蜜罐与入侵检测技术联动系统的研究与设计

针对单一技术在网络安全防御上的局限性,对入侵检测和蜜罐技术进行了认真研究.构建了一个新的入侵检测与蜜罐技术联动的防御系统.通过蜜罐收集入侵信息,用无监督聚类算法分析入侵数据,将数据集划分为不同的类别,提取新的攻击特征,扩充了入侵检测系统的特征库.通过实验分析和采用KDDCUP99入侵数据集进行测试,证明对于误报和漏报问题有一定的改进,提高了对未知入侵攻击的检测效率.     

优化聚类方法在大数据分流系统设计中的应用

为提高大数据信息分流效率,实现对不同类型数据的有效分流,文章将优化聚类方法应用于大数据分流系统设计。首先通过网络数据接收装置,捕获并过滤接收到的大数据信息,其次将获得的信息传输给网络数据发送装置,最后采用优化聚类算法设计的系统功能,与数据存储模块结合,将数据流按照接收顺序发送到聚类中心,完成大数据分流。测试结果表明,应用优化聚类方法的设计系统的分流效率均达到了96%以上,明显优于传统分流系统,在大数据分流工作中具有较好的应用价值。     

自适应聚类的未知应用层协议识别方法

应用层协议识别是指从承载应用层协议数据的网络流量中提取出可以标识应用层协议的关键特征,并以这些关键特征为基础,将同种类型的应用层协议数据划分在一起。针对现有网络流量识别方法对未知应用层协议识别率低的问题,提出了一种自适应聚类的未知应用层协议识别方法。该方法以传统的AGNES层次聚类算法为基础,依据网络流应用层协议数据的负载特征,基于相似度对应用层协议进行聚类。方法将聚类算法中相似度计算划分为聚类前应用层协议数据间的相似度计算和聚类中簇间的相似度计算两部分,避免了重复性地计算应用层协议数据间的相似度,提升了算法的聚类效率。实验结果表明所提出的方法能够高效准确地对未知协议的网络流量进行识别。     

贝叶斯网络在蜜罐系统中的应用研究

信息融合理论在蜜罐系统中的应用,在对未知攻击具体实例中,本文提出采用不确定推理理论中的贝叶斯算法,用来分析和判断未知攻击,最后由贝叶斯网络推倒算法来判定蜜罐中的未知攻击是何种攻击。     

一种改进的半监督聚类入侵检测算法

针对网络环境,提出了一种新的半监督聚类入侵检测算法,将主动学习策略应用于半监督聚类过程中,利用少量的标记数据,生成用于初始化算法的种子聚类,通过辅助聚类过程,根据网络数据的特点,检测已知和未知攻击。主动学习策略查询网络中未标记数据与标记数据的约束关系,对标记数据可以快速获得k个不相交的非空近邻集,经检测结果证明,改进了算法的性能,且表明了算法的可行性及有效性。     

基于新的聚类算法的入侵检测

根据目前应用于入侵监测的算法中普遍存在的对输入顺序敏感,无法自适应地确定参数以及需要大量的训练数据等问题,该文应用一种新颖的聚类算法进行入侵行为的监测。该方法的优点是对输入数据顺序不敏感以及能够自适应地确定算法参数。实验中采用了KDD99的测试数据,结果表明该方法可以比较有效地检测真实网络数据中的已知和未知的入侵行为。     

基于人工免疫网络的聚类可行解求解算法

网络特征数据集中可能包含未知的入侵模式,因此不能预先设定聚类簇的数量,为了在保持聚类分析精度的前提下提高动态聚类算法的效率,提出了可划分聚类数据集的聚类可行解的概念,设计了一种基于人工免疫网络的聚类可行解的获取算法,并对算法获得聚类可行解的条件和概率进行了一定的理论分析。     

基于蜜罐的网络病毒特征研究模型

HSWS(基于蜜罐的网络病毒特征研究模型)利用蜜罐技术的优势,收集网络病毒在蜜罐上的活动信息;根据蜜罐响应的信息和网络截获的攻击数据包,用攻击树方法重构病毒攻击过程;并根据目标对攻击信息进行分类,用LCS算法在同类攻击数据中生成网络病毒的特征。对收集的新型网络病毒特征扩充IDS的特征库,弥补入侵检测系统对未知病毒攻击无法识别问题,完善防御系统。     

DBSCAN聚类算法在异常检测中的应用

运用数据挖掘的方法进行入侵检测已经成为网络安全领域的一个热点研究方向,该文主要对异常检测进行研究,将一种快速DBSCAN聚类算法应用到入侵检测中,通过对数据进行聚类,从而发现其中未知的攻击行为。该文以KDD99数据集为例做实验,证明了DBSCAN算法具有很好的聚类效果,实验结果得到了较高的检测率和较低的误报率。     

PPI网络的改进马尔科夫聚类算法

蛋白质相互作用(PPI)网络是生物信息学的一个新的研究领域。近年来马尔科夫(MCL)聚类算法在未知蛋白质的功能模块预测方面发挥了重要作用,但是聚类质量不高,为此提出了一种基于突变因子和惩罚因子及重新定义解释聚类结果的MCL聚类算法。该算法采用惩罚因子,惩罚质量较大的吸引子;采用突变因子在算法后期断绝初始转移概率对转移概率的束缚。算法在PPI网络数据集上进行了测试,结果表明该算法不但可以抑制小类的产生,而且聚类结果的质量在Avg.F方面相对于基本MCL算法提高了13.1%。     

基于智能Agent和数据挖掘技术的蜜罐系统的研究

传统的网络安全技术被动防护的特点,很难满足现在网络的需要。文章利用Agent的智能化和分布式协同处理功能,在传统蜜罐的基础上,提出一种基于智能Agent的蜜罐系统结构,并对获取的非法数据进行关联、挖掘,根据已有的入侵方法找出未来可能发生的入侵方式。系统利用智能Agent的分布式处理能力特点完成对各个服务器和主机的保护;利用数据挖掘算法在大量数据中提出有用信息不断更新知识库;利用专家系统实现对非法访问到蜜罐系统的漂移;利用蜜罐系统作为非法数据容器和分析工厂。文章首先介绍传统网络安全技术的不足;然后针对智能Agent、蜜罐技术的研究现状进行阐述;接着提出基于Agent和数据挖掘技术的蜜罐系统的模型;最后指出其发展前景和面临的挑战。     

一种基于多阶段攻击响应的SDN动态蜜罐

蜜罐作为一种主动防御机制,可以通过部署诱饵目标,主动吸引攻击者与虚假资源进行交互,从而在防止有价值的真实资源受到破坏的同时,也能根据收集到的数据分析攻击行为并主动应对.然而,现有蜜罐方案存在无法针对复杂攻击手段部署特定蜜罐防御;蜜罐攻防博弈中动态性考虑不够充分,无法根据收益与成本有效选择蜜罐最佳防御策略;以及性能开销较...     

分布式蜜罐系统的设计与实现

针对目前的网络安全形势和攻击行为,诸如防火墙等被动防御的工具已经不能满足人们对网络安全服务的需求.蜜罐是一种主动防御的工具,利用蜜罐容易被入侵者攻击的特点以及被入侵的信息来准确的对网络安全行为进行分析,从而设计适当的防御方案,是一种很有效的网络安全手段.在设置蜜罐的基础上提出一种分布式蜜罐技术,针对不同的系统建立不同平台的蜜罐,从而形成一个交互的体系,全面反馈网络真实信息,可以有效降低系统的误报率和漏报率.     

基于蜜罐的Web服务器诱骗系统的设计与实现

蜜罐作为新兴的网络防御技术,不仅能够主动防御网络攻击,而且还可以收集攻击者的重要信息。但是,当前的蜜罐并不具有模拟应用层服务的功能,利用蜜罐提出了一种实现Web服务器诱骗系统的方法,该系统不但实现了Web服务器的基本功能,而且还增加了蜜罐的自学习能力,大大提高了蜜罐的诱骗性。     

基于网络社团划分方法的多维数据聚类研究

为了解决传统聚类方法在多维数据集中聚类效果不佳的问题,提出了将网络社团划分的方法,并应用到多维数据聚类分析中。对于一个多维数据集,首先对分析对象进行特征提取,构建出每个对象的特征向量,通过计算皮尔森相关系数来度量不同特征向量之间的相似性,从而构建出一个相似性网络,采用Blondel算法对该网络进行社团划分达到聚类的效果。实验结果表明该方法可以在多维数据聚类中得到较好的聚类结果,准确率达到92.5%,优于K-means算法的75%。     

基于节点数据密度的分布式K-means聚类算法研究*

P2P(peer-to-peer)网络分布式聚类算法是利用P2P网络上各个节点的计算、存储能力以及网络的带宽,将算法的时间复杂度和空间复杂度平摊到各个节点,使处理和分析海量分布式数据成为可能,从而克服传统基于单个服务器的集中式聚类算法在数据处理能力等方面的限制。提出一种基于节点置信半径的分布式K-means聚类算法,该算法通过计算节点上数据分布的密度,找到同一类数据在节点的稠密和稀疏分布,从而确定聚类置信半径并指导下一步的聚类。实验表明,该算法能够有效地减少迭代次数,节省网络带宽;同时聚类结果也接近集中式聚类算法的结果。     

基于相似性算法与蚁群算法的聚类算法

由于当今的网络数据是海量的,因此科研人员对某些问题进行研究时需要将不同属性的数据从中提取出来,然而在提取这些数据之前需要将相同数据进行聚类。数据聚类的过程,也就是寻找数据最优属性的过程,然而人工蚁群就是一种寻找问题最优解的算法,因此在本文中再次将蚁群算法在聚类中进行应用。由本文提出的聚类算法可以分为两个部分,第一部分是：通过相似性算法来衡量数据之间的相似度,第二部分是：根据第一部分的计算结果,再采用蚁群算法为需要聚类的数据选择不同的聚类中心,从而对不同属性的数据进行聚类,经过以上两个过程的计算,可以实现对数据的聚类。在本文中进行数据聚类时采用的相似性度量来代替距离的计算,是本文创新点之一,采用蚁群算法在聚类过程中来选择聚类中心也是本文的创新所在。     

一种基于克隆网络聚类的入侵检测方法

将免疫克隆策略用于网络结构的聚类中,能够得到克隆网络对数据进行合理的聚类分析。采用克隆网络对入侵检测数据进行学习,即用一个小规模网络来表示海量数据,完成数据的压缩表示。再利用图论中的最小生成树对克隆网络的结构进行聚类分析,从而获得描述正常行为和异常行为的数据特征,实现合理的聚类。该算法可实现对大规模无标识原始数据的入侵检测,区分正常和异常行为,并能检测到未知攻击。在KDD CUP99数据集中进行了对比仿真实验,实验结果表明：相对于以前的算法,该算法较大地提高了对已知攻击和未知攻击的入侵检测率,并降低了误警率。     

蜜罐技术在网络安全系统中的应用与研究

随着网络技术的不断发展,网络安全技术已经从早期对攻击和病毒的被动防御开始向对攻击者进行欺骗并且对其入侵行为进行监测的方向发展。基于蜜罐技术的网络安全系统可以实现对内部网络和信息的保护,并且可以对攻击行为进行分析和取证。文中对蜜罐系统分类特点、部署位置以及配置数量进行了分析,同时对蜜罐系统中关键部分取证服务器的实现进行了研究,并进行了实验测试,测试结果表明该蜜罐系统可以实现对攻击行为进行捕捉和记录的功能。对蜜罐系统的部署和保护模式进行研究,可以从理论上优化蜜罐系统的配置和部署,具有很高的实践意义。