基于Snort的网络安全管理平台入侵检测技术研究

运用轻量级入侵监测系统Snort入侵检测技术,讨论开放源代码功能强大的网络入侵检测系统Snort的报警机制和原理,及运用Unix套接字技术的服务器端接收报警信息的实现方法.讨论在网络安全管理平台中Snort入侵检测技术应用的集成方法和技术,给出在网络通信中采用对称加密,提高网络安全管理平台中入侵检测技术的效率和安全性的办法.     

Windows平台下Snort和IPSec联动实现

针对目前Windows平台上入侵防御系统对恶意数据在TCP/IP层上的过滤大都借助Windows内核或第三方防火墙的情况,提出利用Windows内嵌的IPSec筛选器和Snort入侵检测系统实现联动,在发现危险报警后,自动设置IPSec筛选器来对相应的数据进行过滤,并对改写后的Snort联动模块进行全面的测试,结果证明可以成功地实现对入侵数据包的阻塞.     

单点登录技术在企业资源集成中的应用

单点登录(SSO)是企业应用集成的重要组成部分.从项目需求入手,提出一种通过凭证加密与代理登录相结合的单点登录模型.该模型能够与原有业务系统无缝结合,实现安全、灵活的单点登录访问控制.阐述了该模型在企业集成中的应用,以及就如何保证系统安全性作出了相应的分析.目前系统将在现代人口与生殖健康公共服务信息门户中运行.     

基于Linux的Snort入侵检测系统的研究与应用

入侵检测是一种用于检测网络中违反安全策略行为,并做出保护反应的技术。从体系结构、基本功能方面对开源的Snort入侵检测系统进行深入分析,构建基于Linux平台的Snort网络入侵检测系统,并以FTP服务为例,阐述了Snort规则的配置,以及对FTP服务进行报警的过程。     

面向服装大批量定制的产品模型集成框架及应用

针对服装行业竞争加剧,客户个性化需求不断增加的现状,提出了一种支持服装大批量定制(MC)的产品模型,该模型包括产品族主模型和集成产品模型.对企业相似资源标准化和规范化后建立的产品族主模型是实现服装敏捷生产的基样,而集成产品模型是对产品信息进行统一管理的实例化模型.在产品模型的基础上,研究了面向服装定制模式的企业业务系统集成逻辑框架,讨论了业务系统之间集成的信息和方式.通过构建一个基于计算机辅助应用系统（CAx）、产品数据管理（PDM）系统、企业资源计划（ERP）系统和电子商务(EC)的集成应用平台,实现了服装企业多方面信息的集成和传递.     

三维虚拟变电站数字可视化管理与监控系统

研究面向变电站营运管理的三维虚拟数字可视化系统,将三维虚拟和数字可视化技术与变电站现有系统与信息集成起来,包括PMIS系统、实时监控系统、实时视频监控系统、火灾报警系统、安全防护系统等,实现变电站各种信息的一体化多维展示,解决目前变电站各种系统以二维方式离散展示信息的缺陷,提高变电站的运行管理与监控水平.     

利用SolidWorks实现CAD与CAPP的集成

提出了一种实现CAD/CAPP集成的方法。通过三维特征造型软件SolidWorks实现零件的三维特征造型,利用VB开发的程序来提取零件的总体信息、几何信息及工艺信息,并将这些信息存入到数据库中,实现了计算机辅助设计(CAD)和计算机辅助工艺规程设计(CAPP)的集成。     

基于推理模型的报警关联分析方法

入侵检测系统(IDS)存在着报警重复、报警信息层次低、对设备的依赖性较强等问题。提出了一种基于推理模型的报警关联分析方法,通过建立语义映射和推理模型,对报警信息进行关联分析,生成报警关联图,构建攻击场景。实验表明,该方法构建的攻击场景图能够准确反映当前网络面临的安全威胁,为进一步的网络安全威胁态势感知工作提供了很好的指导。      

智能家居安防系统的设计

为了克服传统安防系统功能单一、误报率较高、不能实现实时远程报警的缺点和不足,提出了基于GPRS远程无线通信模块的智能家居安防系统设计方案.采用红外及GPRS通信技术实现了多方式遥控设防撤防,解决了主控制器操作的实时记录问题,为事后分清责任提供厂技术保障.现场调试结果表明,系统操作简便灵活,有效地实现了对室内环境信息(如温度、湿度)的实时监控、险情检测(如火警、被盗、可燃气体泄漏及水泄漏)、多方式遥控设防撤防、远程监控和报警以及操作数据实时记录等功能,提高了家庭安防报警的可靠性.     

基于扩展CPN的多源数据报警相关性

针对网络安全管理员要处理来自IDS、防火墙、防病毒软件以及漏洞扫描器等安全工具所产生的报警信息来获得计算机网络中攻击的高级描述,提出基于多源数据报警相关性的方法。首先,对CPN(Colored Petri Net)进行扩充,增加了反映安全工具报警信息的观测集,形成了ECPN(Extended Colored Petri Net),并对其进行了形式化描述与图形建模;其次,提出了基于ECPN攻击场景的构建关联算法ECPN-Scenario-Constructor以及攻击动作提取算法Multistep-Abstract;最后,对DARPA 2000入侵场景关联评测数据集进行了实验。实验结果表明:该算法可以对报警进行有效的关联,及早地发现攻击者的攻击策略,并能有效地避免误报和减少漏报。     

基于自扩展时间窗的告警多级聚合与关联方法

针对传统告警聚合与关联方法在合理性和准确性上的不足,提出了基于多级划分思想的告警聚合方法和基于马尔可夫链模型的告警关联方法。首先,使用入侵检测消息交换格式来描述网络告警,利用告警的时序接近关系进行时间窗口的自动扩展,将时间间隔小于预设阈值的告警划分到同一个时间窗内;进而,分别根据攻击类型、时间窗口、子网掩码、IP地址和端口信息依次划分告警,利用属性匹配方法进行子网级、主机级和服务级聚合,有效聚合攻击者利用同一路由器、傀儡主机或服务端口实施攻击而产生的相似告警;在此基础上,利用1阶马尔可夫链模型生成告警关联图,将攻击类型间的条件转移概率作为关联图的有向边,并利用告警的时序紧邻关系计算出攻击类型间的转移概率。实验中,利用入侵检测系统Snort的最严格模式处理DARPA2000流量数据,得到LLDoS1.0攻击场景所对应的入侵告警集合;利用本文方法对集合中的5类告警进行聚合和关联,通过参数寻优得到自扩展时间窗口最理想的间隔阈值,使得告警多级聚合结果能够有效精简告警,并与告警源IP和源端口的分布情况一致;通过比较告警关联结果与攻击场景的官方描述来计算告警关联的准确率。与传统方法进行对比,本文方法的告警关联准确率为97.94%,比传统方法提高了2.29%。     

Snort技术在分布式入侵检测系统中的应用研究

为了解决集中式网络入侵检测系统无法对网络系统提供更加有效保护的问题,本文分析并设计了一个符合公共入侵检测框架(Common Intrusion Detection Framework,CIDF)的,基于Snort的分布式网络入侵检测系统,并详细介绍了其中的一些关键技术。     

利用多线程技术提高入侵检测系统的实时性能

针对目前广泛使用的开放式入侵检测系统(Snort)在实际开发应用过程中存在的系统实时检测能力较弱的突出问题，通过引入多线程技术，在标准Snort系统平台的基础上进行二次研究、开发，极大增强Snort系统的实时性能，使其在网络应用中发挥更大的安全保障作用。     

数据挖掘技术在Snort IDS中的应用

以Snort入侵检测系统为基础,应用数据挖掘技术在Snort系统中构建了一个异常检测模块,提高了Snort的检测效率.系统通过引入基于Apriori算法的数据挖掘模块,能有效检测网络事务中的一些异常状态,特别对于DOS攻击检测比原来Snort系统有较明显改善,提高了Snort对异常攻击行为的检测能力.实验表明,系统具有较好的效果.     

Linux平台下网络入侵防御系统的研究与实现

针对防火墙和入侵检测系统在网络安全防御上存在的缺陷,本文提出了一个在Linux平台下,基于两层防御机制的网络入侵防御系统．该系统扩展了网关防火墙的入侵检测功能．实现了网关防火墙对攻击的最初防御,增加了入侵检测系统Snort的联动响应功能,Snort对逃避了网关防火墙检测的复杂攻击进行再次防御．实验结果证明,两层防御机制对大规模的蠕虫攻击起到了实时抵制作用．     

Snort规则库在高炉专家系统知识库的移植

知识库及其相关技术为高炉专家系统各个模块提供数据支持和理论依据,组织恰当的知识库对于高炉专家系统是至关重要的。Snort作为优秀的开源入侵检测系统,其规则库的建立和处理方法是其优秀性能的基础,对高炉专家系统中知识库的构建具有很好的借鉴意义。介绍了Snort规则库结构,结合高炉特证参数,将Snort规则库结构重新定义,移植为高炉专家系统知识库三维链表结构,并用图例说明,最后说明基于该结构的推理过程。     

Snort体系结构的优化

针对入侵检测系统Snort在网络流量较大时不能处理数据而产生丢包的问题,可在该系统原有的基础上采用分流技术,即在数据包检测模块前添加协议分流模块和负载分流模块。实验表明,所设计的体系结构分流后,系统能够有效检测出包含在网络数据包中的入侵行为,避免丢包漏报现象,从而提高系统对网络流量检测的可靠性。     

基于数据挖掘技术的Snort检测系统模型

针对网络入侵检测系统Snort的不足,提出了一种基于数据挖掘技术的二次检测系统模型。该模型是以Snort系统为基础,增加了异常检测挖掘模块、新规则形成模块、二次检验模块等,因此,该系统可以实现实时更新入侵行为规则库,提高系统的检测速度以及大幅地减低Snort系统的漏报率与误报率。