基于协议分析的网络入侵检测技术

网络协议分析是网络入侵检测中的一种关键技术,当前主要方法是对网络层和传输层协议进行分析。文章基于状态转换进行协议分析和检测,以充分利用协议的状态信息检测入侵,有效地完成包括应用层协议在内的网络各层协议的分析,更加精确地定位了检测域,提高了检测的全面性、准确性和检测效率;这种方法综合了异常检测和误用检测技术,可以更有效地检测协议执行时的异常和针对协议的攻击,并且可检测变体攻击、拒绝服务攻击等较难检测的攻击。     

基于分布式数据安全入侵检测系统中误用检测算法研究

现在面对分布式数据传输的网络环境下,需要分布式数据安全的体系结构入侵检测系统来应对,这样才能一方面检测出分布式网络环境下的入侵行为,同时更容易检测出分布式攻击。由于协议分析技术通过对比网络信息与协议的差异性来检测入侵行为,它有着比模式匹配技术更好的性能。误用检测算法是分布式入侵检测系统中非常重要的检测算法之一。因此本文讨论了基于分布式数据安全误用检测技术入侵检测系模型和协议分析技术,并设计了误用检测算法以及对实行误用检测算法做了形式化语言的描述,用这一技术来确保数据的安全。     

基于数据挖掘和协议分析的可扩充IDS架构

由于TCP/IP协议的开放性,目前的网络极易受到攻击。文中详细介绍了入侵检测系统的主要思想和技术分类,通过比较不同类型入侵检测系统的优缺点,分析了应用于入侵监测系统的数据挖掘和协议分析技术,并在此基础上提出了一种新的基于安全管理的混合式可扩充入侵检测架构。该构架分层、简单、灵活,具有良好的扩充性。理论分析表明,该架构不仅能提高入侵检测的准确率,而且能提升系统效率,有很好的应用前景。     

基于数据挖掘和协议分析的可扩充IDS架构

由于TCP／IP协议的开放性，目前的网络极易受到攻击。文中详细介绍了入侵检测系统的主要思想和技术分类，通过比较不同类型入侵检测系统的优缺点，分析了应用于入侵监测系纺均数据挖掘和协议分析技术，并在此基础上提出了一种新的基于安全管理的混合式可扩充入侵检测架构。该构架分层、简单、灵活，具有良好的扩充性。理论分析表明，该架构不仅能提高入侵检测的准确率，而且能提升系统效率，有很好的应用前景。     

基于Hamming网络的入侵检测技术的研究

分析了异常和误用入侵检测技术存在的一些问题,并结合神经网络的原理,提出了一个新的基于Hamming网络的入侵检测技术。该技术改善了基于特征检测算法中存在的不足,提高了对未知入侵类型的检测能力,并对Hamming网络入侵检测技术进行了分析和测试。     

基于数据挖掘的入侵检测系统研究

探讨了特征值提取在基于数据挖掘的入侵检测系统中的重要地位；结合前人对入侵检测系统特笋值选取所作的工作，融入了数据挖掘的思想，特别针对利用TCP／IP协议弱点的一些攻击，对网络入侵检测系统的特征选取作了深入细致的研究。     

一种入侵检测实验系统的设计与实现

针对专业教学过程中理论内容较难理解和接受的情况,设计了一种入侵检测的实验系统,实现对网络嗅探和端口扫描两种类型的入侵进行检测。针对网络中的嗅探攻击,利用WinPcap网络开发包,实现基于ARP报文探测的嗅探攻击的演示。此外,实验系统还针对网络中的TCP端口扫描攻击,利用Libnids网络开发包,实现了基于统计阈值检测法的TCP端口扫描攻击的演示。最终通过短消息模块实现相应入侵行为的短信通知。     

入侵检测规则(三)

这是理解和开发网络入侵检测系统规则系列文章的第三部分。在前两章中,我们研究了IP协议头文件属性,特别是TCP、UDP和ICMP.在制订网络入侵检测规则中的作用。这章,我们将通过研究协议分析领域继续讨论规则,着重于检测TCP和UDP的有效荷载值。使用基于协议分析方法制订的网络入侵检测协议对于与类似DNS,HTTP,FTP,SMTP等协议相关的已知和未知的攻击非常有效。     

基于网络数据流协议特性的统计入侵检测

根据网络数据流的协议特性,提取IP分片标志及TCP协议首部的TCP连接标志,构造了一种基于统计技术的入侵检测模型,并实现了特征识别检测与异常检测。实验结果表明,模型的检测效果较好。     

基于异常与误用的入侵检测系统

入侵检测系统近年来得到长足的发展,但功能都不够完善.为此将基于误用的入侵检测与基于异常的检测结合为一体.在误用检测上,将检测规则进行分类排序,从而极大地提高了检测效率.异常检测则采用人工免疫技术,使系统对已知的攻击和新型攻击均有较强检测能力.     

基于有限状态机协议分析模型的入侵检测系统

基于状态协议分析的入侵检测方法利用网络协议提供的状态信息,把网络攻击过程转化为协议状态迁移,能有效地检测DOS/DDOS等较难检测的攻击.本文对协议分析入侵检测的方法和算法进行了研究,并通过对网络协议和入侵攻击的深入分析,提出了一个基于有穷状态机的状态协议迁移模型.在给出检测算法的形式化描述的基础上根据Snort规则语法扩展实现实验系统,并测试验证了其有效性.     

基于状态协议分析的网络入侵检测技术

协议分析是网络入侵检测技术中的一种关键技术,但不能解决对于包含在多个数据包中的攻击。针对这一问题,提出了基于状态协议分析的检测技术,构建一个有限自动机(Finite Automaton,简称FA)来约束网络,并用由正则表达式产生的语言来描述一系列的正常的状态转化,充分利用协议的状态信息检测入侵。     

基于四层过滤的网络入侵检测系统模型

文章在对网络入侵检测技术进行分析的基础上,结合网络攻击的特点和目前入侵检测系统的不足,提出一种新的基于四层过滤的网络入侵检测系统模型。这四层过滤分别是：协议分析、流量分析、状态检测和数据分析。四次过滤串并行同时进行以提高效率,增强网络的安全防护能力,保证网络的实时性。同时利用集群的优势在一定程度上解决漏包问题。实验证明,该模型可以提高入侵检测效率和准确率。     

网络入侵检测中的深度协议分析方法

为了探索一种能体现基于网络的入侵检测系统规则的复杂性和联系性,并具备降低规则冗余的入侵检测方法,提出一种基于深度协议分析对网络事件进行重新解构的方法。该方法不仅将协议分析抽象到基于事件的整体上对网络事件进行层次分析,同时还将协议分析深入到具体的应用层数据里。实验表明,该方法具有更高的检测准确率和检测速率,大幅度地减少了规则库冗余,更适用于高速网络环境,同时还具备一定的检测未知入侵的能力。     

基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究

随着网络技术的发展,网络环境变得越来越复杂,对网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,包括无法解决安全后门问题,不能阻止网络内部攻击等问题。在众多的网络安全威胁中,DDoS攻击以其实施容易,破坏力度大,检测困难等特点而成为网络攻击检测与防御的重中之重。近年来,针对网络流量相关性的DDoS攻击检测方法层出不穷,文章在分析DDoS攻击检测方法的基础上,利用基于协议分析技术的网络入侵检测系统对DDoS进行研究。     

基于网络协议解析的入侵检测系统的研究

传统的基于模式匹配的入侵检测系统没有充分利用网络协议的规则,存在计算量大、准确率低等缺点。本文在网络协议分析的基础上,提出了基于网络协议解析的新的入侵检测系统模型。该系统能大大减少数据运算匹配量,为基于协议解析的入侵检测方法提供了一个更加广阔的发展平台。     

基于虚拟机的运行时入侵检测技术研究

入侵检测技术通常分为误用检测和异常检测两类,误用检测根据攻击模式库检测已知的攻击行为,但却难以防范未知的攻击行为;异常检测技术虽然可以预测偏离正常值阈区间的潜在攻击行为,但却存在较高的误报现象。在虚拟机监视器中对虚拟机操作系统的运行行为进行带外监控,避免了操作系统内监控模块被病毒感染的难题;通过监视虚拟机的运行时行为,对之作组合序列的合法性分析,扩展了误用检测防范长时间段攻击行为的能力,识别通过合法系统调用进行的恶意攻击。测试数据表明,该技术能够较好地检测出复杂组合攻击行为。     

基于分布式统计时间序列的网络流量分析

研究网络数据在分布式存储下的相关性,有利于入侵检测整体的学习和指导优化数据的存储.重点研究了网络传输过程中各种类型数据的流量的这种相关性,提出了一种基于分布式统计(DS)的时间序列分析方法:根据网络协议间的关系将数据包分组,分析数量关系并给出报警阈值.仿真实验结果表明,该方法能较好地发现各种网络攻击.     

一种基于并发命题投影时序逻辑模型检测的入侵检测方法

基于投影时序逻辑模型检测的入侵检测方法具有描述网络入侵者分段攻击的能力,然而对并发攻击仍无能为力,因为该逻辑无法直接描述并发。针对此问题,在该逻辑的基础上定义了一种新的并发算子,并给出基于并发投影时序逻辑模型检测的入侵检测方法。对复杂攻击实例的检测表明,新方法可有效提高对并发攻击的检测能力。