协议分析技术在入侵检测系统中的应用

在入侵检测系统中,模式匹配技术是入侵检测系统中常用的分析方法,但是随着网络技术的高速发展,仅仅使用这种检测方法存在一些弊端.在分析了模式匹配的缺点后介绍了一种新的、有效的检测方法,即协议分析技术,协议分析技术作为网络入侵检测中的一种关键技术,当前主要方法是对网络层和传输层协议进行分析.文章最后结合使用协议分析与模式匹配的分析方法,给出一个例子来说明协议分析的实现过程.     

协议分析在高校网络安全防御中的应用

本文对高校部署的入侵检测和防御系统中传统模式匹配检测技术进行分析,阐述了协议分析技术应用到入侵检测和防御系统中的方法,协议检测的范围以及相应算法,为提高高校在网络安全系统的检测效率上提供参考.     

传输协议ICMP的安全性解析

介绍了Internet传输协议（ICMP）的构成及各部分的具体功能，论述了当前黑客利用ICMP对Internet共享资源进行攻击的机理。为预防和阻止黑客利用ICMP协议对网络进行攻击提供了技术支持，使网络更加安全。实践证明，ICMP的安全性是十分重要的。     

基于协议分析的入侵检测规则智能匹配

针对传统模式匹配检测技术存在的计算量大、检测率低误、报警率高等问题,提出了一种基于协议分析的智能匹配检测方法。该检测方法充分利用TCWIP（Transmission Control Protocol／Intemet Protocol）技术的高度规则性检测攻击的存在,明显减少了匹配检测的计算量。设计并实现了基于动态分析的自动排序规则库。实验结果表明,该智能匹配方案能使模式匹配的时间缩短20％,从而提高了入侵检测的效率。     

基于协议分析的并行聚类入侵检测模型

模糊P均值聚类（FCM）的算法是在硬P均值算法（HCM）发展而来的,虽然改进了硬产均值算法的聚类效果,但带来了时间复杂度的增加．提出了一种基于协议分析分类的并行入侵检测模型,根据协议分析将大的数据集进行分类。构成不同的数据集,先对各个数据集进行FCM聚类。然后对每个FCM聚类的结果再次进行FCM聚类．构成并行处理系统．采用协议分析技术结合高速数据包捕捉、协议解析等技术来进行分布式入侵检测,可以提高入侵检测的速度．     

计算机信息安全交换系统的设计

以全新的角度介绍在内部网(Intranet)和外部网(Internet)物理隔离环境下,实现内外网的信息交换.通过入侵检测、网络协议隔离与物理隔离技术,使该系统能够快速有效地发现、报告各种入侵,并自动实时切断与外部网络的物理连接,阻断各种入侵,实现内部网络的自我保护.     

基于协议分析的网络攻击分类方法的研究

介绍了网络协议的工作过程和入侵检测领域中的最新技术——协议分析的工作原理，提出并详细阐明了一种以协议分析为依据的网络攻击分类方法。     

面向入侵检测系统的通用应用层协议识别技术研究

网络环境的不断发展和网络应用的不断加入使得协议分析和入侵检测的难度不断增大，同时造成了误报和漏报的不断发生．在进行协议分析和入侵检测以前首先对应用层协议进行识别并分别对不同协议采用不同的分析手段，可以极大的提高协议分析和入侵检测的可靠性．提出了一种通用的应用层协议识别技术并将其应用到入侵检测系统上，通过实验验证了其可用性和可靠性．     

ICMP反弹式木马技术的研究与实现

ICMP反弹式木马技术是目前新兴的木马技术之一。该技术采用ICMP协议,由木马服务器端发送ICMP请求,木马客户端进行ICMP响应,具有很好的隐蔽性和较好的防火墙穿越能力。本文主要是对ICMP反弹式木马技术进行研究和分析,并实现了一款ICMP反弹式木马。     

LDAP在IPv6网络IDS中的应用研究

针对现有入侵检测系统无法检测经过IPSec加密处理的数据的安全性的问题,应用LDAP这一轻量级目录访问协议,提出了一种适用于IPv6网络的入侵检测方案。在LDAP server中添加存储IPSec安全关联信息的条目,使IDS可以从LDAP server服务器中获取IPSec的密钥及相关信息,然后解密加密数据,从而检测入侵行为。该方案给出了服务器端KEM、主机端KEMI、DS端KEM的设计,并详述了LDAP的应用。     

生成树协议的算法分析

生成树协议是网络设计中一个非常重要的2层协议,使用生成树协议能够在网络中构建逻辑无环树．同时具备链路的备份功能,因此在网络设计中应用广泛。分析生成树算法的工作原理,并举例说明生成树协议在网络设计中的应用。     

NIDS中的应用层并行重组技术

IP分片以及TCP流的串行重组技术已经不能满足当今高速发展的网络,同时,网络上每个完整的会话都比较类似,而且不同应用层协议之间的差别也很小。因此重组工作通过并行来完成是很适宜的。采用多机并行的重组并行算法成为一种可行的实现方案。介绍了一种应用层并行重组技术,通过并行的方法将TCP/IP流重组工作负载进行合理分流,采用二维链表保存关键信息,从而避免NIDS工作负载过重的情形发生,同时以SMTP协议为例对其进行了深入地研究。最后,针对原算法的不足,提出了进一步的改进思想,细化任务颗粒,充分利用了各个结点的计算能力,有效实现了问题的并行化,并与原算法进行比较测试,性能有所提高。     

基于QSA的量子密钥协商协议内部攻击分析

量子密钥协商(QKA)是量子密码学的一个重要分支,公平性和安全性是其需要满足的两个关键要求。然而在QKA协议的设计过程中,公平性并没有引起足够的重视。近期有学者提出了一种基于量子搜索算法(QSA)的QKA协议。通过利用贝尔态的纠缠性质对该协议进行内部攻击分析,发现第1个参与者可以在不被接收者检测到的前提下操控最终的共享密钥,即该协议不满足QKA协议公平性的要求。为设计更加安全、公平的QKA协议提供思路。     

嵌入式TCP/IP协议LwIP的内存管理机制研究

该文研究了应用于嵌入式系统中的一种轻量级TCP/IP协议栈—LwIP( Light-weight IP)的内存管理机制,在此基础上提出了一种基于该内存管理机制的底层网络接口收发模块的实现方法,并在开发板上进行了仿真测试,为将该协议栈成功移植到开源的μC/OS-Ⅱ嵌入式实时操作系统并最终实现基于LwIP协议栈的嵌入式Web服务器奠定了重要基础.     

基于动态暗网的互联网扫描行为分析

为了对互联网上的扫描行为进行观测,采用基于动态暗网的互联网背景辐射(IBR)流量实时采集算法实现对IBR流量的采集,并对采集到的IBR流量进行分析;设计算法过滤出扫描流量,进行面向端口的扫描行为观测. 该动态暗网是相对稳定且分散的,不易被定位,通过其获取到的IBR流量是进行扫描分析的可靠数据源. IBR流量主要由传输控制协议（TCP）、用户数据报协议（UDP）、Internet控制消息协议（ICMP）这3种协议组成,其中TCP流量占90%以上,与正常流量中3种协议的分布不同. IBR流量得到的TCP、UDP、ICMP流量都以扫描流量为主,且广泛采用水平扫描的形式. TCP、UDP的热门扫描端口都是危险端口,证明面向端口的扫描行为分析对于发现互联网中新出现的漏洞有重要作用. TCP端口扫描行为较分散,UDP端口扫描行为较集中.     

基于多模式匹配的应用协议识别研究

针对网络监听中应用层网络协议类型多、端口动态化、负载变化频繁、关键词匹配难度大等问题。本文提出了一种能够不降低被监听网络性能的多模式匹配的应用协议识别算法。首先根据模式串集合前后缀关系进行分类,然后采用正、反向匹配算法进行处理,最后采用活跃规则的方式对协议规则进行调度。实验结果表明,新算法在模式集较大的情况下,能明显提高应用协议识别的效率,并减少资源消耗,适用于实行大规模网络监听的生产环境。