基于移动代理和动态拓扑的分布式入侵检测

运行中网络的拓扑结构是动态变化的,因此提出了一种针对WAN环境设计的基于移动代理和动态拓扑的分布式入侵检测模型.该模型使用移动代理来实现入侵证据的收集、分析,通信和同步机制,并通过移动代理来跟踪运行中网络拓扑结构的动态变化以及网络入侵检测,并讨论了该模型的更新机制.     

移动Ad Hoc网络的入侵响应研究

传统网络中的入侵阻止和检测等防护方法在网络结构脆弱、节点移动的移动自组网络中无法达到预期效果。将移动代理引入无线自组网络中,设计分布式入侵检测响应系统,通过多种功能的移动代理实现入侵检测功能,并在入侵检测的基础上利用移动代理跟踪、隔离入侵节点,对入侵节点做出及时响应。实验结果表明此方法节省网络节点资源、避免网络的崩溃且达到主动响应隔离入侵节点的效果,有效地检测并阻止了入侵行为。     

高校办公网入侵检测系统研究

随着计算机和网络技术的发展，网络入侵事件的日益增加，人们发现只从防御的角度构造安全系统是不够的，入侵检测成为继“防火墙”、“数据加密”等传统安全保护措施后新一代的网络安全保障技术。本文首先介绍入侵检测原理和分布式入侵检测方面的相关工作．在分析已有分布式入侵检测系统模型的基础上，提出了一个基于代理的校园网入侵检测系统模型框架。该模型采用分布式的体系结构．由一个代理控制中心和若干代理组成．结合了基于网络和基于主机的入侵检测方法。使用代理技术在分布式环境下对入侵进行检测，可以有效地检测各种入侵．并具有很好的可扩充性。     

高校办公网入侵检测系统研究

随着计算机和网络技术的发展,网络入侵事件的日益增加,人们发现只从防御的角度构造安全系统是不够的,入侵检测成为继“防火墙”、“数据加密”等传统安全保护措施后新一代的网络安全保障技术。本文首先介绍入侵检测原理和分布式入侵检测方面的相关工作,在分析已有分布式入侵检测系统模型的基础上,提出了一个基于代理的校园网入侵检测系统模型框架。该模型采用分布式的体系结构,由一个代理控制中心和若干代理组成,结合了基于网络和基于主机的入侵检测方法。使用代理技术在分布式环境下对入侵进行检测,可以有效地检测各种入侵,并具有很好的可扩充性。     

网络拓扑多端扫描机制的研究

网络拓扑的获取是网络管理的一个重要任务。传统的网络拓扑扫描无法实现拓扑的增量扫描,不能及时更新拓扑和响应管理者的操作。为了更实时快速地反映拓扑信息及其变化,文中提出了网络拓扑多端扫描的遍历机制,利用并行高效的网络多端遍历模型,通过SNMP收集网络的路由等状态信息,检测并控制节点的状态属性,采集准确的网络拓扑并存储。同时针对网络拓扑实时变化追踪对网络管理的即时要求,提出了网络拓扑档案的概念,并针对拓扑档案的更新、比对与输出等问题进行讨论。     

网络已知攻击类型的防御方法

随着网络的发展,网络的安全问题逐渐被人们所认识。网络攻击行为的不断发生,促使网络安全系统的诞生。该文提出的一个分布式入侵检测模型,能够对常见的具有攻击特征的入侵行为进行防御,同时在设计模型时,注意了标准化的设计,因此系统具有很高的升级性、可扩充性和适应性。最后,给出的端口扫描、嗅探器和IP欺骗防御代理设计,说明了如何进行标准化的代理设计满足模型目标。     

含分布式能源的主动配电网实时拓扑追踪

随着各种分布式能源接入配电网,配电网的潮流分布随分布式能源的运行方式转换而变化,传统仅考虑配电网拓扑结构的拓扑追踪方法不再适用,需要考虑配电网潮流方向变化对拓扑追踪的影响。本文根据配电网中主要电力设备及其连接关系建立了拓扑模型,基于配电网状态估计结果获取配电网的潮流分布,结合拓扑模型以及潮流分布给出计算各开关潮流的方法,在此基础上建立了基于潮流方向的连接节点/支路模型,并将该模型应用于拓扑追踪。文中列举了了多个拓扑追踪的应用场景,分别描述了各应用场景下的拓扑追踪实施方法。通过实例分析可知,文中的拓扑追踪方法充分考虑了多种分布式能源在不同运行方式下对配电网的影响,计算方法快速、结果准确,能够为运行人员提供调度决策支持。     

通常网络环境下的可扩展的拓扑发现系统

网络拓扑发现技术的研究对于网络管理、模拟仿真以及服务器安置的选点均有很重要意义。网络拓扑发现的难处就在于网络本身没有为拓扑发现设置专门的机制。从网络基础设施工作原理及网络协议实现机理本身挖掘拓扑发现的功能支持的努力,大多分散在诸多的网络监察与探测工具中。该文在分析了诸如ping、traceroute、ripwatch等常用的网络工具用于网络拓扑发现的原理基础上,详细描述了一个将这些工具集成起来的分布式的可扩展的拓扑发现系统,并分析了综合运用所述各种技术于网络拓扑发现的一些规律。最后,概述了不断变化的现代网络给拓扑结构的发现所带来的新的挑战及今后的研究方向。     

基于分布协作式代理的网络入侵检测技术的研究与实现

近年来,网络攻击变得越来越普遍,也越来越难于防范,传统的技术如防火墙难于满足目前网络安全的需要,一项新的网络安全技术－－网络入侵检测技术被提出,它能很好地解决其它技术的不足,但是目前的入侵检测技术在入侵检测的准确性和可靠性上还存在问题,为此,文中提出了一套新的基于分布协作式代理的网络入侵检测技术,这项技术通过代理的协同工作来阻止本地主机和整个网络的入侵行为,并且能够发现入侵者的入侵线路,这样就为彻底根除入侵提供了手段,该项技术通过实践的测试,表现出了良好的性能,并能有效地阻止多种入侵行为。     

基于无线传感器的物联网网络拓扑发现算法研究

在基于无线传感器的物联网中,由于传感器硬件设备的局限性和动态性,以及组成的网络通信带宽有限等,在网络中准确、及时地获取网络的拓扑信息变得非常困难,而如何全面、准确、快速地进行网络拓扑发现对于物联网的网络管理、故障定位和拥塞控制等研究和更多的上层应用具有重要的意义。提出了一种基于移动代理的模糊动态拓扑发现算法的设计方案。不仅通过构造网络模糊拓扑信息的处理方法和移动代理的迁移、活跃度等相关策略模型,给出了移动代理和传感器节点的最优拓扑发现数量比,而且还根据模糊知识处理已有的研究,获得了完整的基于传感器的物联网网络拓扑发现算法。通过实验验证表明,本算法不仅改进了网络拓扑的发现效率,并且具有较小的网络能耗等。     

应用扩张矩阵理论的攻击特征提取

近年来随着因特网的飞速发展,计算机系统也面临着越来越多的安全威胁。国内外不少研究人员为此提出了许多种基于软计算的方法用于检测网络攻击。给出了一种基于扩张矩阵理论的攻击特征提取方法,通过构造攻击子集和正常子集的扩张矩阵,建立其最优特征子集选择的整数规划模型,并利用简单遗传算法求解,最终生成可用于检测特定类型攻击的最优规则。在KDD Cup99数据集上的实验结果表明,该方法具有较高的正确检出率和可接受的低误报率。     

基于粗糙集理论的网络入侵检测方法

提出了基于粗糙集理论的网络入侵检测方法,应用混合遗传算法求解粗糙集的约简,减少了计算时间。实验结果表明,该方法对DoS和Probe攻击具有很高的检测率和较低的误检率,并且对U2R和R2L攻击也有较好的检测率。     

Compiling network traffic into rules using soft computing methods for the detection of flooding attacks

The ability to dynamically collect and analyze network traffic and to accurately report the current network status is critical in the face of large-scale intrusions, and enables networks to continually function despite of traffic fluctuations. The paper presents a network traffic model that represents a specific network pattern and a methodology that compiles the network traffic into a set of rules using soft computing methods. This methodology based upon the network traffic model can be used to detect large-scale flooding attacks, for example, a distributed denial-of-service (DDoS) attack. We report experimental results that demonstrate the distinctive and predictive patterns of flooding attacks in simulated network settings, and show the potential of soft computing methods for the successful detection of large-scale flooding attacks.     

基于时序逻辑的3种网络攻击建模

与其他检测方法相比,基于时序逻辑的入侵检测方法可以有效地检测许多复杂的网络攻击。然而,由于缺少网络攻击的时序逻辑公式, 该方法不能检测 出常见的back,ProcessTable以及Saint 3种攻击。因此,使用命题区间时序逻辑(ITL)和实时攻击签名逻辑(RASL)分别对这3种攻击建立时序逻辑公式。首先,分析这3种攻击的攻击原理;然后,将攻击的关键步骤分解为原子动作,并定义了原子命题;最后,根据原子命题之间的逻辑关系分别建立针对这3种攻击的时序逻辑公式。根据模型检测原理,所建立的时序逻辑公式可以作为模型检测器(即入侵检测器)的一个输入,用自动机为日志库建模,并将其作为模型检测器的另一个输入,模型检测的结果即为入侵检测的结果,从而给出了针对这3种攻击的入侵检测方法。     

基于统计分析的DDoS攻击检测

分析了分布式拒绝服务（Distributed Denial of Service,DDoS）攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。     

A cooperative agent-based model for active security systems

This paper presents a multi-agent model for implementing active security concepts. In this model, a group of agents can carry out their tasks cooperatively in order to achieve an ultimate security goal. Thus a low-level module of the proposed model reads the values of interesting data items of the relevant current network events and passes them to a relational database. Comparing these measurements against predefined values in an intruder signature database may point to a particular attack.The proposed model consists of two parts. (1) A multiagent Intrusion Detection System (MIDS) for detecting attacks. (2) An Active Security Mechanism (ASM) for taking active, network-wide, response against attackers. The proposed approach provides a customizable host environment built from various systems software components to allow an optimal match between the intrusion circumstances and the underlying security architecture. Thus, different frameworks can support alternative responses of existing security services. In addition, the ASM can take rapid response against attacks by making use of sensible sharing of attack intelligence. System agents communicate with each other on different hosts using an agent communication language through a message router.     

针对网络入侵检测系统的攻击及防御

Internet的使用越来越广泛,随之而来的网络安全已成为人们关注的焦点。入侵检测系统作为一种对付攻击的有效手段,已为越来越多的单位所采用。然而一旦攻击者发现目标网络中部署有入侵检测系统IDS,那么IDS往往成为他们首选的攻击目标。该文详细分析了针对网络IDS的几种攻击类型,即过载攻击、崩溃攻击和欺骗攻击,以及如何防御这些攻击,这对于IDS的设计具有一定的借鉴意义。     

DDoS攻击分类与效能评估方法研究

DDoS攻击是一类常见而又难以防范的网络攻击模式，对Internet网络系统的正常运行构成了巨大威胁。DDoS攻击的分类方法和攻击效能评估是计算机网络攻防对抗研究的一项重要而紧迫的任务。本文介绍了DDoS攻击的原理、方法、一般概念和主要目标，研究了基于攻击代理的传播模式、通讯方式、作用机制等特征的DDoS攻击分类方法体系，分析了DDoS攻击的攻击效能评价指标体系。在分析了DDoS攻击效能评估的特点的基础上提出了DDoS攻击效能评估的模糊评价评估模型。     

基于网络拓扑的攻击响应系统设计

在复杂的网络环境下,威胁网络安全的各种攻击越来越多。为了帮助用户了解网络结构,方便地管理网络设备,同时对来自网络的攻击能够采取及时、有效的响应措施,本文提出了一个基于网络拓扑的攻击响应系统。该系统在收集网络拓扑信息以及显示网络拓扑图方面较其他攻击响应系统有了较大改进;系统在得到拓扑图的前提下进行响应措施的实现,使得响应速度和目标的准确性等方面得到了更大改善。