大规模分布式蜜网技术研究与应用

蜜罐技术作为一种网络攻击诱捕技术,被广泛用于网络安全研究,特别是在恶意代码的捕获、网络攻击事件的跟踪分析等方面。中心从2006年启动面向国内互联网环境的大规模分布式蜜网技术研究及应用工作以来,对分布式蜜网的体系结构和关键技术进行了深入的研究和持续的优化改造,构建了以高交互蜜罐为主的分布式蜜网体系,形成恶意代码自动捕获及追踪能力。为适应网络安全新形势,实现对攻击事件的深入分析,需进一步解决网络攻击过程中的实时监测、日志的全面获取、自动关联分析以及未知事件发现等问题,文章主要围绕这些问题探讨中心新一代分布式蜜网技术方案的设计思路和应用实践。     

基于OSGi的分布式系统集中日志管理方案

目前分布式业务应用的日志多存储在各分布式服务器节点本地日志文件中,没有集中存储和管理,导致业务系统问题定位速度慢,解决问题效率低.本文提供一种基于OSGi的分布式日志收集与分析技术方案.该方案单独设计了集中的日志存储服务器用于存储日志,并提供一套通用日志模型,业务应用分布式节点向该设备发送基于该模型的日志数据,日志存储服务器接收到各节点的日志数据后进行统一存储和界面化分析展示,帮助开发人员快速定位和分析问题.该方案以OSGi插件形式部署到应用系统,应用卸载该插件后则以原有方式存储日志.应用结果表明,采用该日志管理方案对1000并发下记录日志的业务应用访问性能平均提升2秒,并且没有日志数据丢失.开发人员反馈,错误日志更加一目了然,定位问题的时间明显短于普通的日志存储方式.     

基于大数据的安全态势感知系统研究

针对目前层出不穷的各类网络攻击事件,基于最新的大数据技术组件,构建集数据收集、数据处理、数据存储、数据分析、数据呈现于一体的安全态势感知系统框架.通过Flume和Kafka获取日志或网络攻击信息,使用MapReduce和Storm技术进行批量或实时分析,以达到对网络安全的感知;采用层次分析法确定指标权重,提取网络态势特...     

基于分布式联动技术的网络安全分析

本文针对网络安全整体性和动态性的需求,基于分布式开放平台安全互联思想,实现防火墙与入侵检测系统的联动,路由器与入侵检测系统的联动,对突发网络攻击进行主动防御,提出多种网络安全技术的联动思想,提高局域网的安全性。     

基于分布式联动技术的网络安全分析

针对网络安全整体性和动态性的需求，基于分布式开放平台安全互联思想，实现防火墙与入侵检测系统的联矽，路由器与入侵检测系统的联动。对突发网络攻击进行主动防御，提出多种网络安全技术的联动术思想，提高局域网的安全性。     

基于防火墙日志的网络隔离安全审计系统设计与实现

在当前网络攻击方式不断变化的背景下,新出现的安全隔离技术直接阻断网络在链路层上的连接,并进行数据交换.日志是网络安全体系中的重要部分.针对一个网络隔离系统,讨论了日志管理系统的架构、设计实现方法,并在实际中得到应用.     

一种基于协同的分布式防御系统

协同和分布式的网络攻击对传统的网络安全防护提出了巨大的挑战,同时也对分布式入侵检测技术提出了更高的要求。该文给出一种开放的协同分布式防御系统。系统通过数据挖掘系统建立协同检测规则,利用协同agent和协同控制中心完成协同安全检测。协同主要建立在信息警报层,与检测主体相对独立,系统具有非常好可扩展性。     

基于多代理技术的分布式Web日志挖掘系统

在分析分布式Web日志挖掘的困难以及介绍多代理的概念和特性后，提出了一个基于多代理技术的分布式Web日志挖掘系统的体系结构。介绍了Web日志挖掘过程以及多代理在该系统中的应用。     

DDoS攻击的检测与溯源探析

分布式拒绝服务攻击是当前流行的网络攻击手段之一,影响力巨大。本文主要探讨了DDoS攻击的检测方法和IP溯源技术,重点分析3种DDoS检测方法:流量、日志、数据包分析法,提出了运用数据包切片标记实现对伪造IP攻击溯源的方法。通过搭建分布式DDoS攻击实验环境,综合应用流量监控、日志分析和数据包切片标记的方法实现了对DDoS的IP溯源。通过反复实验测试,证明方法的可行性、准确率可达90%。     

基于Shark的工作流日志迁移研究及其实现

工作流日志数据中可能记录着非常有价值的信息,它们对于流程优化和工作流挖掘具有重要意义.然而,传统工作流系统缺乏对工作流日志迁移的有效支持.基于对工作流日志数据的分析,提出了一种支持日志迁移的分布式工作流系统框架.该框架通过工作流实例数据与历史数据的分离,以实现工作流日志数据的分布式管理.基于开源工作流Shark,通过扩展WfMC相关接口,给出了该框架的实现方案.     

分布式日志采集系统数据传输分析研究

计算机网络在各行业中获得广泛应用的时候,网络安全也成为机构和企业越来越关注的问题.虽然防火墙、防病毒系统、漏洞扫描等安全产品被部署于网络中,但多种安全设备缺乏有效整合,而对其产生的海量日志信息,网络管理人员往往难以应付,网络安全威胁依然突出.统一网络安全管理平台是一个解决方案,但因为企业网络环境越来越复杂,分布式的部署在大量日志信息的传输上存在困难.为此,本文在分布式框架的基础上考虑了几种传输方式,最终选用数据库直接映射的方式完成数据传输.     

基于分布式防火墙的网络安全系统研究

一种新型的安全系统,基于分布式防火墙环境,结合分布式入侵检测技术,并利用专家系统使两者协同工作,实时检测并动态地响应网络安全事件,可以很好地满足网络安全的需求.     

分布式日志服务关键技术研究

在分析大型分布式系统对日志服务需求的基础上,设计并实现了一种分布式环境下的日志服务。文章从分布式系统的特点出发,介绍了该分布式日志服务中用到的关键技术,包括:体系结构设计、文件缓冲与传输、时钟同步、运行时调试、日志报警等。实际应用表明,采用以上关键技术实现的分布式日志服务有效地简化了分布式应用系统的开发、调试和维护,可广泛应用于各种分布式应用系统中。     

分布式防火墙的网络安全研究

针对单一的网络安全技术已经无法很好地解决日益复杂的网络安全问题,提出了一种新型的安全系统。该系统基于分布式防火墙环境,结合分布式入侵检测技术,并利用专家系统使两者协同工作,实时检测并响应动态的网络安全事件,弥补了单一网络安全系统的不足,可以很好地满足网络安全的要求。     

分布式防火墙中日志系统的设计与实现

结合分布式防火墙及其日志服务器模型,分析了日志系统的特点,并在此基础上给出了其功能模块与设计要点。     

基于网络安全芯片的DDoS攻击识别IP核设计

分布式拒绝攻击(distributed denial of service, DDoS)作为一种传统的网络攻击方式,依旧对网络安全存在着较大的威胁.本文研究基于高性能网络安全芯片SoC+IP的构建模式,针对网络层DDoS攻击,提出了一种从硬件层面实现的DDoS攻击识别方法.根据硬件协议栈设计原理,利用逻辑电路门处理网络数据包进行拆解分析,随后对拆解后的信息进行攻击判定,将认定为攻击的数据包信息记录在攻击池中,等待主机随时读取.并通过硬件逻辑电路实现了基于该方法的DDoS攻击识别IP核(intellectual property core), IP核采用AHB总线配置寄存器的方式进行控制.在基于SV/UVM的仿真验证平台进行综合和功能性测试.实验表明, IP核满足设计要求,可实时进行DDoS攻击识别检测,有效提高高性能网络安全芯片的安全防护功能.     

基于LDAP的分布式网络安全管理平台系统

为有效解决传统集中式的网络安全管理平台易造戍的系统瓶颈、单点失效等问题,提出了一个基于轻量级目录访问协议(LDAP)的分布式的网络安全管理平台系统模型,介绍了集中式的网络安全管理平台的重要性、存在的问题以及LDAP协议,设计了分布式网络安全管理系统中的子平台及根平台模型.通过分析证明提出的分布式的网络安全管理平台系统具有良好的可靠性,负载均衡等优点.     

基于Agent的分布式数据挖掘系统

本文致力于研究如何将多代理技术应用于分布式数据挖掘中的课题,通过分析典型分布式结构的Web服务器日志,设计Web日志挖掘系统的体系结构、各个代理的具体研究设计工作等。本文将多代理技术与Web日志挖掘技术结合起来,一方面可以更清晰的进行数据挖掘系统的设计,另一方面可以充分利用多代理技术来提高数据挖掘的效率,从而对基于Agent的分布式数据挖掘系统的理论意义和应用层面价值进行探索。     

基于网络安全的医院信息安全设计改造与分析

在医院网络信息安全管理系统的建设中,引入网络安全态势感知技术和基于日志管理、入侵监控的检测技术,配置移动Agent检测构件、Oracle数据库,对其进行网络安全威胁来源、系统安全性的监控分析,并完成该入侵检测系统方案的实验测试,得出医院网络攻击入侵日志数据和服务器故障数据的监测结果。实验结果表明,利用网络安全态势的软件监控方案,对各交换机、服务器、主机运行状态以及日志数据进行实时监控,有效提高了入侵检测的准确率和网络数据的安全性。     

基于深度学习的分布式安全日志分析方法

为了提高日志分析是当前进行入侵检测和安全防御的重要手段。针对传统基于规则的分析方法中误报、漏报较高,应对海量日志分析效率过低的问题,该文章提出了一种基于深度学习的分布式安全日志分析方法,通过将深度学习算法与现有黑白名单、规则匹配以及统计策略等技术结合,进行日志分析,检测网络中的安全威胁。系统采用分布式的存储和计算平台,能够进行离线和实时两种日志分析模式,可以满足大多数场景下海量的日志数据分析需求。