SYN Flood(洪泛)攻击的检测与防范

本文针对目前互联网上大量出现的SYN Flood攻击,从网络协议原理上进行分析,根据攻击程序伪造IP地址的方法,将攻击数据进行分类,从而实现对SYN Flood攻击的检测与防范。     

一种提高状态检测防火墙抵御Syn Flood攻击的方法

针对影响状态检测防火墙性能的Syn Flood攻击,分析了Syn Flood攻击的原理,基于Patricia tries构造半开连接表来处理TCP连接建立的过程,提出了一种利用端口队列来跟踪每个半开连接,根据SYN数据包的统计和状态检测来抵御SynFlood攻击的方法.实验结果表明,该方法在占用较少的系统资源的情况下,有效的提高了状态检测防火墙对Syn Flood攻击的防御能力.     

基于数据挖掘技术的Snort入侵检测系统的研究

提出了一个基于数据挖掘技术的Snort入侵检测系统的模型。它以Snort入侵检测系统框架为基础,应用数据挖掘技术构建系统正常行为模式,过滤掉网络数据流量中占绝大部分的正常数据,提高了Snort的检测效率。同时,它还可以在一定程度上检测未知攻击,提高了Snort对未知攻击的检测能力。实验表明,该模型具有较好的效益。     

一个新的SYN Flood攻击防御模型的研究

针对现有的SYN Flood攻击防御方法的不足,本文提出了一个基于TCP连接三次握手的新的防御模型。当系统检测到SYN Flood攻击后,立即把那些占用系统资源的带有典型攻击特征的第一次握手请求永久抛弃,以保证新的正常请求能够被接受;而把其他带有疑似攻击特征的第一次握手请求暂时抛弃,尔后启动自适应学习模块来修正现有的入侵模式,最后再启动SYN Flood攻击检测模块来进一步精确判定。在此基础上设计实现了一套新的SYN Flood攻击防御系统。实验测试结果表明,本入侵防御系统能有效地帮助整个系统提高对抗SYN Flood攻击的能力。     

小IP报文攻击的入侵检测方法研究

入侵检测技术是网络安全领域中的新技术,但它发展还不成熟,很多攻击方法利用它的缺陷进行攻击。其中小IP报文攻击利用Windows和Linux对有数据重叠的报文处理方式不一样进行攻击。论文提出了小IP报文攻击的入侵检测方法,并采用Snort工具进行实验,使得Snort和被保护主机对有数据重叠的报文的处理方式一致,从而使Snort发生误报、漏报的次数明显减少,为实现网络安全提供了有益的借鉴。     

预处理插件在IPv6入侵检测系统中的应用

Snort是一个功能强大的轻量级NIDS,它能够检测出各种不同的攻击方式,并能对攻击进行实时告警.针对Snort没有提供对IPv6地址前缀攻击检测支持的问题,提出利用预处理插件检测该类攻击的解决方案,给出了插件的检测流程.实验结果表明,该插件对地址前缀欺骗攻击具有较高的检测率,是一种有效的入侵检测系统插件.     

入侵检测系统分析及改进

在对Snort工作流程分析的基础上,提出了分层检测方法.该方法的主要特点是在进行入侵检测时,已检测出的底层攻击将不在高层中进行检测.通过对Snort进行改进,可提高Snort的检测率并减少误报率.实验证明改进后的方法切实可行,并能有效提高Snort的检测效率.     

基于Snort的校园网ARP欺骗检测应用研究

首先分析了Snort网络入侵检测系统,然后剖析了ARP协议工作原理及ARP欺骗攻击的过程.根据校园网的网络结构特点,在网关上安装Snort,通过修改Snort配置文件,添加输出ARR头部信息的Snort输出插件,实现对校园网ARP欺骗的检测预防.     

关于针对DDoS中Flood攻击的防御系统的研究

本文主要针对DDoS中的Flood攻击的攻击特点,提出一种防御系统的结构,能够满足对不同Flood攻击检测的简易性、有效性的要求,并且与网络的地理位置、拓扑结构规模无关。该系统主要划分为检测攻击和确定攻击目标两个阶段。检测攻击阶段根据时攻击特征有较好描述性的源地址、目标地址、TCP报文的标志以及ICMP报文的类型,检测攻击是否发生。当检测出攻击发生,启动确定攻击目标阶段,找山攻击目标的具体IP地址。最后综合这两阶段的结果,提取攻击特征,将满足这些特征的数据包过滤掉,达到防御的效果。     

一种基于网络行为的入侵检测方法

目前,入侵检测系统Snort还没有好的方法来检测和分析网络行为。文章通过对网络入侵检测流程的分析,基于网络的入侵攻击行为特征,构建出一种攻击树,按照攻击树的方法对数据流进行行为匹配,检测出入侵攻击行为。实验证明,这一基于网络行为匹配的入侵检测方法,大大提高了Snort的入侵检测能力。     

网络入侵检测系统NIDS的Snort工具的研究

随着互联网的迅速普及,其安全技术的重要性已经日益突出,IDS(IntrusionDetectionSystem)是网络安全技术的重要组成部分之一。NIDS是基于审计的IDS,通过被动地分析网络的流通信息包括数据包的报头和数据信息以达到检测网络异常行为的发生。Snort是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统(NIDS)。本论文通过介绍NIDS中Snort工具的检测规则、功能结构、程序结构以及与其它NIDS工具的比较,讨论了Snort的不足之处,并对其的改进提出了一些建议性的思路,以期能在进一步的研究中起到抛砖引玉的作用。     

基于数据挖掘算法的网络入侵检测系统研究

回顾了当前入侵检测技术和数据挖掘技术,分析了Snort网络入侵检测系统存在的问题,重点研究了数据挖掘中的关联算法Apriori算法和聚类算法K一均值算法;在Snort入侵检测系统的基础上,增加了正常行为挖掘模块、异常检测模块和新规则生成模块,构建了基于数据挖掘技术的网络入侵检测系统模型。新模型能够有效地检测新的入侵行为,而且提高了系统的检测效率。     

Analysis of update delays in signature-based network intrusion detection systems

Network Intrusion Detection Systems (NIDS) play a fundamental role on security policy deployment and help organizations in protecting their assets from network attacks. Signature-based NIDS rely on a set of known patterns to match malicious traffic. Accordingly, they are unable to detect a specific attack until a specific signature for the corresponding vulnerability is created, tested, released and deployed. Although vital, the delay in the updating process of these systems has not been studied in depth. This paper presents a comprehensive statistical analysis of this delay in relation to the vulnerability disclosure time, the updates of vulnerability detection systems (VDS), the software patching releases and the publication of exploits. The widely deployed NIDS Snort and its detection signatures release dates have been used. Results show that signature updates are typically available later than software patching releases. Moreover, Snort rules are generally released within the first 100 days from the vulnerability disclosure and most of the times exploits and the corresponding NIDS rules are published with little difference. Implications of these results are drawn in the context of security policy definition. This study can be easily kept up to date due to the methodology used.     

基于Snort的IPv6入侵检测技术

针对开源入侵检测系统Snort没有提供对IPv6协议的AH和ESP扩展首部支持的问题,提出利用Snort检测ESP加密报文的解决方案。构造ESP检测规则,在Snort协议分析模块加入DecodeESP()函数并添加密钥管理模块,实现Snort对IPv6报文中ESP扩展报头的解析,管理其产生的密钥。给出一种面向ESP的入侵检测系统模型,以验证IPv6加密通信入侵检测的可行性,并给出实验验证过程。     

用于网络入侵检测的模式匹配新方法

针对新一代网络入侵检测系统(NIDS)的创建需要先进的模式匹配引擎,提出一种模式匹配的新方案,利用基于硬件的可编程状态机技术(B-FSM)来实现确定性处理过程。该技术可以在一个输入流中同时获取大量模式,并高效地映射成转换规则。通过对网络入侵检测系统中普遍采用的规则集(Snort)进行实验,实验结果表明该方法具有存储高效、执行速度快、动态可更新等特点,可以满足NIDS的需要。     

基于网络的入侵检测系统的研究及实现

随着网络技术的发展,保护信息以及网络的安全变得越来越重要。文中归纳了入侵检测系统的结构和类别,并提出了一个基于网络的入侵检测系统的设计思想。该系统在Linux操作系统下以Snort为内核,MySQL作为后台数据库,用PHP开发实现。最后分析了该系统的可以改进的方面以及网络入侵检测目前面临的问题。     

基于Snort的入侵检测系统在校园网的应用

面对越来越复杂的互联网络环境,传统安全体系受到严重威胁,入侵检测系统(Intrusion Detection System,IDS)已经成为安全系统中重要的组成部分。该文简要地介绍了入侵检测系统的分类、原理和系统结构。并以著名开源NIDS Snort为例,设计并实现了一个校园网入侵检测系统。     

提高Snort规则匹配速度的新方法

对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。