自定义蜜罐在抵御蠕虫攻击中的应用研究

全文分析了蠕虫病毒的危害和特征,提出一种自定义蜜罐系统的设计:结合入侵检测、虚拟蜜罐和数据挖掘技术,把自定义蜜罐置于DMZ中,利用欺骗地址空间技术捕获已知蠕虫,延缓未知蠕虫的扫描速度,并对相关日志进行数据挖掘,更新入侵检测系统的规则集,以便在遭受后续攻击时做出响应。探讨了自定义蜜罐系统在抵御蠕虫病毒攻击中的可行性和应用实现。     

入侵检测系统研究进展

信息安全是人们高度关注的问题,我国信息安全与网络的防护能力尚处于发展的初级阶段.回顾了入侵检测系统的起源及其发展过程.在阐述入侵检测基本概念和类型的基础上,指出了目前各种入侵检测系统的优点和局限性.数据挖掘技术是克服目前入侵检测系统局限性的一种有效方法.介绍了数据挖掘的概念,并提出了一种基于数据挖掘的入侵检测系统框架.蜜罐系统和蜜网系统也是当前研究的热点问题,对其进行了分析,给出了应用实例.最后指出了下一步研究应该努力的方向.     

蜜罐技术在移动网入侵检测中的应用

针对当前2G、2.5G移动核心网MAP协议的安全性缺陷,深入研究了蜜罐技术,将蜜罐关键技术与移动核心网入侵检测技术相结合,提出基于蜜罐系统的入侵检测模型.实验结果表明,蜜罐系统能够实现对入侵行为的追踪定位,进一步增强移动核心网用户信息安全防护能力.     

基于蜜罐技术的网络入侵研究

蜜罐是近几年发展起来的一种主动防御安全技术。文章首先综述了当前网络安全技术的应用和不足,分析了蜜罐技术的研究现状。提出了一个SNIBH入侵检测模型,设计并实现了数据捕获及分析等基本功能。分析收集的入侵者信息,从中提取入侵特征,以便提高入侵检测能力,使被动防御体系向主动的防御系统转化。     

入侵检测技术与蜜罐技术在业务网中的应用

随着运营商网络大量业务互联网化,网络安全成为重中之重,各种防御措施随之出现,其中入侵检测技术和蜜罐技术成为业界非常关注的两种安全防御技术。文章详细介绍这两种技术及入侵检测系统(IDS)的相关原理,通过分析入侵检测技术和蜜罐技术的优缺点,提出基于两种技术优势互补、克服劣势思路的一种入侵检测系统与蜜罐联合部署提高网络安全性的解决方案。     

对于IP地址攻击有效的混合蜜罐入侵检测系统

提出在入侵检测系统中融合蜜罐技术并应用在分布式的网络环境中。主要目的就是通过单播IP地址攻击和组播的IP地址攻击对比单独入侵检测系统与融合了蜜罐技术的入侵检测系统检测攻击的有效性。混合蜜罐网络由Snort和Honeyd组成,Snort的作用是入侵检测而Honeyd组成蜜罐系统。Honeyd安装在Linux系统中,这个系统的传感器探测Snort和Honeyd是否传送数据到主数据库。使用NESSUS对实验数据进行分析。提供给管理员一种更有效的网络管理方式。     

基于蜜罐的入侵检测系统的博弈分析与设计

论文从博弈论的角度,对引入蜜罐技术的入侵检测系统进行了架构分析和模块分析,并对一般的入侵和入侵检测行为进行了描述,最后提出了入侵检测中博弈过程模型。     

蜜罐系统在入侵检测系统中的研究与设计

介绍了入侵检测系统以及它的固有缺点，给出了蜜罐系统(Honeypot)的定义、工作方式。着重介绍它相对于入侵检测中系统固有缺点的价值以及蜜罐系统的实现模型和关键技术。该技术能够简单、高效地检测入侵行为以及对入侵过程进行记录和监控。     

入侵检测系统探究

基于入侵检测系统的传统技术,分析并比较了统计模型、神经网络、数据挖掘和专家系统,提出了一种新型的基于安全状态信息库的入侵检测系统。通过建立系统安全状态数据库,在考虑入侵行为的同时,也考虑到受保护系统的防范能力;另外,通过建立可疑主机数据库,可对不同威胁级别的主机采用不同的检测和响应手段。     

Honeypot技术在网络入侵检测系统中的应用

入侵检测是近几年发展起来的新型网络安全策略,它实现了网络系统安全的动态检测和监控,但是它具有漏报、误报和无法检测新型攻击的缺点,蜜罐的引入使得这种情况得到改善。介绍了Honeypot技术的原理和分类,并提出了一种可行的设计方案,通过Honeypot和入侵检测系统的结合应用来增强入侵检测系统的性能。     

Novel intrusion prediction mechanism based on honeypot log similarity

The current network‐based intrusion detection systems have a very high rate of false alarms, and this phenomena results in significant efforts to gauge the threat level of the anomalous traffic. In this paper, we propose an intrusion detection mechanism based on honeypot log similarity analysis and data mining techniques to predict and block suspicious flows before attacks occur. With honeypot logs and association rule mining, our approach can reduce the false alarm problem of intrusion detection because only suspicious traffic would be present in the honeypots. The proposed mechanism can reduce human effort, and the entire system can operate automatically. The results of our experiments indicate that the honeypot prediction system is practical for protecting assets from attacks or misuse.     

Markov Chain Based Roaming Schemes for Honeypots

The paper proposes a reactive roaming scheme for honeypots. The main aim of a honeypot is to capture the activities of the attacker. If the attacker detects honeypot on a system, its value drops. So, the concept of roaming honeypots is being proposed, to prevent the attacker from detecting the honeypot, which in turn increases the efficiency of honeypot and allows collecting rich data about activities of active attackers. The honeypot is shifted to another system which is most probable to be attacked within the network. The concept of Markov chain analysis is being used to detect the most probable system to be attacked based on the current status of the network. Further, using IP shuffling and services on/off concepts, honeypots roam on the network to the most probable system to be attacked using the threat score. Snort is used to capture data about the number of attacks on each of the nodes of the network and the data collected is then used as an input for Markov chain analysis to identify the most probable system where honeypot can be roamed/moved. The roaming scheme has been implemented for both high interaction honeypots and low interaction honeypots. The high interaction implementation helps in capturing in depth information on a shorter range of IP addresses, whereas the low interaction implementation is efficient in capturing information on a large range of IP addresses. The main advantage of this approach is that it predicts the frequency of attacks on the nodes of a particular network and takes a reactive step by starting the honeypot services on that particular node/system on the network.     

Rule‐Based Anomaly Detection Technique Using Roaming Honeypots for Wireless Sensor Networks

Because the nodes in a wireless sensor network (WSN) are mobile and the network is highly dynamic, monitoring every node at all times is impractical. As a result, an intruder can attack the network easily, thus impairing the system. Hence, detecting anomalies in the network is very essential for handling efficient and safe communication. To overcome these issues, in this paper, we propose a rule‐based anomaly detection technique using roaming honeypots. Initially, the honeypots are deployed in such a way that all nodes in the network are covered by at least one honeypot. Honeypots check every new connection by letting the centralized administrator collect the information regarding the new connection by slowing down the communication with the new node. Certain pre‐defined rules are applied on the new node to make a decision regarding the anomality of the node. When the timer value of each honeypot expires, other sensor nodes are appointed as honeypots. Owing to this honeypot rotation, the intruder will not be able to track a honeypot to impair the network. Simulation results show that this technique can efficiently handle the anomaly detection in a WSN.     

入侵检测技术趋势

描述了遗传算法．统计模型、神经网络、人工免疫系统等入侵检测技术趋势，并指出入侵检测系统的不足。将防火墙、密罐和漏洞扫描与入侵检测系统相结合，以进一步提高入侵检测系统的性能     

基于数据挖掘技术的入侵检测系统

设计一个基于教据挖掘技术的入侵检测系统模型.该模型针对现有入侵检测系统在处理大量数据时,挖掘速度慢.自适应能力差的缺点.引入数据挖掘技术使其能从大量数据中发现入侵特征和模式.介绍其核心模块工作流程.实验结果表明该模型不仅能有效提高系统的检测速度,降低误报率,同时还能有效检测新的入侵行为.     

基于多传感器数据融合入侵检测模型

随着计算机和互联网应用技术的快速发展,网络的入侵检测技术越来越重要。本文是针对现有的网络入侵检测系统存在的问题,结合现有数据融合和数据挖掘算法技术的不断提高,给出了一种基于多传感器数据融合和数据挖掘的网络入侵检测模型。应用该模型能使阻拦入侵元素有依据可寻,同时能很好地减少网络入侵的危害程度,从而提高自身系统的免疫性。其功能在文中详细介绍。     

基于数据挖掘技术的入侵检测系统

设计一个基于数据挖掘技术的入侵检测系统模型。该模型针对现有入侵检测系统在处理大量数据时,挖掘速度慢．自适应能力差的缺点,引入数据挖掘技术使其能从大量数据中发现入侵特征和模式。介绍其核心模块工作流程。实验结果表明该模型不仅能有效提高系统的检测速度,降低误报率,同时还能有效检测新的入侵行为。     

基于数据挖掘的分布式入侵检测系统

简单介绍传统入侵检测系统,进而提出基于数据挖掘的分布式入侵检测系统模型,讨论了为了实现该模型所需要的数据挖掘技术.这些技术的应用,可以有效检测大规模协同攻击,提高分布式入侵检测系统的自适应性和可扩展性.