一种保护Web服务器的入侵检测模型研究

本文根据Web服务器的特点,将检测Web服务器漏洞攻击的基于规范的入侵检测技术和检测脚本类型攻击的URL过滤技术相结合,设计了一种保护Web服务器的入侵检测模型WIDS,并对关键模块的实现加以说明,最后通过实例分析了该模型的工作过程.     

基于WEB资源监视的入侵检测系统设计与实现

入侵检测是网络安全的一个新方向,该文在研究了Web服务器安全问题和对攻击WWW服务器的手段分析的基础上,提出了基于Web资源监视和网络监视相结合的网络入侵检测系统的模型,并对实现的原型系统进行了详细的论述。     

基于蜜罐的数字取证系统的研究与实现

数字取证已成为信息安全和司法领域的研究热点，文中在深入分析各种Web攻击行为的基础上，利用蜜罐搭建了当前流行的Web服务器系统，综合利用基于主机和网络的入侵检测技术，开发出一套高效实用可控的Web数字取证系统。该系统通过多个分布式取证代理不断监视和分析网络中对Web服务器的访问情况，在构建高度可控的Web服务器基础上，确定网络入侵者的行为是否已构成犯罪，然后提取和分析入侵犯罪信息，实现证据信息的完整性保护，同时通过对证据进行融合．生成入侵犯罪证据。     

用ModSecurity增强Web应用安全

本文着重介绍当前Web应用中常见的几种入侵攻击形式,以及在Apache服务器上实现Web应用入侵检测和防御,从而达到网络级防火墙无法实现Web应用级安全防护,减轻IDS压力,增强Web应用的安全防护能力。     

Web IDS中资源监视的研究与实现

文章通过分析现有的WebIDS及在防护Web攻击上存在的问题后,提出一种Web入侵检测模型。最后对该模型的核心部分-资源监视代理进行了研究和实现。     

一种Web服务器安全机制的实现方法

针对Web网站点的入侵事件不断发生,现有的防火墙、IDS等设备都不能有效防止入侵者篡改网站中的网页、盗取重要信息等攻击,提出了Web服务器安全较完备机制,从核心层保证Web站点中的网页不会被黑客篡改,恶意代码在系统中不会肆意发作。该机制重构了操作系统核心层权限访问控制模型,对操作系统文件、注册表、进程和网络等资源采用白名单规则,并采用多机制相结合的方式提高Web服务器的抗攻击能力。     

决策树技术在基于Web入侵检测技术中的应用研究

在分析了Web服务器的安全性问题后,根据入侵检测技术的原理,提出应用基于误用的检测技术检测针对Web服务器的攻击,针对基于误用检测技术的不足,简述了决策树技术的原理,提出了应用决策树技术改进原来的规则分类,并通过实例验证了其可行性。     

基于信息熵的多Agent DDoS攻击检测

分布式拒绝服务攻击(DDOS)在短时间内产生大量的数据包,可以迅速耗尽网络或者主机的资源,对Internet的稳定性造成了巨大威胁.文中通过分析DDoS攻击的原理及攻击者的行为方式,划分攻击阶段,提取攻击特征,据此建立多Agent DDoS检测模型并分配各Agent的任务.模型由熵检测算法捕捉网络数据包的异常,再由DDoS的Ontology推断出攻击的具体情况.根据在DARPA 2000入侵检测数据集上的实验结果,模型对DDoS攻击的准备阶段和实施阶段有较高的识别率.     

Web网页和数据库的连接

一、简介 Web服务器和数据库服务器的连接有两种类型。一类是Web服务器和数据库服务器位于同一台主机上(这种情况也包括Web服务器和一些桌面型数据库比如ACCESS等的连接),此时Web服务器和数据库服务器直接打交道。另一类是Web服务器和数据库服务器分别位于不同的主机,但这时在拥有Web服务器的主机上必须安装相关数据库服务器的前端工作软件,Web服务器将通过它和数据库服务器打交道。当然,一个Web服务器可以同时和不同主机上的几个数据库服务器打交道。     

基于Mailbox移动代理的分布式入侵检测系统模型

文章提出了一种基于Mailbox移动代理的新型分布式入侵检测系统模型,该系统能及时有效地防御分布式入侵攻击和内部攻击对目标主机的破坏,具有实时性强、误报率低等特点。     

A model-based aspect-oriented framework for building intrusion-aware software systems

Security is a critical issue for software systems, especially for those systems which are connected to networks and the Internet, since most of them suffer from various malicious attacks. Intrusion detection is an approach to protect software against such attacks. However, security vulnerabilities that are exploited by intruders cut across multiple modules in software systems and are difficult to address and monitor. These kinds of concerns, called cross-cutting concerns, can be handled by aspect-oriented software development (AOSD) for better modularization. A number of works have utilized AOSD to address security issues of software systems, but none of them has employed AOSD for intrusion detection. In this paper, we propose a model-based aspect-oriented framework for building intrusion-aware software systems. We model attack scenarios and intrusion detection aspects using an aspect-oriented Unified Modeling Language (UML) profile. Based on the UML model, the intrusion detection aspects are implemented and woven into the target system. The resulting target system has the ability to detect the intrusions automatically. We present an experimental evaluation by applying this framework for some of the most common attacks included in the Web Application Security Consortium (WASC) web security threat classification. The experimental results demonstrate that the framework is effective in specifying and implementing intrusion detection and can be applied for a wide range of attacks.     

基于规范的移动Ad Hoc网络分布式入侵检测

移动ad hoc网络是移动节点自组织形成的网络,由于其动态拓扑、无线传输的特点,容易遭受各种网络攻击。传统的网络安全措施,如防火墙、加密、认证等技术,在移动ad hoc网络中难以应用,因此提出一种基于有限状态机分布式合作的入侵检测算法。首先,将整个网络分为子区域,每一区域随机选出簇头担任监视节点,负责本区域的入侵检测。其次,按照DSR路由协议构筑节点正常行为和入侵行为的有限状态机,监视节点收集其邻居节点的行为信息,利用有限状态机分析节点的行为,发现入侵者。本算法不需要事先进行数据训练并能够实时检测入侵行为。最后,通过模拟实验证实了算法的有效性。     

Web服务中基于流量监控的DDoS攻击防范机制

提出一种基于流量监控的针对Web服务的DDoS攻击防范机制。使用Linux内核的安全选项、Linux虚拟服务器、iptables防火墙以及基于类的排队等技术搭建防范DDoS攻击的Web服务器系统环境,设计、实现了流量监控器和分析工具来检测可能发生的DDoS攻击,并降低其危害。实际测试表明,该机制能有效检测和防范常见的针对Web服务的DDoS攻击。     

基于R—PEM的Web数据库安全机制研究

针对目前关系型Web数据库出现的多重系统安全问题,在可信机制的整体框架基础之上,设计一种基于关系安全策略机制（R—PEM）数据库结构体系模型。利用可信机制与主机标识协议体系的安全验证接口,保证Web数据库安全有效地运行。实验分析可知,此安全机制不仅能够抵抗多种暴力网络入侵与攻击行为,例如计算机病毒入侵、DoS攻击等,同时也能在复杂的移动网络条件下,生成Web数据库系统防护安全策略,形成高效的防御体系。     

基于虚拟机的运行时入侵检测技术研究

入侵检测技术通常分为误用检测和异常检测两类,误用检测根据攻击模式库检测已知的攻击行为,但却难以防范未知的攻击行为;异常检测技术虽然可以预测偏离正常值阈区间的潜在攻击行为,但却存在较高的误报现象。在虚拟机监视器中对虚拟机操作系统的运行行为进行带外监控,避免了操作系统内监控模块被病毒感染的难题;通过监视虚拟机的运行时行为,对之作组合序列的合法性分析,扩展了误用检测防范长时间段攻击行为的能力,识别通过合法系统调用进行的恶意攻击。测试数据表明,该技术能够较好地检测出复杂组合攻击行为。     

一种基于并发命题投影时序逻辑模型检测的入侵检测方法

基于投影时序逻辑模型检测的入侵检测方法具有描述网络入侵者分段攻击的能力,然而对并发攻击仍无能为力,因为该逻辑无法直接描述并发。针对此问题,在该逻辑的基础上定义了一种新的并发算子,并给出基于并发投影时序逻辑模型检测的入侵检测方法。对复杂攻击实例的检测表明,新方法可有效提高对并发攻击的检测能力。     

Flow-Based Web Application Brute-Force Attack and Compromise Detection

In the early days of network and service management, researchers paid much attention to the design of management frameworks and protocols. Since then the focus of research has shifted from the development of management technologies towards the analysis of management data. From the five FCAPS areas, security of networks and services has become a key challenge. For example, brute-force attacks against Web applications, and compromises resulting thereof, are widespread. Talks with several Top-10 Web hosting companies in the Netherlands reflect that detection of these attacks is often done based on log file analysis on servers, or by deploying host-based intrusion detection systems (IDSs) and firewalls. However, such host-based solutions have several problems. In this paper we therefore investigate the feasibility of a network-based monitoring approach, which detects brute-force attacks against and compromises of Web applications, even in encrypted environments. Our approach is based on per-connection histograms of packet payload sizes in flow data that are exported using IPFIX. We validate our approach using datasets collected in the production network of a large Web hoster in the Netherlands.     

基于本体的Web服务攻击检测技术研究

Web服务在给基于异构平台的应用集成带来极大便利的同时,各核心组件也面临着被恶意攻击的威胁。目前,主要依靠入侵检测系统(IDS)来检测这些攻击,但是分布在网络中的IDS往往是由不同的厂商或组织开发的,没有用于交换知识的可被共同理解的词汇集,难以交互和协作,工作效率低且很难抵御多层次、分布式攻击。提出了一种基于本体和Web本体标准语言（OWL）的Web服务攻击分类和描述方法,通过构建Web服务攻击本体以提供不同IDS共同理解的词汇集。在此基础上,设计了一种基于Web服务攻击本体库的入侵检测系统(O-IDS),能有效弥补现有IDS难以交互的不足,提高对多层次、分布式攻击的检测能力。     

一种入侵检测取证系统模型的设计

随着网络技术的发展,黑客攻击现象越来越多。计算机取证技术是当今一种热门的动态安全技术,它采用主动出击的方法,搜集入侵证据,查出黑客的来源,有效地防范黑客入侵。文中提出了一种入侵检测取证系统模型,它考虑把入侵检测和计算机取证技术结合在一起。在遭受入侵时它能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测的不足,有效地阻止了黑客攻击。文章详细介绍了入侵检测取证的过程和方法,并讨论了系统存在的问题。     

基于PKI的网络边界安全监控方法

针对网络边界安全防御的需求和特点,提出一种基于PKI技术的网络边界安全监控方法。该方法结合基于PKI的身份认证机制、入侵检测技术与VPN技术,通过对网络流量和系统日志的关联分析,能够在实时发现入侵行为的同时,准确定位入侵来源并实时阻断攻击,相比通用的特征检测和异常检测方法具有更强的准确性和可用性。