一种基于异常流量的蠕虫入侵检测

该文对入侵检测常用检测方法做了简单概述,根据蠕虫与流量的关系,分析了基于异常流量检测蠕虫入侵的可行性,提出了一种基于异常流量的蠕虫检测模型,最后对将来需要进一步研究的工作提出了一些建议和设想。     

一种分级入侵预警方案

本文提出了一种分级入侵预警方案。文章说明了分级入侵预警系统的整体框架,分析了各组成部分的功能和实现方案。该预警方案能够利用网络安全漏洞检测系统的检测结果对依据攻击关系图预测的下一步攻击进行分析,实现分级预警。     

基于贪婪算法的蠕虫综合容忍预警方法

针对网络蠕虫准确预警的困难性,综合蠕虫传播的特点,提出一种基于贪婪算法的容忍预警方法,对一些危害较小的可疑蠕虫采取一定的容忍机制,设计一个特定报文的数据段结构,在服务器端通过对这类报文的统计分析,计算出是否要启动预警的阈值。通过实验仿真和理论分析,表明此方案具有一定的可行性。     

一种基于传播特征的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

蠕虫预警及非线性传播模型优化

目前已有一些蠕虫检测系统利用蠕虫传播特性进行检测,误报率高,不能对大范围网络进行检测。为此,首先对蠕虫传播模型进行了分析和优化,提出了新蠕虫分布式传播模型。针对该模型提出了分布式蠕虫检测技术,亦即采用基于规则的检测方法监控网络蠕虫,控制台管理和协调多个检测端的工作。实验结果表明,该方法能够很好地预警蠕虫的传播行为并进行监控和报警,具有高检测率和低误报率。     

基于OSSIM关联分析技术的蠕虫攻击检测

由于近些年蠕虫攻击日益泛滥和业界相应安全检测产品的功能单一化,导致了安全事件频繁虚警和漏警。鉴于目前这种困境,该文在分别研究了著名开源项目OSSIM和蠕虫攻击技术的基础上,提出了基于序列化启发式关联技术的蠕虫检测方法。该文中提出的这种关联方法采用XML文档描述蠕虫入侵模式,这就使该关联方法比其他方法更加灵活、可信。最后,该文中不仅给出了蠕虫检测的通用关联规则,还搭建了以OSSIM为母体的安全管理平台进行测试。从测试过程和结果显示了该方法的灵活可靠性。     

蠕虫预警技术研究与进展

当前网络蠕虫对Internet构成重要威胁,如何防范蠕虫已经成为网络安全的重要课题。由于蠕虫传播速度快、规模大,因此必须在蠕虫传播初期就能发现并对其采取相应措施进行隔离。全面分析了蠕虫预警方面的最新研究进展,包括路由器级的蠕虫检测、基于行为的蠕虫检测、蠕虫特征的自动提取,并对蠕虫的特点进行了总结,最后对未来蠕虫检测的可能方向进行了展望。     

一种基于攻击图的入侵响应方法

针对当前入侵响应工作中存在的不能充分考虑系统的收益,以及不能充分考虑攻击者策略变化因素等问题,提出了一种基于攻击图的入侵响应IRAG(intrusion response based on attack graph)模型.该模型较好地解决了攻击意图及策略变化的问题,并全面考虑了系统、攻击者的收益等因素.实验结果表明,IRAG模型有效地提高了响应的准确性和效果.     

基于传播特性的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

基于入侵检测模型的蠕虫病毒诱捕系统的研究

该文介绍了目前入侵检测系统的研究状况并讨论了网络蠕虫病毒的传播过程,结合网络诱捕系统,对如何诱捕网络蠕虫病毒进行了研究,给出了一个自动诱捕网络蠕虫病毒的模型和实现方法。     

一种基于本地网络的蠕虫协同检测方法

目前已有一些全球化的网络蠕虫监测方法,但这些方法并不能很好地适用于局域网.为此,提出一种使用本地网协同检测蠕虫的方法CWDMLN(coordinated worm detection method based on local nets).CWDMLN注重分析扫描蠕虫在本地网的行为,针对不同的行为特性使用不同的处理方法,如蜜罐诱捕.通过协同这些方法给出预警信息,以揭示蠕虫在本地网络中的活动情况.预警信息的级别反映报警信息可信度的高低.实验结果表明,该方法可以准确、快速地检测出入侵本地网络的扫描蠕虫,其抽取出的蠕虫行为模式可以为协同防御提供未知蠕虫特征.通过规模扩展,能够实施全球网络的蠕虫监控.     

基于生物记忆原理的入侵预警频度异常分析方法

通过分析生物记忆的基本原理,建立了基于生物记忆原理的入侵预警频度异常分析模型。在该模型中,应用短时记忆容量限制理论和遗忘理论来确保信息更合理地新旧更替,从而可节省入侵检测系统大量的存储空间;应用感应阈技术灵活地调整频度异常灵敏度,使入侵分析更有敏感性和针对性,使入侵检测系统摆脱大量无用的分析消耗,而把注意力集中到更有可能是攻击行为的数据中去。实践检验发现该分析方法能有效的对异常访问行为产生警报,变化形式灵活,对于短时间的异常访问行为可给出比较准确的警报。     

基于彩色编码的多态蠕虫特征自动提取方法

快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关重要,但是目前的特征产生方法在噪音干扰下无法产生正确的蠕虫特征.提出基于彩色编码的特征自动提取算法CCSF(color coding signature finding)来解决有噪音干扰情况下的多态蠕虫特征提取问题.CCSF算法将可疑池中的n条序列分成m组,然后运用彩色编码对每组序列进行特征提取.通过对每组提取出来的特征集合进行过滤筛选,最终产生正确的蠕虫特征.采用多类蠕虫对CCSF算法进行测试,并与其他蠕虫特征提取方法进行比较,结果表明,CCSF算法能够在有噪音干扰的条件下准确地提取出多态蠕虫的特征,该特征不包含碎片,易于应用到IDS(intrusion detection system)中对多态蠕虫进行检测.     

基于多检测Agent的大规模网络入侵检测体系

传统的单机入侵检测系统已不能保障大规模网络的安全.为了提高大规模网络的信息安全防护能力、隐患发现能力、应急反应能力以及信息对抗能力,本文提出了一种多入侵检测系统协作检测与预警体系,有效地解决了大规模网络的上述问题,为建立大规模网络的信息安全保障体系提供了有力的支撑.     

基于时间窗口的蠕虫事件量化技术研究

为了用数值来表示网络中蠕虫事件的破坏程度,分析了蠕虫事件的特点,提出蠕虫事件的量化框架,框架采用基于时间窗口的方法对蠕虫事件进行量化。实验结果表明本文方法的有效性和可行性。     

一种基于进程流量行为的蠕虫检测系统

随着蠕虫传播速度的不断加快,所造成的威胁也越来越大。为快速检测蠕虫,本文描述了和蠕虫相关的三种重要的进程流量行为:类蠕虫流量中源端口总数、类蠕虫进程流量中源端口的变化频率以及进程流量中类蠕虫流量占总进程流量的总数。基于这三种行为,本文提出了一种基于进程流量行为的蠕虫检测系统,同时介绍了该系统的相关定义、框架设计和关键实现。最后,采用真实程序进行了实验,结果表明该系统可以快速准确地检测蠕虫,并具有较小的误报率。     

基于拓扑结构的蠕虫防御策略仿真分析

提出了基于拓扑结构控制的蠕虫防御策略,并通过构建仿真模型对其进行了仿真验证分析.首先对蠕虫传播所依赖的拓扑结构的主要形式进行了分析,提出了相应的生成算法,并对算法的有效性进行了验证;随后提出了三种拓扑结构控制策略仿真模型;最后分别对这三种策略在不同拓扑结构下的蠕虫传播控制性能进行了仿真实验.实验结果证明:通过适当地控制拓扑结构,可以有效地遏制拓扑相关蠕虫传播.