小IP报文攻击的入侵检测方法研究

入侵检测技术是网络安全领域中的新技术,但它发展还不成熟,很多攻击方法利用它的缺陷进行攻击。其中小IP报文攻击利用Windows和Linux对有数据重叠的报文处理方式不一样进行攻击。论文提出了小IP报文攻击的入侵检测方法,并采用Snort工具进行实验,使得Snort和被保护主机对有数据重叠的报文的处理方式一致,从而使Snort发生误报、漏报的次数明显减少,为实现网络安全提供了有益的借鉴。     

Snort报文捕获机制的研究与改进

在对Snort系统的报文捕获机制进行研究的同时,针对Snort在高速网络上使用libpcap进行报文捕获的缺点提出了一种基于Sampleandhold采样算法的改进机制,提高了Snort系统在高速网络链路上检测异常/入侵活动的效率。     

应用于高速网络的基于报文采样和应用签名的BitTorrent流量识别算法

在高速网络上进行P2P流量识别具有极大的困难,因为基于端口号的方法已经不再准确,而基于应用签名的方法没有足够高的处理效率.提出了应用于高速网络的基于报文采样和应用签名的BitTorrent流量识别算法.建立了误检率和漏检率模型来分析报文采样率和签名率对识别准确度的作用,并指导应用签名和采样率的选择.通过开发流状态判别预处理器,在Snort平台上实现了该流量识别算法.实验结果表明该流量识别算法处理效率和准确度都是令人满意的,能应用于高速网络环境.在普通个人计算机上,对采样报文的处理效率在800Mbps以上.将该方法应用于报文处理,当采样率为0.5时漏检率为0.6%,当采样率为0.1时漏检率为5.9%,当采样率为0.05时漏检率为10.5%.将该方法应用于流数据分析,当采样率为0.5时漏检率为0.06%,当采样率为0.1时漏检率为0.33%,当采样率为0.05时漏检率为1.1%.该方法展现了优秀的误检性能,没有任何报文被误检.实验结果也表明误检率和漏检率模型是非常准确的.     

基于报文监听的Ad Hoc网络双信道接入协议

首先提出了基本的报文监听协议DCMA_BPS,并对控制报文的长度和协议的特性进行了分析,又提出了信道接入协议DCMA_PSBI,通过BI控制报文来阻止隐终端发送数据报文。仿真分析表明,DCMA_PSBI是一种非常高效实用的基于报文监听的Ad Hoc网络双信道接入协议。     

BITBUS网络接口模板硬件与报文通信软件分析

对ＢＩＴＢＵＳ网络接口模板硬件进行了全面深入地研究，并结合其硬件功能与接口，对其底层报文通信汇编原代码进行了分析，给出了报文通信实现过程的框图和算法，为开发分布式工业监测网络提供了方法和依据。     

基于Snort的IPv6入侵检测技术

针对开源入侵检测系统Snort没有提供对IPv6协议的AH和ESP扩展首部支持的问题,提出利用Snort检测ESP加密报文的解决方案。构造ESP检测规则,在Snort协议分析模块加入DecodeESP()函数并添加密钥管理模块,实现Snort对IPv6报文中ESP扩展报头的解析,管理其产生的密钥。给出一种面向ESP的入侵检测系统模型,以验证IPv6加密通信入侵检测的可行性,并给出实验验证过程。     

一种入侵检测实验系统的设计与实现

针对专业教学过程中理论内容较难理解和接受的情况,设计了一种入侵检测的实验系统,实现对网络嗅探和端口扫描两种类型的入侵进行检测。针对网络中的嗅探攻击,利用WinPcap网络开发包,实现基于ARP报文探测的嗅探攻击的演示。此外,实验系统还针对网络中的TCP端口扫描攻击,利用Libnids网络开发包,实现了基于统计阈值检测法的TCP端口扫描攻击的演示。最终通过短消息模块实现相应入侵行为的短信通知。     

基于FPGA实现的报文分类智能网卡

一般的网络安全应用软件,只对网络中的某类报文进行处理,基于通用的网卡采集网络数据,会收到大量的无用报文,降低系统效率。本文基于FPGA和零拷贝技术,设计并实现了一种智能网卡,将报文分类过滤工作下移到网卡硬件中实现,智能网卡完成了网络数据包报文捕获、报文分析、规则匹配等工作,可以过滤掉无用报文,只把应用关心的报文提交给到主机系统。与普通网卡相比,智能网卡可以有效提升网络数据采集的效率。     

基于FPGA的动态可重配置的IP报文过滤系统

IP过滤是把IP数据报文分成不同种类的过程,主要取决于IP报头中的信息。基于软件的字符串匹配已经不能跟上高速的网络传输速度,需要寻找硬件解决方案。这篇论文描述了基于FPGA的动态可重配置内容可寻址存储器CAM(ContentAddressableMemory)在IP过滤中的应用,同时在硬件中采用了Snort入侵监测系统(IDS)的字符串匹配规则。     

基于OpenFlow的报文分类算法研究与实现

随着软件定义网络、OpenFlow等技术的兴起,传统的基于5元组的报文分类技术已不能满足OpenFlow基于多元组的细粒度流量控制需求。因此,以分析已有的报文分类算法为基础,采用分而治之的思想,针对OpenFlow报文分类的精确匹配需求,设计实现了一种基于Hash的计数型链表Bloom Filter算法--OF_CBF算法。针对OpenFlow报文分类的通配匹配需求,借鉴正则表达式匹配算法思想,设计实现了基于有限自动机的报文匹配算法--OF_FSMP算法。对两种算法进行分析验证,并初步对两种算法进行了性能分析。     

局域网监听行为检测技术研究与实现

本文首先给出了网络监听的定义,介绍了不同介质下网络监听的一般原理和方法,在比较了多种监听检测技术各自的优缺点后,提出并设计完成了用于局域网内检测Sniffer的网络监听行为检测系统,它采用了基于TCP/IP协议的系统协议栈反射发包探测技术,解决了局域网内非法监听的网络安全问题。     

基于IEEE802.15.4a的工业无线网络嗅探器

针对基于IEEE802.15.4a的工业无线传感器监控网络嗅探器的研究和实现,从分析嗅探器原理,介绍了IEEE802.15.4a协议,详细描述了嗅探器的系统结构及设计中对数据包的捕获和过滤过程。给出了针对4种不同过滤设置条件所对应的类定义,可根据用户要求对指定类型、特定站点或设定时间段及包含热点关键字的数据进行捕获过滤,动态显示网络的实时状况。经过试验,本嗅探器完全达到了设计要求,实现了对无线传感器网络的主动侦听监控。     

用于局域网的网络嗅探器的设计

目前,世界上主流的嗅探器都是以捕获数据包为其核心技术,而对于抓包过程有两种常见的机制,第一种是常见的UNIX／LINUX内核本身所具有的抓包功能。第二种是使用第三方软件和抓包驱动来实现抓包功能。本文根据网络嗅探的技术、原理、方法做出详细的论述,同时,讨论了现在使用较为广泛的嗅探软件与技术,然后,通过进行软件功能需求分析,我们论述了一个嗅探技术的新思路,用它来帮助网络管理人员对局域网进行监控。     

基于Windows的网络监听技术在局域网中的实现

讨论了在Windows操作系统环境下网络监听技术的原理，给出了依据包过滤技术实现网络监听的基本步骤与方法．利用WinPcap开发包，实现了对网络底层数据包的捕获。     

WinPcap包截获系统的分析及其应用

数据包截获是设计网络分析软件的基本技术,该文对Winpcap包截获系统的结构及其主要功能进行了详细的分析,并通过介绍网络监听器的设计给出了一个应用实例。     

面向数据链路层的网络嗅探器的开发与实现

给出了一种在数据链路层上开发网络嗅探器的方法。该方法实现的嗅探器能够直接通过网卡驱动程序捕获网络上的数据帧,适用于各种类型数据包的捕获,比在协议栈的网络层捕获数据包具有更强大的功能。     

Enhanced Switched Network Sniffer Detection Technique Based on IP Packet Routing

ABSTRACT

Sniffers are program that are used to capture network packets illegally. It is a malicious activity performed by network users, and because of this network security is at risk. Detection of sniffers is an essential task to maintaining network security. Man in the middle (MiM) intrusion detection, switched network sniffer detection based on IP packet routing, and ARP watch detection techniques are used to detect a sniffer in switch Local Area Network (LAN) environments.

This paper highlights the shortcomings of previous techniques that detect sniffers in switch LAN environments. We propose a new sniffer detection technique based on Internet Protocol (IP) packet routing that removes the shortcomings of previous techniques. Experimental results demonstrate that the proposed detection technique shows a significance improvement in network performance.     

Linux中构造基于ACE的安全高效通信平台

当把Linux操作系统作为大型安全管理系统的服务器的时候,构建安全的通信平台显的尤为重要。自适配通信环境(ACE)是一种面向对象(OO)的工具包,它实现了通信软件的许多基本的设计模式。文中介绍了ACE和整个系统模型的设计,然后重点阐述了如何利用SSL实现安全通信,以及数据传输过程中的效率问题的解决方案。实践中经过sniffer抓包分析和压力测试,可以达到预期要求。     

实用网络sniffer的设计与实现

本文在分析网络嗅探器的基本原理基础上,阐述在Windowsxp环境下实现一个网络嗅探器的具体方法和过程并在Visualc＋＋6．0开发平台下编程实现。对运行结果进行分析,表明该网络嗅探器具备数据捕获以及对数据包的分析等基本功能,具有较好的应用价值。