网络深层防御体系模型的研究和实现

针对单一技术在安全防御上存在的缺陷．提出了一个基于三层防御机制的网络安全防御体系模型。该体系有机结合了防火墙、NIPS、基于异常的入侵检测、蜜罐等多种安全技术深层抵御入侵,各组件通过传递XML信息互相协作。首先对网络的安全和结构进行分析,在此基础上给出了体系模型并说明了模型的工作流程．对涉及的关键技术做了探讨,给出了蠕虫攻击实验测试系统的性能。实验结果证明该体系不仅能阻断已知攻击,对未知攻击也做到了有效防御。     

一种DRDoS协同防御模型研究

针对现有DRD0S防御方法反应滞后和过滤不全面的问题,基于协同防御思想,提出了一种DRDoS协同防御模型——HCF-AST.该方法通过协同式自学习算法,实现设备间DRDoS防御知识的共享,过滤来自外网的攻击流量;并引入入侵追踪技术,与入侵检测和过滤技术协同,定位并阻断内网攻击源.仿真结果表明,该模型能够及时发现并有效消除来自内外网的DRDoS攻击.     

一种面向密码芯片的旁路攻击防御方法

针对不同级别的旁路信息泄露,提出一种通用的旁路信息泄露容忍防御模型,并结合信息熵理论给出该模型的形式化描述.该模型采用(t,n)门限机制,使得部分旁路信息泄露不会影响系统的安全性.在该防御模型的基础上,结合高级加密标准AES-128算法的安全实现,设计了一种两阶段掩码的旁路攻击防御方法.与已有的防御方法相比,该方法能够同时防御高阶旁路攻击与模板攻击.通过理论分析与仿真实验验证了该方法的有效性.     

基于攻击图和改进粒子群算法的网络防御策略

攻击图是网络安全定性分析的常用工具,能为安全管理员阻止恶意入侵提供重要依据。为了进行网络安全测评和主动防御,提出防御策略模型和基于该模型的改进二进制粒子群算法。基于攻击图中的每个入侵动作,构建带权防御策略集,意在突出防御代价。为以最小代价阻止网络恶意入侵,引入并改进了二进制粒子群算法BPSO,获取了攻击图的最小关键策略集。仿真实验证明,能有效获取最小关键策略集的优化解,并通过与蚁群算法及贪心算法进行对比实验,证明其更高效。     

分布式拒绝服务攻击手段及其防范技术研究

分布式拒绝服务(DDoS)的攻击严重威胁着互联网的安全.文章通过对DDoS攻击原理以及DDoS攻击行为的分析,针对其攻击手段以及攻击工具的特征,提出了切实可行的检测方法和防御手段,以减轻攻击所产生的影响.在深入剖析现阶段DDoS攻击的防护手段、策略的基础上,给出一个DDoS攻击预警及入侵防御系统(IPS)的体系结构,该体系结构从主动防御的技术角度出发,同时提出用硬件技术实现设备的高性能来抵抗DDoS攻击的目的.     

一种基于诱捕型入侵防护的主动式网络安全系统

传统的网络安全体系如防火墙、VPN、反病毒软件以及入侵检测系统（IDS）,都是基于静态、被动的网络安全防御技术,不可能对网络中的攻击和威胁做出事先主动防护。为此,提出了一种基于诱捕型主动防护技术的网络安全模型,该模型通过架设诱捕器,在让攻击远离正常网络和主机情况下,实施入侵诱骗来捕获攻击者的数据,从而预知攻击者及其攻击手段,事先设计好主动防御措施,使网络安全由被动防御转换为前瞻性的主动防护。在给出诱捕型入侵防护网络安全模型的数学描述及框架结构基础上提出了该模型的具体实现方案。     

面向无线入侵检测系统的复杂多步攻击识别方法

随着移动互联网的快速普及,无线网络的安全问题也接踵而至。现有的入侵防御体系大多针对有线网络,而无线网络存在较大的差异性,很多无线通信协议本身也存在缺陷。提出一种面向无线入侵检测系统的复杂攻击识别方法,包含告警精简、逻辑攻击图生成器、攻击流量拓扑图生成器、攻击路径解析器、复杂攻击评估等模块,层层挖掘出攻击者的最终意图。实验结果表明,该识别方法能够应对无线入侵领域的复杂攻击场景,对无线多步攻击意图的识别具有一定的意义。     

面向网络实时对抗的动态防御决策方法

如何基于网络外在威胁实施防御决策是构建网络信息防御体系的核心问题,针对实时攻击带来的动态威胁进行科学有效的防御决策是构建网络动态应急防御体系的关键。针对动态防御决策问题,首先基于属性攻击图理论设计了一种网络生存性博弈模型,利用攻防矩阵表示攻防策略和路径,并给出了攻防强度和网络生存性量化方法;其次提出了单步与多步的攻、防策略支出计算方法,并基于攻防策略支出给出防御决策;最后通过实验进行防御决策技术的有效性验证。     

基于模拟攻击的高校网络安全风险评估研究

针对高校网络目前存在的安全风险,提出一种新型的基于模拟攻击的高校网络安全风险评估模型。该模型综合考虑了单机脆弱性和网络攻击威胁,首先结合原有基于单机脆弱性测出的风险值,模拟攻击者利用网络弱点的入侵过程,产生攻击状态图;然后基于生成的攻击状态图和原有风险值,识别攻击者入侵网络所利用的攻击行为、可能路线及导致的安全状态变化,评估潜在威胁的位置;并对新方法的风险值给出了定量分析,从而为针对性地实施风险控制决策提供更准确的依据。实验结果表明,该模型是正确的,并且平均要比目前存在的风险评估模型多发现大约50%的安全风险。由此可以看出,本模型方法的评估结论较传统方法更为准确。     

校园网络安全分析与安全体系方案设计

分析了校园网络面临的安全风险,针对校园网络面临的安全风险,提出了基于防火墙网络访问控制、入侵检测技术、虚拟专用网技术、内部虚拟局域网(VLAN)划分、终端安全管理的安全体系解决方案,并对ICMP攻击、TCP SYN FLOOD攻击和Smurf攻击进行了安全测试.测试表明:该方案能有效防御攻击,具备静态的被动的防御和主动防御功能,能够给予校园网络较大的安全防护.     

一种经济型主动防御体系研究与实现

针对目前日益严重的网络安全问题,提出了一套经济实用的主动防御安全解决体系。该体系有机结合了多种安全技术,征对网络的开放和复杂性,提出了一个完整的主动防御体系模型,采用蜜罐技术提取攻击行为特征库,通过XML消息传递机制。本文首先对网络的安全和结构进行分析,在此基础上给出了系统的体系模型,最后对涉及的关键技术做了探讨。     

安全防护系统及其关键技术研究

针对目前日益严重的网络安全问题,提出了一套更加有效、更加完善的主机/服务器安全防护解决方案。该方案有机结合了多种安全技术,以主机/服务器上的关键资源为中心实施纵深防御。本文首先简述了安全防护系统的设计思路,并以此思路给出了系统的体系结构,最后对涉及的关键技术做了探讨。     

异构冗余系统的安全性分析

随着互联网技术的发展和普及,漏洞和后门已经成为导致网络安全问题的主要因素。冗余技术可以很好地解决系统的可靠性问题。受拟态防御思想的启发,分析了异构冗余技术对基于漏洞和后门的网络攻击进行安全防御的有效性。在一些假设前提下,以系统攻击成功率表征系统的安全性,建立了基于马尔科夫过程的异构冗余系统的安全性评估数学模型,给出了系统攻击成功率的表达式。最后对3模异构冗余系统进行了求解和分析,计算结果与直观预期相符。     

基于密罐技术的网络安全模型研究与实现

网络攻击手段的多样性和攻击行为的动态性,对网络安全防御带来了困难,目前,传统的静态防御方法显得非常被动。论文提出了一种基于密罐技术的主动、动态防御安全模型,该模型可以弥补传统放火墙、vpn、反病毒软件以及入侵检测系统(ids)安全防御的不足,降低网络被攻陷的可能性。     

基于演化博弈的拟态防御策略优化

网络空间拟态防御是近些年出现的一种主动防御理论,以异构冗余和动态反馈机制不断调整执行环境来抵抗攻击。然而,面对黑客的多样化攻击手段,仅凭借拟态防御抵抗攻击是不安全的。为了增强系统的安全防御能力,本文在目前已有的防御系统基础上提出更为合理的防御选取方法。将有限理性的演化博弈引入到拟态防御中,构建了由攻击者、防御者和合法用户组成的三方演化博弈模型,并提出了最优防御策略求解方法。该博弈模型利用复制动态方程得到了演化稳定策略。仿真实验结果表明,系统通过执行推理的演化稳定策略可以降低损失,遏制攻击方的攻击行为,对拟态防御系统中防御策略选取和安全性增强具有一定的借鉴意义。     

针对ARP欺骗攻击的防御策略研究

通过分析ARP协议工作原理、ARP协议的运行机制、安全缺陷和攻击原理,以及各种ARP攻击手段,基于现有ARP欺骗攻击检测、防御方法的优缺点,从更加准确、安全的角度出发,借鉴现有防御技术,使用一种主体基于服务器客户端模式的防御体系。服务器主要进行通信信息的检验,并告知客户端检测结果,而客户端是防范欺骗的关键,保证域内主机与可信任主机通信,排除安全隐患。为了通信安全,实现端对端数据加密通信的ARP欺骗防御的思想,以准确高效地防范ARP欺骗的攻击。     

浅析引导型蜜罐群在网络安全中的应用

随着入侵攻击的复杂多样化和网络管理的难度加大,蜜罐技术作为网络安全主动防御技术的重要组成部分越来越受到人们的重视,它主要经历了欺骗系统、蜜罐和蜜网等几个发展阶段,旨在对入侵攻击进行监视、检测和分析。本文结合中小型网络安全的实际需求,提出一种新的蜜罐思路：引导型蜜罐群,设计了相应的网络安全模型,并分析它的关键技术及实际应用。     

代码的安全性保护技术研究

代码的安全问题由于直接关系到软件能否在多个领域可靠应用,并且影响到系统的安全,所以显得尤为重要.随着网络攻击与防护技术的深入发展,对软件安全提出了更高的要求,代码的缺陷使应用软件、Web系统及数据库系统面临巨大安全挑战.通过分析代码在溢出、跨站脚本、SQL攻击、加密代码、代码失效及软件模拟方式等方面存在的安全性问题,提出使用托管代码迁移、内存探测、正则表达式检测、签名等多种技术方法以实现代码的安全性需求,确保软件的可靠性,最后给出了一些能够提高安全性的编码原则.