG隐写

针对传统图像隐写算法抵抗通用盲检测能力不足的问题,提出一种基于共生矩阵特征的自适应JPEG隐写算法。该算法在分析图像直方图特征和分块效应特征的基础上,引入能够反映共生矩阵特征的块间系数相关性设计了失真函数,并结合网格码（STC）完成秘密信息的嵌入。实验结果表明,面对三种通用隐写检测算法,算法较以往隐写算法具有更强的安全性和抗检测普适性。     

开放式网络攻击特征库的设计与实现

随着网络攻击的全球化，入侵检测系统要保护的不再是个别子网，而是整个的网络环境．由此，产生了对入侵检测开放式资源的迫切需求．本文的工作实现了一个开放式的网络攻击特征库系统，它包括了1200多条有效的攻击特征．本文设计并实现了用于攻击特征实时更新的攻击特征交换协议（ISEP），并描述了其中基于数字证书扣角色的访问控制技术．最后，通过Nachi蠕虫的实例说明了本特征库中攻击特征的提取方法．     

基于本地网的分布式蠕虫检测系统设计

为能有效检测本地网中的已知蠕虫和未知蠕虫,设计了一个分布式蠕虫检测系统.探讨了系统的部署策略和结构,并详细描述了系统检测算法的设计过程.检测算法分为可疑主机检测和感染主机检测两个阶段,前者通过监控主机的网络连接异常发现可疑主机,后者采用误用检测和关联分析判断可疑主机是否为感染主机.仿真实验结果表明了该系统的有效性.     

一种混合式僵尸主机检测算法的设计与实现

为了进一步提高检测的精确性,在研究僵尸主机的行为特点以及僵尸网络命令与控制信道的特性后,提出了一种基于终端系统行为和网络行为的混合式僵尸主机检测算法,并对现有的僵尸网络行为稳定性衡量方法进行了改进.在此基础上,设计实现了一个僵尸主机检测原型系统--BotScout.评估结果表明了算法的有效性.     

从Web日志中挖掘用户浏览偏爱路径

Web日志中包含了大量的用户浏览信息，如何有效地从其中挖掘出用户浏览兴趣模式是一个重要的研究课题．作者在分析目前用户浏览模式挖掘算法存在的问题的基础上，利用提出的支持一偏爱度的概念，设计了网站访问矩阵，并基于这个矩阵提出了用户浏览偏爱路径挖掘算法：先利用Web日志建立以引用网页URL为行、浏览网页URL为列、路径访问频度为元素值的网站访问矩阵．该矩阵为稀疏矩阵，将该矩阵用三元组法来进行表示．然后，通过对该矩阵进行支持一偏爱度计算得到偏爱子路径．最后进行合并生成浏览偏爱路径．实验表明该算法能准确地反映用户浏览兴趣，而且系统可扩展性较好．这可以应用于电子商务网站的站点优化和个性化服务等．     

构造面向Windows的轻型入侵检测与响应系统

针对许多基于Windows平台的中小型网站提出的安全需求,在分析相关数据截获与访问控制技术的基础上,提出了一种以改造的Snort规则库作为攻击特征库,利用SPI实现检测引擎,利用NDIS实现主动响应构件的Windows主机入侵检测与响应系统,它实现简单灵活,透明性和可维护性较好.     

一种新型高效的JPEG信息隐藏盲检测系统

设计并开发了一种基于DCT系数能量及能量差特征，三层前馈非线性神经网络来作为分类器的JPEG图像隐藏信息的盲检测系统。整个系统的开发环境是VC++6.0，采用了多线程XML技术以及SQL Server数据库，实现了JPEG图片的批量盲检测，检测信息存储以及报表生成。系统对三千多幅JPEG图像进行盲检测测试,对于多种隐写方法取得平均检测率90.085%,包括低嵌入率的JPEG含秘图像和平滑、锐化、缩小、剪切和再压缩处理后的JPEG净图。     

基于Web用户浏览行为的统计异常检测

提出一种基于Web用户访问行为的异常检测方案,用于检测应用层上的分布式拒绝服务攻击,并以具有非稳态流特性的大型活动网站为例,进行应用研究.根据Web页面的超文本链接特征和网络中各级Web代理对用户请求的响应作用,用隐半马尔可夫模型来描述服务器端观测到的正常Web用户的访问行为,并用与大多数正常用户访问行为特征的偏离作为一个流的异常程度的测量.给出了模型的参数化方法,推导了模型参数估计与异常检测算法,讨论了实际网络环境下异常检测系统的实现方法.最后用实际数据验证了模型和检测算法的有效性.仿真结果表明,该模型     

基于Hook的程序异常行为检测系统设计与实现

从程序访问的资源入手,从中重点选取了注册表、文件以及创建其它进程这些资源的操作为主要监控点,实时检测进程操作资源的行为,并进行关联分析,给出了一种基于系统服务Hook的程序异常行为检测系统.重点介绍了Hook相关技术和该系统的设计结构与实现要点.最后,通过实验验证了该系统的可行性和有效性.     

基于蜂群算法的网络入侵检测模型优化

基于网络入侵检测的蜂群算法优化模式是一个用于网络入侵检测开发的专用编程接口．基于该编程接口,在Linux平台上设计和实现了一个复杂的入侵检测系统．基于网络入侵检测的蜂群算法与差分进化算法（DE）混合,采取数据信息处理模式,可以按照双群结构的要求,进行数据信息独立分析,从而能够产生数据信息交换功能．通过分布式技术对蜂群进行空间分析,通过空间信息搜索工具,保证学习策略功能能够完成．从仿真实验看提高种群解的质量．设计了一种简单入侵检测模式的描述语言,对入侵检测的特征数据库进行优化,对网络异常行为进行入侵检测．     

基于机器视觉的电子元器件检测系统设计

为了提高宇航、军工电子产品检测的效率和准确性,设计基于机器视觉的电子元器件检测系统,通过研究有效的定位与检测算法,满足不同规格的印制电路板（Printed Circuit Board,PCB）元器件焊装正误检测。采用改进的Hough圆检测算法识别定位点,结合电装工艺文件定位元器件所在位置,绘制感兴趣区域（Region of Interest,ROI）。最后采用加速鲁棒特征（Speeded-Up Robust Features,SURF）算法进行特征提取,利用基于最近邻与次近邻比值的方法完成匹配,元器件特征点匹配准确率达到85%。并对元器件在光照和仿射变换下的匹配效果进行测试,结果表明,SURF算法在不同实验条件下,包括位移、角度以及光照变换等,匹配准确率达到90%。系统实现了宇航、军工PCB板上元器件安装正确性检测,具有较好的精确性和稳定性。     

基于隐半马尔可夫模型的SWIM应用层DDoS攻击的检测方法

针对广域信息管理（SWIM）系统受到应用层分布式拒绝服务（DDoS）攻击的问题，提出了一种基于隐半马尔可夫模型（HSMM）的SWIM应用层DDoS攻击的检测方法。首先采用改进后的前向后向算法，利用HSMM建立动态异常检测模型动态地追踪正常SWIM用户的浏览行为；然后通过学习和预测正常SWIM用户行为得出正常检测区间；最后选取访问包的大小和请求时间间隔为特征进行建模，并训练模型进行异常检测。实验结果表明，所提方法在攻击1和攻击2情况下检测率分别为99.95%和91.89%，与快速前向后向算法构建的HSMM相比，检测率提升了0.9%。测试结果表明所提方法可以有效地检测SWIM系统应用层DDoS攻击。     

Linux下主机入侵检测系统的研究

主机入侵检测系统主要是根据主机的进程、目录、文件、内存、ICP／IP端口以及到达主机的网络数据包等系统资源的变化情况，实时地判断主机是否被黑客入侵，并阻止黑客的进一步活动或通知防火墙阻断该黑客的源地址。本文主要介绍了当前较为流行的操作系统Linux下主机入侵检测系统的研究设计情况，它对设计其他操作系统平台机如Unix、Windows2000下主机入侵检测系统及下一代安全防范系统都有一定的借鉴作用。     

基于SVM的MANET路由层入侵检测*

针对MANET（移动自组织网络）路由层的攻击,通过对MANET路由层AODV（Ad hoc on-demand distance vector）路由协议交互行为的分析,提取了9个路由交互过程特征,将入侵检测问题转换为对正常行为和异常行为分类识别问题,采用SVM（支持向量机）算法,设计了一种分布式异常检测系统。仿真结果表明,使用该检测系统的检测率达到97%以上,从而验证了该系统的可行性,同时也验证了所提取的路由交互行为特征的有效性。