针对协议组合问题的Athena方法扩展

针对安全协议形式化分析领域的五个公开问题之一的协议的组合性问题,选用并扩展了Athena分析方法,以求对组合协议进行自动分析.通过扩展了串、丛的概念以及逻辑和状态表示法,以描述多个协议的运行.考虑到从协议对主协议的影响,引入了串空间中理想的概念,给出了其自动生成算法,并扩展了后继状态函数.最后运用扩展后的Athena方法对Neuman Stubblebine协议进行了分析,发现协议I部分对协议I部分存在有攻击,相应给出了攻击路径.     

OSPF路由协议的脆弱性分析

首先介绍了OSPF(OpenShortestPathFirst开放最短路径优先)路由协议及其数据包的头部结构,接下来介绍了与之相关的链路年龄、链路序号、链路校验等三个参数以及OSPF协议存在的脆弱性,分析了针对OSPF的三种外部攻击方法(即链路序号加一攻击,最大链路年龄攻击和最大链路序号攻击)和两类内部攻击方法.针对如何检测某一种特殊攻击的问题,介绍了公钥验证的思路.最后,提出了利用入侵检测系统来识别各种攻击的办法.     

一种应用层分布式拒绝服务攻击快速检测方法

提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击行为的差异,构建了检测自动机模型。该方法将应用层协议用户行为抽象成一系列协议关键字的交互,主要根据应用层协议关键字的统计特征生成用户行为统计特征向量,构造基于逼近理想点排序算法的模型分类器,同时对模型进行训练得到最优分类距离阈值,从而对DDoS攻击行为作出判定。高速网络环境下的测试结果表明了此方法的有效性。     

校园网ARP欺骗攻击分析及其防范

本文介绍了ARP协议及其欺骗攻击的原理,列出了校园网ARP攻击的危害.通过对原理的分析及参阅相关的文献资料,总结归纳了较全面的针对ARP欺骗攻击检测方法和防范措施.     

基于NPlab的H.530协议分析

针对H.530协议本身的安全漏洞,利用网络通信设计工具NPlab对H.530协议进行了来自于四种不同模型检测器的分析,并对OFMC检测模型所分析出的重放攻击的攻击路径和攻击过程进行分析,发现了H.530协议是不安全的,它有可能遭受来自攻击者的重放攻击.H.530协议是描述H.323协议多媒体移动环境安全规程的协议,本文提出通过增加有效的身份标识对H.530协议进行改进,从而更好地为H.323协议的多媒体移动环境提供安全保障.     

基于相量测量的状态估计攻击检测方法

针对电力系统中基于相量测量技术状态估计的虚假数据注入攻击难以被成功检测的问题,本文提出一种面向电力系统线性状态估计的攻击智能检测方法.采用自编码器对电网测量数据进行多次特征提取,逐渐降低特征维度;提取信息通过softmax层进行有监督学习,从而得到基于堆叠自编码器的攻击检测算法.针对自编码器的过度拟合问题,进一步提出基于降噪自编码的攻击检测方法.采用IEEE-118节点测试系统对所提出的方法进行仿真验证,结果表明所提出的攻击检测方法计算精度和效率高于其他方法.     

基于状态检测的TCP应用服务端安全测试

针对由API函数实现的TCP协议不具安全性，以及常规安全检测仅对连接初始状态进行安全测试的局限性，提出基于连接的全程状态监控的安全测试方法：1）提出了基于全程的连接监控和检测的方法，以改善系统的安全性；2）运用有限状态机的理论和方法对TCP协议进行分析，并结合状态转移序列的安全路径和临界循环路径以及时钟检测技术，提出了TCP服务端的安全测试模型；3）给出形式化描述和验证机制，在形式化定义的基础上，分析了检测方法的正确性；4）设计了TCP服务端的安全状态检测算法，进行了相应的试验验证。基于全程状态检测的安全测试对于中间过程中的安全攻击有很好的检测效果。     

基于数据关系图的恶意假数据注入攻击检测

分析了假数据注入攻击的原理,并在4节点16测点系统上进行了攻击验证.最后提出了基于数据关系图的电力系统状态估计检测方法,并在4节点16测点系统上对假数据注入攻击进行了检测效果实验.实验结果表明,基于数据关系图的电力系统状态估计检测能够检测假数据注入攻击,并能辨识攻击注入点.     

一种分析和改进安全协议的新方法

分析安全协议的执行过程,给出驱动模块(Driving Module,DM)的定义,利用串空间模型构建常规DM和攻击DM,由此给出一种基于驱动模块的模型检验方法。理论分析显示,该方法搜索广度和深度完善,能避免状态空间爆炸问题,可用于获得有缺陷安全协议的攻击剧本,并证明无缺陷安全协议的安全性。用该方法分析OtwayRees协议和TLS协议,获得了Otway-Rees协议的攻击剧本,得出了Otway-Rees协议的两个安全改进版本,说明了TLS协议的安全性。     

基于事件类型的网络协议建模

提出了基于事件类型的网络协议建模方法,并在模型的基础上对协议进行检测实验.协议的模型检查实验中最重要的是状态模型的描述,其决定了检测结果的精确性和有效性.事件类型的状态描述方法是通过外部事件和内部事件建立一个完整有效的状态层次模型,模型检查算法对建立的状态模型进行检测,最终得到性质检测结果.本文通过对WEP协议和四次握手协议进行事件类型的建模分析证明了状态层次方法有利于网络协议的建模与检测.     

提升网络入侵检测系统性能关键技术研究

高速网络的出现对网络入侵检测系统的处理能力带来了挑战,在分析了影响入侵检测系统性能因素的基础上,提出了提高高速环境下入侵检测系统性能的新方法,即采用了基于改进的NAPI数据包捕获技术、基于状态的协议分析技术和基于二叉规则树的高速匹配算法来提升网络入侵检测系统性能,实验结果验证了所提出的技术的有效性．     

NTI技术在NIDS中的应用研究

针对如何降低传统网络入侵检测系统(NIDS)的漏报、误报率问题,从NIDS对所处网络环境了解太少、缺乏针时性入手,使用Java语言,设计了一个基于Web的网络拓扑信息(NTI)获取系统,构建了NTI分析器.采用"旗帜信息(Banner)识别服务软件、操作系统"对网络拓扑进行认知,创建了NTI数据库,并将NTI分析器、NTI数据库应用到NIDSSnort中,分别在不同操作系统和服务软件的机器上进行测试,结果表明,改善了告警效率和准确性.     

基于序列模式的网络入侵检测系统

针对入侵检测的特点将数据挖掘技术应用于网络入侵检测系统,阐述了网络入侵检测系统的设计原理及其实现。系统的数据挖掘模块应用了序列模式挖掘中的GSP算法,并对其进行了改进,引入了主属性及兴趣度。实验表明,优化后的算法可以有效地提高检测的准确率,使系统的性能获得提升。     

一种提高网络入侵检测系统检测率的方法

在繁重的网络流量或流量突爆的情况下,网络入侵检测系统(NIDS)无法对所有监控的流进行检测。针对NIDS的这种局限性,提出了一种选择弃包方法,该方法受系统负载的影响较小,能使NIDS预测到系统负载条件。通过对系统的性能分析实验,证明了在流量过载情况下,选择弃包法有效地提高了网络入侵检测系统的检测率。     

启发式探索的协议测试序列生成

为避免可达性分析方法生成协议测试序列状态过程中爆炸问题的出现,提出了一种启发式探索协议状态格局空间的可执行测试序列生成算法. 该算法采用权值扩展有限状态机建模被测协议,以启发式状态格局探索策略替代传统的宽度优先搜索方式生成可执行协议测试序列;把协议可执行测试序列生成转化为在协议状态格局空间中探寻最小权值路径的问题. 实验数据表明,与宽度优先可达性分析方法相比,新算法具有较好的时空特性.     

自动链路建立协议面向对象方法的实现

由于协议是不断完善和发展的,因此一个好的协议软件应该具有良好的可维护性、可复用性以及可扩展性。在研究和分析ALE协议的基础上,用FSM模型对该协议进行了描述,并且提出了一种面向对象的FSM实现方法。在这种方法中,FSM中要素(包括状态、事件、转移、行为)都用一个类来表示,并将这些类的对象按照状态转移图组合起来就形成了可执行的状态机。在修改或者扩展该状态机时,只需要改变这些对象的组合方式或者增加必要的对象,因此可以很方便的对状态机进行维护和扩展并且对其中的对象进行复用。     

RS-485总线通信协议的分析和实现

RS-485总线是中小型集散系统常用的组网方法,但其协议并没有一个统一的标准,这给用户在使用时带来很大困难.本文详细讨论了一种基于RS-485总线的通信协议,并用有限状态机模型对其可靠性做定性分析.本协议具有编程简单、易扩展、易移植等特点,结合一个沥青拌和站实时监控系统的实例来说明本协议的具体应用.     

一种高性能分布式入侵检测系统的研究与实现

本文对传统网络入侵检测系统的性能影响因素进行了研究和改进,设计并实现了一种通过被动监听方式实时检测网络攻击的高性能分布式入侵检测系统(H DIDS).试验结果表明,与传统的网络入侵检测相比,HDIDS的实时数据处理能力提高了大约3倍.     

基于FSM的短距离家居通讯协议的分析及应用

面对智能家居快速发展以及家居通讯协议多样化的特点,介绍了主流X-10、CEBus协议,并比较其各自优缺点;针对这些优缺点制定出基于FSM的短距离家居通讯协议,该协议应用电力线载波方式,成本低廉,具有很强的开放性和很好的保密性,同时充分运用有限状态机有效地解决了各用电器间的通讯冲突问题,确保通讯的实时性和稳定性.     

基于等待时间和信道状态的轮询多址协议

提出了基于分组等待时间和信道状态的动态限定轮询多址协议。该协议根据各节点内分组的当前等待时间及信道状态动态的控制轮询过程,每个轮询周期对具有分组最长等待时间和好的信道状态的节点进行服务。在假设信道为两状态马尔可夫模型的基础上,通过采用嵌入马尔可夫链理论和休假排队模型,给出该协议的理论模型和性能分析,并且通过与基本轮询系统对比分析,可以看出所提出系统缩短了分组的平均等待时间,提高了系统吞吐量。
关 键 词: 中图分类号: 文献标识码: A
(Abstract: Key words: