基于数据挖掘的异常入侵检测系统研究

网络上不断出现新的攻击方法，要求入侵检测系统具有能检测新的未知攻击的异常检测能力。本文提出了一个基于数据挖掘的异常入侵检测系统ADESDM。ADESDM系统提出了同时从网络数据的协议特征，端口号和应用层数据中挖掘可疑行为的方法。在挖掘过程中，不但采用了基于强规则的关联规则挖掘方法，还针对强规则挖掘方法的缺点，提出了基于弱规则的关联规则挖掘方法，来检测那些异常操作少，分布时间长等不易检测的的网络攻击。同时利用网络通信的时间、方向、端口号、主机地址等属性之间的影响，建立以各属性为节点的贝叶斯网络作为异常判别器，进一步判别关联规则挖掘中发现的可疑行为，提高了系统检测的准确率。     

一种软件系统运行安全保护方法

通过分析软件系统自身安全的各种保护方案的优缺点，提出了一种软件系统的运行安全保护方法。描述了该方法的通信协议和具体实现技术，并给出了一个在实际系统中的应用实例和性能测试结果。     

一个基于策略机制的文件免疫模型FIX及其实现

本文提出一个基于策略机制的文件免疫模型FIX。该模型融合文件完整性检查、系统恢复等技术，根据用户制定的完整性策略，检查文件系统中违反完整性策略的行为，并对文件或目录进行自动恢复，以维持文件系统的完整性。基于该模型，采用一个专用服务器保护多个主机的文件系统，构成了一个基于策略的分布式实时文件免疫系统。本文介绍该模型的形式化描述、体系结构以及实现方法，并分析了系统的安全性和性能。     

基于策略机制的分布式文件保护系统PFICS

根据基于策略机制的文件保护模型，实现了一个文件保护系统PFICS。该系统能够根据用户制定的文件保护策略检查文件系统中违反策略的行为，采取相应的保护措施进行文件的实时恢复，进而维护文件系统的完整性。PFICS采用一个服务器保护多个主机的文件系统，构成了一个分布式的实时文件保护系统。该文介绍了系统的体系结构和实现方法，并对系统性能进行了分析。     

高速网络下的DDoS检测

分布式拒绝服务（DDos）攻击是长期困扰网络安全领域的问题之一。特别是高速网络下，检测系统需要处理大量的数据，其检测策略和系统处理能力直接影响到DDoS检测的准确率和响应速度。该文提出了在高速网络下的DDoS检测系统DDES（DDoS Detection System）。DDES在协议分析的基础上，对处于危险状态的连接进行统计分析；它采用分布式的结构，多个探测子节点协同分析处理以提高处理性能；同时配合网络边缘设备对攻击源实施阻断。     

开放式系统的攻击取证和系统恢复机制Eudemon的设计及实现

该文提出了一种开放式系统的攻击取证和系统恢复机制Eudemon。Eudemon综合了攻击检测、文件保护和系统恢复等安全技术,采取分布式结构,通过一台远程记录服务器保护多个主机系统。该保护机制能够检测、记录恶意的攻击行为,对攻击行为进行分析取证;在系统遭遇到攻击时,利用保存的系统信息和应用数据,能及时恢复系统和重要数据。该文描述了Eudemon机制的结构设计、实现技术以及系统安全措施。