基于暗网的蠕虫早期检测技术在专用网络中的应用

为了对网络蠕虫等网络攻击行为进行早期检测,文章设计实现了一个基于暗网的可视化的早期检测系统,并采用原型设计和实际网络实验的方法,在某专用网络中进行了对比实验,结果表明该系统在专用网络中比传统入侵检测系统更早发现蠕虫等网络攻击,且时间提前量十分可观,说明基于暗网的早期检测技术在与国际互联网隔离的专用网络中有着良好的应用前景。     

一种基于暗网的蠕虫早期检测方法

为了对网络蠕虫等网络攻击行为进行早期检测,论文设计实现了一个基于暗网的可视化的早期检测系统,并采用实际网络实验的方法,在某专用网络中进行实验,结果表明该系统在专用网络中比传统入侵检测系统更早发现蠕虫,且时间提前量十分可观。     

基于失败连接分析的网络蠕虫检测系统研究

根据网络蠕虫攻击的特点，提出一种基于失败连接分析的网络蠕虫早期检测系统。该系统通过实时分析失败连接流量分布和正常状态的偏离度来检测蠕虫，通过分析失败连接集的自相似度进一步降低蠕虫检测的误报率。基于原型系统的实验结果显示，该系统能够实时检测未知类型的网络蠕虫攻击，分析蠕虫扫描的网络传输特征和网络内可能感染的主机列表。和已有方法相比，该系统对蠕虫的早期扫描行为更加敏感，并具有更低的误报率。     

蠕虫早期检测系统研究

网络蠕虫对Internet造成了极大的危害。在分析了蠕虫的传播原理和经典传染模型原理,以及蠕虫传染早期扫描阶段ICMP和TC协议的状态后,本文基于协议状态和传染模型的思想提出了一个蠕虫早期检测方法及其系统实现框架,该系统架构无需改变现有网络结构既可全面监说蠕虫的流量情况, 并可检测出真实的蠕虫扫描源。     

分布式蠕虫流量检测技术

分析了网络蠕虫病毒的传播特点和已有的检测方法,针对慢速传播蠕虫病毒,提出了基于流量异常传播序列的检测算法,并通过分布式系统结构,综合多个子网的检测结果,进一步提高检测准确率。模拟实验证明：该算法可以根据流量特征,在蠕虫病毒慢速传播的早期检测到该病毒的传播行为,并获得传播所用网络协议和目标端口。     

基于自动特征提取的大规模网络蠕虫检测

蠕虫由于传播速度很快在网络中造成了严重的危害,对蠕虫进行自动的快速检测成了一项必需的研究。研究了在大规模网络中,利用流量异常发现模块从网络中发现异常数据集,然后自动进行特征提取,进而将特征更新到特征检测的特征库中进行特征检测的方法,实现对未知蠕虫的检测。本系统能够快速地发现新的疫情,作为蠕虫的自动防御的基础。     

基于失败连接分析和P2P的未知网络蠕虫检测

针对现有的网络蠕虫检测系统大多不能有效快速检测慢速蠕虫的问题,本文提出使用本地失败连接分析(LF-CA)算法在蠕虫传播早期高效实时的检测本地局域网内的蠕虫,并在全局上建立可扩展性强非集中式的基于Chord算法的全网协作P2P检测机制,以信息共享的方式对慢速传播蠕虫进行检测。通过实验仿真验证了LFCA算法对本地网络的快速蠕虫有高效的检测效果和较低的误报率,证明了基于P2P技术进行信息共享协同检测比单点检测能更快更有效地检测到慢速蠕虫。     

对一种网络攻击可视化方法的改进

根据一种简单有效的可视化方法，设计实现了一个网络攻击实时监测系统，实际网络中的测试表明该系统有明显优点，但准确性受门限值影响较大。为解决存在不足，引入暗网技术，根据仿真分析对系统进行相应改进，并在某专用网络中进行了测试。结果显示该系统比在用系统更早发现网络蠕虫，且时间提前明显。     

基于FPGA的硬件蠕虫检测系统的设计与实现

分析了现有的蠕虫检测算法的优缺点,提出了基于数据包统计的蠕虫检测算法。该算法简单有效,适合硬件实现。同时设计了一个硬件蠕虫检测系统,最终在FPGA上实现,并对其进行了仿真与综合,验证了设计的正确性。本检测系统适合用于嵌入网卡,实时监测蠕虫,所以该基于FPGA的硬件蠕虫检测系统对蠕虫的检测和抑制具有积极的意义。     

面向异构网络环境的蠕虫传播模型Enhanced-AAWP

合理地建立蠕虫传播模型将有助于更准确地分析蠕虫在网络中的传播过程。首先通过对分层的异构网络环境进行抽象,在感染时间将影响到蠕虫传播速度的前提下使用时间离散的确定性建模分析方法,推导出面向异构网络环境的蠕虫传播模型Enhanced-AAWP。进而基于Enhanced-AAWP模型分别对本地优先扫描蠕虫和随机扫描蠕虫进行深入分析。模拟结果表明,NAT子网的数量、脆弱性主机在NAT子网内的密度以及本地优先扫描概率等因素都将对蠕虫在异构网络环境中的传播过程产生重要的影响。     

Multi-agent system for Worm Detection and Containment in Metropolitan Area Networks

Active worms can cause widespread damages at so high a speed that effectively precludes humandirected reaction, and patches for the worms are always available after the damages have been caused, which has elevated them self to a first-class security threat to Metropolitan Area Networks （MAN）. Multi-agent system for Worm Detection and Containment in MAN （MWDCM） is presented to provide a first-class automatic reaction mechanism that automatically applies containment strategies to block the propagation of the worms and to protect MAN against worm scan that wastes a lot of network bandwidth and crashes the routers. Its user agent is used to detect the known worms. Worm detection agent and worm detection correlation agent use two-stage based decision method to detect unknown worms. They adaptively study the accessing in the whole network and dynamically change the working parameters to detect the unknown worms. MWDCM confines worm infection within a macro-cell or a micro-cell of the metropolitan area networks, the rest of the accesses and hosts continue functioning without disruption. MWDCM integrates Worm Detection System （WDS） and network management system. Reaction measures can be taken by using Simple Network Management Protocol （SNMP） interface to control broadband access server as soon as the WDS detect the active worm. MWDCM is very effective in blocking random scanning worms. Simulation results indicate that high worm infection rate of epidemics can be avoided to a degree by MWDCM blocking the propagation of the worms.     

分布式入侵检测系统在烟草生产工业控制网络中的应用

工业控制网络是一种专门服务于工业网络建设及发展的控制网络技术，已经被应用于烟草生产工业等领域。分布式入侵检测系统在烟草生产工业控制网络中的应用，能提高烟草生产效率及安全性，并加快烟草生产工业的网络建设及发展速度。但在烟草生产工业控制网络中，依然存在木马病毒、蠕虫、人为攻击等网络安全问题，轻者会导致企业的重要信息及私密文件泄露，重者会直接给企业造成巨大的经济损失，因此必须在烟草生产工业的控制网络中应用入侵检测系统。     

无线传感器网络入侵检测系统

无线传感器网络与传统网络存在较大差异,传统入侵检测技术不能有效地应用于无线传感器网络。文中分析了无线传感器网络面临的安全威胁;总结了现有的无线传感器网络入侵检测方案;在综合现有无线传感器网络入侵检测方法的基础上,提出了一种分等级的入侵检测系统,该入侵检测体系结构通过减少错报能检测到大多数的安全威胁。     

无线网络数据安全模型研究及实现

根据无线网络的拓扑结构,比较了有线网络和无线网络存在的差异性,分析了无线网络存在的安全问题及其脆弱性;分析了WEP协议存在的严重缺陷,给出了改进方案;基于虚拟专用网技术,提出了无线网络的安全性架构;给出了针对无线网络的入侵检测模型和网络异常行为检测策略。     

跨界思索,从甲型H1N1流感看木马检测防范

自2003年SARS以来,具备广泛传染性的病毒事件屡见不鲜(如禽流感、甲型H1N1)。笔者曾经写过一篇文章,粗谈在面对类似SARS这种突发的网络安全事件中,检测、预警、应急体系的思路。时隔多年,网络安全的总体形势在发生变化,目前的主要威胁方式从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,通过地下挂马产业链,窃取机密文件、隐私信息、各种账号,从而谋取暴利,并组建僵尸网络,发动群体攻击,严重威胁互联网的生存和发展。本文研究和分析了甲型N1N1这一事件对于木马检测防范的启示。     

Design and analysis of intrusion detection systems for wireless mesh networks

Intrusion is any unwanted activity that can disrupt the normal functions of wired or wireless networks. Wireless mesh networking technology has been pivotal in providing an affordable means to deploy a network and allow omnipresent access to users on the Internet. A multitude of emerging public services rely on the widespread, high-speed, and inexpensive connectivity provided by such networks. The absence of a centralized network infrastructure and open shared medium makes WMNs particularly susceptible to malevolent attacks, especially in multihop networks. Hence, it is becoming increasingly important to ensure privacy, security, and resilience when designing such networks. An effective method to detect possible internal and external attack vectors is to use an intrusion detection system. Although many Intrusion Detection Systems (IDSs) were proposed for Wireless Mesh Networks (WMNs), they can only detect intrusions in a particular layer. Because WMNs are vulnerable to multilayer security attacks, a cross-layer IDS are required to detect and respond to such attacks. In this study, we analyzed cross-layer IDS options in WMN environments. The main objective was to understand how such schemes detect security attacks at several OSI layers. The suggested IDS is verified in many scenarios, and the experimental results show its efficiency.