面向异构网络环境的蠕虫传播模型Enhanced-AAWP

合理地建立蠕虫传播模型将有助于更准确地分析蠕虫在网络中的传播过程。首先通过对分层的异构网络环境进行抽象,在感染时间将影响到蠕虫传播速度的前提下使用时间离散的确定性建模分析方法,推导出面向异构网络环境的蠕虫传播模型Enhanced-AAWP。进而基于Enhanced-AAWP模型分别对本地优先扫描蠕虫和随机扫描蠕虫进行深入分析。模拟结果表明,NAT子网的数量、脆弱性主机在NAT子网内的密度以及本地优先扫描概率等因素都将对蠕虫在异构网络环境中的传播过程产生重要的影响。     

“In-VM”模型的隐藏代码检测模型

Security tools are rapidly developed as network security threat is becoming more and more serious. To overcome the fundamental limitation of traditional host based anti malware system which is likely to be deceived and attacked by malicious codes, VMM based anti malware systems have recently become a hot research field. In this article, the existing malware hiding technique is analyzed, and a detecting model for hidden process based on “In VM” idea is also proposed. Based on this detecting model, a hidden process detection technology which is based on HOOK SwapContext on the VMM platform is also implemented successfully. This technology can guarantee the detecting method not to be attacked by malwares and also resist all the current process hiding technologies. In order to detect the malwares which use remote injection method to hide themselves, a method by hijacking sysenter instruction is also proposed. Experiments show that the proposed methods guarantee the isolation of virtual machines, can detect all malware samples, and just bring little performance loss.     

一种基于进程流量行为的蠕虫检测系统

随着蠕虫传播速度的不断加快,所造成的威胁也越来越大。为快速检测蠕虫,本文描述了和蠕虫相关的三种重要的进程流量行为:类蠕虫流量中源端口总数、类蠕虫进程流量中源端口的变化频率以及进程流量中类蠕虫流量占总进程流量的总数。基于这三种行为,本文提出了一种基于进程流量行为的蠕虫检测系统,同时介绍了该系统的相关定义、框架设计和关键实现。最后,采用真实程序进行了实验,结果表明该系统可以快速准确地检测蠕虫,并具有较小的误报率。     

HPBR：用于蠕虫检测的主机报文行为评级模型

在定义用户网络访问行为习惯模型的基础上,提出了一种主机数据包行为的评价模型--HPBR(hostpacket behavior ranking),用于对主机的网络通信数据包行为进行综合评级.介绍了HPBR中层次式累计评级过程以及性能分析和优化过程,最后,给出了HPBR模型的应用.     

剖析DDoS攻击对抗技术

由于目前Internet的体系结构、认证机制的缺乏等多方面原因使得DDoS攻击很容易发生,而且僵尸网络的快速发展也为DDoS攻击提供了强大的工具。DDoS(Distributed Denial of Service)攻击一直是网络安全的主要威胁之一,如何对抗DDoS攻击成为网络安全研究的热点之一。在对DDoS攻击模型、产生原因进行分析的基础上,从攻击预防、攻击检测、攻击响应和攻击源追踪四个方面对现有的DDoS攻击对抗技术进行综述,并提出了值得研究的方向建议。     

预警信息发布算法的研究与实现

提出了网络安全预警系统中量大一频率高型预警信息的发布算法，该算法将直接由预警代理发布预警信息的方式转变为预警代理首先发布下载元数据，由本地扫描系统根据元数据选择下载节点的分块P2P的下载方式。采用该算法可以降低预警信息发布时预警代理的负载，缩短预警信息发布的时间。     

网络安全预警模型的研究

网络攻击预警技术的研究与实践是一个前沿性的课题.在给出网络安全预警系统总体结构与信息流程的基础上,提出了网络安全预警模型,该模型综合考虑网络攻击危害度、区域安全防护能力的差异以及其他威胁评测因素,较好地解决了网络安全预警技术中有关网络威胁量化的问题,做到了由局部发生的网络攻击预测其对全局的影响,并对其做出及时的预警,提高了网络安全预警能力;最后,给出了网络安全预警系统的设计与实现.研究成果已经在"十五""八六三"基金项目(2003AA142010)与某单位得到了应用,应用效果良好.     

分层基于地理多样性的低延迟匿名通信架构

首先提出基于地理多样性和基于RTT的路由节点选择算法;然后,提出一种分层的基于地理多样性的低延迟匿名通信架构,并对此架构的安全性进行分析,提出了安全性评估算法;最后给出了模拟实验与结果分析.理论分析与模拟实验结果表明,采用该机制的HLLACF架构可以在降低通信延迟的基础上,有效地防范基于AS级别的被动攻击和各种常见攻击,并且具有很好的扩展性.     

统一入侵检测报警信息格式提案及其实现*

为增强IDS之间信息共享和交换的能力,加强IDS之间的交流和协作,给出了统一入侵报警信息格式的详细提案,并提出了用XML Schema对报警信息建模的方案,最后用XML描述语言实现了该提案并通过了XML Schema的有效性验证。所提出的统一入侵检测报警信息格式提案给不同IDS之间和IDS不同组件之间提供了信息共享和信息交换的平台,对于增强IDS之间以及IDS和其他安全设备的协作能力具有十分重要的意义。