基于数据挖掘和蜜罐的新型入侵检测系统研究

文中对基于数据挖掘和蜜罐技术的新型入侵检测系统进行了研究。简单介绍了入侵检测系统和蜜罐技术的概念及优缺点,及入侵检测系统和蜜罐系统的互补性。进而提出将其两者相结合的方案,分析其模型,并将数据挖掘技术融入其中,构成新型的入侵检测系统。该系统提高了蜜罐系统对资源的保护及对攻击数据的分析能力,有效的增强了入侵检测系统的防护能力。     

联动式网络入侵防御系统的研究

针对单一技术在网络安全防御上的局限性,提出了用防火墙、入侵检测系统(Snort)、蜜罐三种技术组成共同对抗网络入侵的联动式防御系统.联动系统增加了入侵检测系统的联动插件,扩展了防火墙动态加入重定向规则功能,设置了蜜罐主机监视攻击,实现了三者的紧密互动.介绍了系统的结构、工作流程以及联动方案,并做了攻击实验,结果证明,联动防御系统对大规模的蠕虫攻击能够即时抵制.     

对于IP地址攻击有效的混合蜜罐入侵检测系统

提出在入侵检测系统中融合蜜罐技术并应用在分布式的网络环境中。主要目的就是通过单播IP地址攻击和组播的IP地址攻击对比单独入侵检测系统与融合了蜜罐技术的入侵检测系统检测攻击的有效性。混合蜜罐网络由Snort和Honeyd组成,Snort的作用是入侵检测而Honeyd组成蜜罐系统。Honeyd安装在Linux系统中,这个系统的传感器探测Snort和Honeyd是否传送数据到主数据库。使用NESSUS对实验数据进行分析。提供给管理员一种更有效的网络管理方式。     

基于规则的蜜罐脚本动态调用

如今互联网呈现出一种爆炸式发展的态势,与此同时互联网上的各种黑客攻击和病毒也泛滥开来。蜜罐技术（Honeypot）是一种对抗病毒的技术手段,它会主动吸引黑客和病毒的攻击,利用脚本虚拟出的主机服务与黑客和病毒交互。传统的蜜罐脚本调用需要修改蜜罐的配置文件,手动静态添加对应的脚本名。基于入侵检测系统规则的动态调用蜜罐脚本的方法无需手动配置,它可以自动识别攻击类型,根据不同的攻击调用不同的脚本,最后更新规则库。     

基于主被动结合的网络入侵检测系统的设计与实现

提出了一种新的基于主被动结合的网络入侵检测系统。详细论述了新的网络入侵检测系统的设计方案，关键技术的研究与实现。本系统所设计的关键技术模块有信息采集模块、蜜罐技术原理和部署模块以及黑板管理模块。该系统采用主动专家系统进行高效的入侵检测，结合蜜罐技术来收集网络中出现的各种攻击信息，运用人工智能的方法将这些攻击信息进行融合、训练，提取和更新攻击知识库，具有一定的自主学习功能和自适应性。     

入侵检测系统的发展

在2001～2003年之间．蠕虫病毒大肆泛滥．红色代码，尼姆达、震荡波此起彼伏。由于这些蠕虫多是使用正常端口．除非明确不需要使用此端口的服务，防火墙是无法控制和发现蠕虫传播的．而入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测．一时间入侵检测名声大振．和防火墙．防病毒一起并称为“网络安全三大件”。     

赛门铁克推出基于诱骗式的入侵检测系统

赛门铁克公司近日发布了一款采用“蜜罐”技术的入侵检测系统 Symantec Decoy Server,它可以在发生非法访问和系统误用等情况时,对其进行检测、遏制和监控;对主机式和网络式IDS具有互补作用,既能分流来自关键资源的攻击,又能早期检测内部和外部攻击。“蜜罐”技术可以对防火墙和其它入侵检测系统等安全解决方案发挥补充作用,提供先进诱骗技术和早期检测感应器。除了法律上的各种因素之外,还可以将“蜜罐”技术用作减少误报的工具。Symantec Decoy Server可以对威胁进行早期检测,并通过充当攻击的实际目标,实现攻击的分流和遏制。诱骗感…     

入侵检测系统研究进展

信息安全是人们高度关注的问题,我国信息安全与网络的防护能力尚处于发展的初级阶段.回顾了入侵检测系统的起源及其发展过程.在阐述入侵检测基本概念和类型的基础上,指出了目前各种入侵检测系统的优点和局限性.数据挖掘技术是克服目前入侵检测系统局限性的一种有效方法.介绍了数据挖掘的概念,并提出了一种基于数据挖掘的入侵检测系统框架.蜜罐系统和蜜网系统也是当前研究的热点问题,对其进行了分析,给出了应用实例.最后指出了下一步研究应该努力的方向.     

基于蜜罐日志的关联规则挖掘研究

随着网络攻击数量和种类的不断增加,基于蜜罐（Honeypot）系统的海量攻击日志分析变得更加困难和耗时。仅仅凭借一个事件推断黑客意图和行为是非常困难的。这就要求在蜜罐系统的研究中进行整体性分析,数据挖掘技术就是这样的整体性分析工具。首先阐述了蜜罐系统的原理,然后以开源蜜罐系统Honeyd捕获的真实日志数据为例,使用关联规则挖掘先验（Apriori）算法对日志的特定属性进行分析,找出不同网络连接记录属性之间的关联规则,从中发现并理解攻击者的攻击行为和攻击模式,验证了数据挖掘技术应用于蜜罐日志分析中的可行性。     

基于数据挖掘的分布式入侵检测系统

简单介绍传统入侵检测系统,进而提出基于数据挖掘的分布式入侵检测系统模型,讨论了为了实现该模型所需要的数据挖掘技术.这些技术的应用,可以有效检测大规模协同攻击,提高分布式入侵检测系统的自适应性和可扩展性.     

Novel intrusion prediction mechanism based on honeypot log similarity

The current network‐based intrusion detection systems have a very high rate of false alarms, and this phenomena results in significant efforts to gauge the threat level of the anomalous traffic. In this paper, we propose an intrusion detection mechanism based on honeypot log similarity analysis and data mining techniques to predict and block suspicious flows before attacks occur. With honeypot logs and association rule mining, our approach can reduce the false alarm problem of intrusion detection because only suspicious traffic would be present in the honeypots. The proposed mechanism can reduce human effort, and the entire system can operate automatically. The results of our experiments indicate that the honeypot prediction system is practical for protecting assets from attacks or misuse.     

无线局域网中辅助NIDS的蜜罐的实现

无线网络入侵监测系统(NIDS)还不能应对流量过载和新型攻击的问题,这制约着它的发展.蜜罐使用不同的实现方法可以达到不同的目的.文中主要研究无线局域网中如何利用蜜罐来辅助NIDS设计的问题.文中概述了无线NIDS中存在的安全问题,分析了802.11b中无线NIDS和蜜罐结合的可能性,提出了无线局域网中利用hot zone来辅助NIDS的方案.通过在校园网里部署这一系统,得到了针对客户机和AP的攻击信息,最后人工对整个系统进行测试,证明了这一设计的正确性.     

基于蜜罐技术的网络入侵研究

蜜罐是近几年发展起来的一种主动防御安全技术。文章首先综述了当前网络安全技术的应用和不足,分析了蜜罐技术的研究现状。提出了一个SNIBH入侵检测模型,设计并实现了数据捕获及分析等基本功能。分析收集的入侵者信息,从中提取入侵特征,以便提高入侵检测能力,使被动防御体系向主动的防御系统转化。     

An auto-learning approach for network intrusion detection

In this paper, we propose a novel intrusion detection technique with a fully automatic attack signatures generation capability. The proposed approach exploits a honeypot traffic data analysis to build an attack scenarios database, used to detect potential intrusions. Furthermore, for an effective and efficient intrusion detection mechanism, we introduce several new or adapted algorithms for signature generation, signature comparison, etc. Finally, we use DARPA’99 and UNSW-NB15 traffic to evaluate the proposed approach. The results indicate that the generated attack signatures are of high quality with low rates of false negatives and false positives.     

基于数据挖掘技术的入侵检测系统

设计一个基于数据挖掘技术的入侵检测系统模型。该模型针对现有入侵检测系统在处理大量数据时,挖掘速度慢．自适应能力差的缺点,引入数据挖掘技术使其能从大量数据中发现入侵特征和模式。介绍其核心模块工作流程。实验结果表明该模型不仅能有效提高系统的检测速度,降低误报率,同时还能有效检测新的入侵行为。     

基于数据挖掘技术的入侵检测系统

设计一个基于教据挖掘技术的入侵检测系统模型.该模型针对现有入侵检测系统在处理大量数据时,挖掘速度慢.自适应能力差的缺点.引入数据挖掘技术使其能从大量数据中发现入侵特征和模式.介绍其核心模块工作流程.实验结果表明该模型不仅能有效提高系统的检测速度,降低误报率,同时还能有效检测新的入侵行为.     

蜜罐识别技术研究

蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术,它的核心价值在于被探测、被攻击或者被威胁,以此达到对这些攻击活动的检测与分析,从而了解攻击者的目的、攻击手段甚至于心理习惯,最终实现从观察攻击者的行为中学习到深层次的信息保护的方法。在蜜罐技术的应用过程中,最为关键的一点就是蜜罐系统对攻击者所具有的迷惑性。从蜜罐系统特有的系统特征、硬件特征以及网络特征出发,分析各种蜜罐系统或者虚拟机系统中可能存在的一些可识别的特性,提出一些识别方案并针对部分方法进行了编程识别,希望能够引起安全行业的重视,能够推动蜜罐技术的发展。     

网络信息安全技术管理视角下的计算机应用

文中对网络信息安全技术管理视角下的计算机应用进行了研究,阐述了常见的几种计算机网络信息安全问题,如电脑病毒侵害问题、电脑黑客的恶意攻击问题、计算机软件漏洞问题等,并提出了切实可行的应用措施,包括建立健全信息技术安全管理机制,应用防病毒技术、身份验证技术、信息隐藏技术和敏感入侵检测技术等,以实现对网络信息安全的技术管理。