工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。     

一种基于Web 群体外联行为的应用层DDoS 检测方法

由于攻击者采用各种技术手段隐藏攻击行为,DDoS攻击变得越发难以发现,应用层DDoS成为Web服务器所面临的最主要威胁之一。从通信群体的层面分析 Web 通信的外联行为特征的稳定性,并提出了一种应用层DDoS检测方法。该方法用CUSUM算法检测Web群体外联行为参数的偏移,据此来判断DDoS攻击行为的发生。由于外联行为模型刻画的是Web通信群体与外界的交互,并非用户个体行为,所以攻击者难以通过模仿正常访问行为规避检测。该方法不仅能够发现用户群体访问行为的异常,而且能够有效区分突发访问和应用层DDoS攻击。模拟实验结果表明,该方法能够有效检测针对Web 服务器的不同类型的DDoS攻击。     

基于半连接列表的SYN泛洪攻击检测

针对攻击性极大的SYN泛洪攻击,提出一种检测方法。分析SYN 泛洪的攻击特征,在每个时间间隔,对服务器的半连接列表进行统计,计算出未确认的表项数目,采用补偿方法形成基于时间的统计序列,使用改进的变动和式累积检验(PCUSUM)算法进行检测。实验结果表明,该算法不仅能够实现快速检测,且与同类工作相比具有更低的误报率,检测结果更准确。     

基于系统调用短序列的软件漏洞检测方法研究

软件受到攻击后将在所执行的系统调用状况中有所体现,因此可将基于系统调用的入侵检测技术应用于软件漏洞的检测。本文针对无源码的可执行程序,引入系统调用节点和系统调用上下文信息的概念来刻画软件行为的动态特性和漏洞的位置信息,利用改进的STIDE算法构造软件正常行为特征库来检测并定位漏洞。实验结果表明该方法能够准确获取软件行为信息,且具有较强的漏洞检测能力。     

一种改进的基于扩展攻击树模型的木马检测方法

木马作为恶意程序的一种,经常被作为黑客入侵利用的手段,这对网络安全和信息安全将造成极大的危害。提出一种改进的基于扩展攻击树模型的木马检测方法。通过分析PE文件,采用静态分析和动态行为监控技术相结合的检测方法提取程序API调用序列;并用信息增益的方法筛选出木马关键API短序列集合,作为构建扩展攻击树模型的特征库;将待检测程序以API短序列为行为特征与模型节点进行匹配、分析,同时改进了匹配节点的权值和危险指数的算法。最后给出扩展攻击树模型调整与优化的方法。实验结果表明,改进后的方法不仅在木马检测效率、准确度方面有较好的表现,还能检测出经过升级变种的木马。     

基于人工蜂群算法的分布式入侵攻击检测系统

针对网络入侵攻击检测系统检测准确率与计算效率较低的问题,提出一种基于人工蜂群算法的分布式入侵攻击检测系统。将训练集划分为若干的子集,使用特征选择方法提取特征集中类内相关性高、类外相关性低的特征;对人工蜂群算法进行修改,通过引入全局搜索能力强的算法提高人工蜂群算法的性能;根据优化的特征子集与规则集对网络入侵攻击行为进行分类处理。基于网络入侵数据集的实验结果表明,该系统实现了较高的检测性能和计算效率。     

抵抗恶意服务器的口令增强加密方案

口令增强加密是一个近年来新出现的原语,可以通过增加一个第三方密码服务提供商承担辅助解密的功能,抵抗已有的服务器猜测低熵口令即可解密带来的恶意离线攻击风险,即实现了对口令认证进行增强并增加加密的功能.结合近年来新出现的算法替换攻击威胁,对提出该原语工作中的方案给出了一种服务器积极攻击的方法,该攻击具有不可检测性且可以让服务器仍然能实施离线攻击,从而证明原方案不具备其声称的抵抗恶意服务器的功能.接着讨论与总结能够抵抗恶意服务器实施算法替换攻击的方案应当具备的性质与构造特点;随后,给出一个能够真正抵抗恶意服务器算法替换攻击的方案并给出了仿真结果;最后,对于复杂交互式协议受到算法替换攻击时的安全性影响需要的系统性研究进行了展望.     

一种改进的DRDoS检测算法

分布式拒绝服务攻击DDoS是互联网环境下最具有破坏力的一种攻击方式。检测并防御这种攻击是解决网络安全领域的重要课题。针对DRDoS的特性,采用了一种改进的DRDoS检测算法——T&A算法。DDoS攻击的预防解决了现有不同特定网络服务技术检测的不足的问题,提出了基于行为异常的方法进行检测的改进方案。通过模拟攻击实验证明,该算法不仅提升了检测率、降低了误报率,而且对资源的占用较少,具有较好预警功能。     

基于信息熵聚类的DDoS检测算法

采用信息熵进行DDoS特征表示,再采用K—means算法分析熵值,通过分析正常网络的分布规律,确定DDoS攻击检测的阑值,并根据阈值来更新正常行为的特征训练集或做出攻击响应。实验结果显示,这种方法可以快速完成训练与测试工作,能够有效检测DDoS攻击。     

自动划分区间中基于自适应攻击特征定位算法

网络攻击检测系统的检测性能与攻击特征的性质具有较强的关联性.网络中的攻击特征存在强随机性高复杂性的特点,传统算法在特征寻优过程中由于受到复杂性的影响,很难控制算法中的寻优速度,很容易造成在复杂环境下的算法不收敛,影响检测准确性.为提高准确性,提出了一种带粒子释放和速度约束的入侵检测算法,算法对采集得到的攻击特征自动划分区间,采用粒子释放控制的方法增强种群的多样性,避免算法出现局部最优现象,并采用速度约束释放后粒子收敛速度,优化检测入侵特征过程的寻优性能,获取准确的攻击特征.实验结果表明,粒子释放和速度约束方法具备较高的寻优性能以及收敛能力,是一种有效的攻击特征寻优算法.     

基于K-Means算法的Web日志用户聚类研究

Web日志作为服务器的记录文件,记录了网站最重要的信息,随着大数据时代数据量的骤然增加,提出一种应对大数据量的数据挖掘算法,更有效地分析日志文件迫在眉睫。用户聚类是在对日志文件进行数据预处理的基础上,建立用户会话序列矩阵,进而对其进行聚类分析,论文针对K-Means算法在选取初始中心点上存在的问题,以及在构建用户会话矩阵后存在的孤立点的问题,提出了一种密度参数和KCR算法的优化算法-ICKM算法,该算法利用密度参数最大的对象作为第一中心点,随后从数据集中将此对象删除,利用KCR算法寻找下一个中心点,算法借助MapReduce计算框架,提高大数据环境下的数据处理速度,通过实验表明,ICKM算法在寻找初始中心点以及用户聚类上具有较高的准确度,在处理大数据量的数据集时,有较好的的运算速度。     

结合近邻和密度思想的K-均值算法的研究

为了解决K-均值算法对初始聚类中心的依赖性,提出了一种新的选取初始聚类中心的算法。采用数据区内的最高密度点作为初始中心,基于近邻点属于同一聚类的特性,找到距离初始中心最远的点,将其加入初始聚类中心后再进行计算并依次下去的方法。该改进算法的初始聚类中心分布比较合理,而且剔除了孤立点对初始聚类中心的影响,从而可以得到更好的划分效果。实验表明,用改进的算法进行聚类更能够得到较高且稳定的准确率。     

构造型神经网络在故障诊断中的应用研究

提出一种新的故障诊断方法,以便更加有效地解决具有先验知识的故障分类问题。以先验样本点为中心,利用内积判断样本数据的相似度,从而进行聚类分析,在特征空间里作超平面与球面相交,得到一个球面覆盖领域,从而将神经网络训练问题转化为点集的覆盖问题。该算法以构造型神经网络为基础,其特点是直接对故障样本数据进行处理,由于覆盖中心确定,该算法构造出的是隐层元最少的网络结构,有效地克服了传统神经网络训练时间长、学习复杂的问题。计算机仿真实验结果证实了该算法的有效性。     

基于指纹分析的Web服务探测技术

准确掌握Web服务器的版本信息对于顺利进行计算机网络系统安全评估具有重要意义。该文通过banner分析了探测Web服务器版本信息的常规方法的局限性。介绍了通过指纹分析探测Web服务器版本信息的原理,以及Web服务器指纹信息的结构组成。给出了进行指纹匹配的算法模型和算法流程。通过实例验证了指纹分析方法在探测Web服务器版本信息方面的优越性。     

Web服务器的安全及负载平衡的研究与实现

随着博鳌网的正式投入使用,博鳌网所承担的信息事务的处理、网站访问量也日益增多,其面临遭遇黑客攻击的风险也越来越大,尤其是代表着单位形象的Web服务,更是需要安全的保障。因此我们研究计算机系统、网络和Web服务器的安全性并构建一个安全可靠的防护体系来保障博鳌网的正常运行。     

互联网通信中的信息选取与分布问题的建模与求解

讨论了互联网通信中的一个信息选取与规划问题。由于内部网的单个Web服务器容量不够大,不能容纳与日剧增的信息内容,如何将众多的信息分布到多个Web服务器上,使得每个服务器上存放的信息总量不超过各个服务器容量且避免访问瓶颈的发生;这是陈卫东等1999年提出的一个新问题,该文建立了该问题的一个优化新模型,在讨论了它的强NP－完全性,难近似性后,给出了一个伪多项式时间最优算法的一个多项式时间近似算法。     

中小型网站智能安全检测研究

随着互联网的发展及经济利益的驱动,黑客已将攻击重点转到web应用服务器上,由此危害了服务器安全及客户端安全。针对这一现状,文章首先采用广度优先算法实现网络爬虫来获取目标网站的架构信息;然后用网页动态参数判定、网站架构分析、信息智能识别等技术对网站安全进行辅助检测,用正则表达式过滤非法跨站请求,实现跨站脚本攻击检测;最后,用正则表达式和Python强大的库资源编程实现了应用安全的实时检测和评估功能。实验表明：该系统在一定程度上减少了Web恶意攻击行为所带来的损失,提高了应对网页信息安全突发事件的响应速度。     

图书自助借还终端系统的应用研究

传统的图书借还流程需要在人为辅助下进行且图书馆每天开放时间较短,在生活节奏快以及职业、生活多元化发展的今天,难以满足现代人的需求.为了提高图书借还效率,有效管理图书馆图书借还产生的数据,减少人力物力资源的损耗,本文研究设计了一个运用WIFI技术、RFID技术和WEB技术的自助图书借还终端系统.系统主要由自助借还书终端机...     

网络用户行为的隐私保护数据挖掘方法

隐私保护的数据挖掘近年来已经为数据挖掘的研究热点,Web网站的服务器日志保存了用户访问页面的信息,如果不加以保护会导致用户隐私数据的泄漏。针对这个问题,讨论了在Web数据挖掘中用户行为的隐私保护问题,进而提出一种将Web服务器日志信息转换成关系数据表的方法,并通过随机化回答方法产生干扰数据表项中信息,再以此为基础,提供给数据使用者进行频繁项集以及强关联规则的发现算法,从而得到真实保密的网上购物篮商品间的关联规则。经实验证明,提出的Web使用挖掘中的隐私保护关联规则挖掘算法隐私性较好,具有一定的适用性。     

具有抗几何攻击能力的盲数字图像水印算法

几何攻击作用在隐秘图像上,这导致检测水印失败,除非在检测水印之前能使受到几何攻击的隐秘图像恢复到与原始图像具有同样大小和位置,也就是恢复已失去的同步信息.为了做到这一点,解码器需要知道隐秘图像受到了怎样的几何攻击.文章提出了一种新的估计几何变换的方法,它利用图像的形殊点来实现这个目的.分别计算出原始图像和测试图像的形殊点集,通过模拟退火算法对两个形殊点集进行匹配,从而估计出几何变换的参数.所提出的方法在检测水印时不需要原始图像做参考,这是因为原始图像的形殊点信息已包含在密钥中.实验结果表明该方法对几何攻击和其它常用图像处理攻击具有鲁棒性.