基于生物信息的未知二进制协议聚类方法

协议聚类是协议逆向工程技术中非常重要的一步，针对二进制协议更加透明且满足的协议种类更加广泛的特点，提出了一种基于基因和蛋白质生物信息的二进制协议聚类方法，能够从原始序列角度对大量协议直接进行聚类.本文方法首先将原始二进制报文转化成四进制基因形式，使用快速聚类方法计算碱基两两组合的k-seed值生成距离矩阵，并用UPGMA计算最小距离生成树得到初始分簇；其次，将每一簇四进制协议报文转化成十六进制蛋白质链，得到序列更有语义的方式并采用基于改进mBed算法的聚类方法将其进行高精度聚类.通过对已知和未知协议单纯和混合场景下的测试表明，该方法能够对二进制协议实现高效并且高准确率的聚类，具有较高的应用价值.     

基于人工免疫理论的异常检测动态模型研究

针对目前基于人工免疫理论的入侵检测系统表现出来的检测率低、误检率高的缺点.本文通过对免疫理论在入侵检测方面的研究,提出一种基于人工免疫理论的异常检测动态模型.该模型采用数据包报文协议分析策略,来应对不同协议报文对系统的攻击;增加了基因库模块,且采用多位点基因重组算法和随机动态生成检测器相结合的方式,使生成的检测器具有多样性和高效性,提高了检测效率.最后,该模型通过模拟仿真实验,并与r-连续位匹配改进算法、LISYS和DynamiCS的实验结果进行对比分析,验证了本文模型的可行性和有效性.     

TCP协议分析报告

本文是对TCP/IP协议族中TCP协议的分析报告。将从TCP的服务、特点,报文段格式、TCP连接、差错控制等几个方面来分析,并且还融入了网络安全的相关知识。     

Chi-square Distance在协议异常检测中的应用

针对Juan M提出的一种基于马尔可夫链的随机协议异常检测模型和评估方法存在的不足进行改进．改进后的模型增加了一些必要的状态，初始概率和转换概率更加精确．实验表明，将Chi—Square Distance和马尔可夫链方法相结合来检测协议异常，可克服原方法的不足，能有效检测到SYN Flooding攻击．     

基于状态机的802.1X协议攻击检测方法

针对802.1X协议存在一定漏洞且易受重放、拒绝服务等攻击,结合802.1X协议的认证过程,抽象出802.1X协议认证的状态转移过程,同时针对802.1X协议的功能性攻击,构造出一套攻击状态转移机制:分析802.11报文和基于局域网的扩展认证协议(EAPOL)/扩展认证协议(EAP)报文的结构;剔除出重传的报文,逐个字段解析出关键字并存入链表中;将根据EAPOL/EAP报文格式取得检测所需的EAP报文存入缓存.据此,设计出基于状态机的802.1X的攻击检测方法.实验结果表明,在实际组网环境下的重放/DoS等802.1X功能性攻击能够得到准确的检测,并具有有效、统一的检测结果.     

局部网实时通信协议RTHP

提出一个适合于实时通信的局部网协议ＲＴＨＰ。其主要特点是保留／调度过程与数据传输并行地进行，另一个有趣的特点是它将报文期限、报文优先级和一个分布中断机构合起来，从而在负载较重的情况下能改善实时信息的传输性能．文中还通过模拟模型评价了该协议的性能，并且分别与标准令牌环和ＳＫＩＰＮＥＴ网进行了比较。     

移动Ad-hoc网络中不同路由协议的TCP性能比较

针对Ad-hoc网络路由协议的TCP性能展开研究．通过仿真实验对3种路由协议DSDV、DSR和AODV的TCP性能进行了对比，发现了TCP不同于UDP的拥塞控制／避免机制对Ad-hoc网络性能产生的显著影响．并从路由机制角度分别分析了节点移动性、TCP连接数及接口队列长度对网络TCP性能的影响．从而对提高Ad-hoc路由协议的TCP性能提出改进方案．     

基于TCP状态有限自动机的入侵检测研究

入侵检测是一种重要的信息安全防御技术.基于TCP状态有限自动机的入侵检测是一种异常检测方法,它能发现违背TCP状态有限自动机的行为.描述了TCP协议中正常的连接状态转换关系,构造了TCP状态有限自动杌,给出了基于TCP状态有限自动机的入侵检测实现.     

基于TCP状态有限自动机的入侵检测研究

入侵检测是一种重要的信息安全防御技术.基于TCP状态有限自动机的入侵检测是一种异常检测方法,它能发现违背TCP状态有限自动机的行为.描述了TCP协议中正常的连接状态转换关系,构造了TCP状态有限自动杌,给出了基于TCP状态有限自动机的入侵检测实现.     

基于系统调用序列的状态转换检测新方法

以系统调用序列为对象提出一种新的状态转换检测方法，它结合历史系统调用序列和当前系统调用进行分析，提取直接和间接转换，并采用多元统计方法为转换加入参数，累计异常度．测试表明该模型有较高检测率和可操作性，比原方法更能有效得检测出未知类型入侵．     

基于相似度匹配的网络协议语法分析方法

为解决网络协议语法分析方法中,依赖人工干预、分析效率低下、分析范围较小等问题,提出一种基于相似度匹配的网络协议语法分析方法.通过嗅探采集网络原始数据包,解析基础协议并对数据包进行预处理,提取9维不同角度的特征,建立了网络协议语法相似分析模型,分析网络协议细节语法特征.通过将TCP协议作为已知协议,对UDP、DNS、QQ等3种不同类型的协议测试,结果表明这3类协议报头中,33%以上的字段能在TCP协议中找到对应的相似语法,而且平均准确率均在96%以上,该方法不需人工干预,可以提高分析效率、减少限制条件、扩大分析范围,并能较为有效地分析出网络协议语法特征.      

高速网络下基于负载均衡的协议分析的异常检测算法设计

研究了基于负载均衡技术的协议分析的入侵异常检测系统并建立了系统模型,提出了一种基于静态负载算法与动态负载算法的混合负载算法,该算法对网络数据包进行分流,能很好地保证同一源地址的同一类协议由同一服务器处理,并兼顾了所有服务器的负载均衡,能很好地发现并检测网络的异常行为与分布式攻击等,这样的改进优化了处理结果,提高了高速网络环境下入侵检测的准确性和有效性.     

通过ARQ提高无线网络中的TCP吞吐量

针对现有提高无线网络中传输控制协议（TCP）吞吐量方案（如Snoop）的若干局限性，提出一种改进方案，利用数据链路层的自动请求重传（ARQ），检测并重传在无线链路上丢失的分组，从而提高TCP的吞吐量性能，这一方案不需要修改端终点的TCP实现，与Snoop相比，ARQ可以传输加密或封装后的分组，不受TCP确认机制的影响，不要求基站保留TCP流的状态，降低了基站的实现复杂度，仿真结果表明，当链路错误率较高或网络中存在竞争性背景流量时，ARQ可以比Snoop更加有效地提高TCP吞吐量。     

基于协议状态分析的入侵检测系统

提出了一种基于协议状态分析的入侵检测方法,不仅充分利用了协议的状态信息,而且考虑了相邻的数码包的内容状态,构造出协议状态序列,通过状态转换来检测入侵,有效地完成网络各层协议的分析,提高了检测的全面性、准确性和效率,实验结果表明是可行的。     

基于TCBF算法的TCP流长度分布统计

为提高流测量系统的运行效率,减少其所需资源的消耗,在分析了TCP连接的释放以发送FIN报文或RST报文作为结束标志的基础上,提出一种新的报文过滤算法TCBF(time-outcounting bloom filter),用于统计TCP流长度分布.通过对有结束标志的流、没有结束标志的中长流和没有结束标志的中短流分别采用不同的统计处理方式,增加了网络测量性能,提高了测量系统的资源利用率.该算法不需要收集所有报文,而是只需要抽样少量报文即可对流长度做出统计.理论分析和仿真结果表明,TCBF算法在使用较少的存储空间的条件下,可以及时准确地对TCP流长度分布做出统计,满足实际测量需要.     

一种针对DDoS flooding攻击的异常检测方案

随着网络用途的不断扩大和Internet互联网络带宽的增加,网络遭受攻击的形式也越来越多,越来越复杂。分布式拒绝服务攻击DDoS是互联网环境下最具有破坏力的一种攻击方式,尤其以TCP flooding和UDP flooding攻击为代表。文中通过分析DDoS flooding的攻击特点和TCP协议的连接过程,利用网络流量的自相似性等特点,设计出一种针对DDoS flooding攻击的异常检测方案。     

基于Winpcap的校园网协议统计方法

针对蠕虫、DDOS攻击的大量存在严重地影响了网络的正常使用情况，使用基于Winpcap的流量监测技术，参照RTFM组织的流（Flow）定义方法，开发了一个简单实用的协议统计系统。系统采用校园网地址后12位作为哈希表的键值并建立一个专门统计传输层TCP、UDP端口以及网络层ICMP协议使用情况的数组。根据系统统计结果，网络管理者就可以判断校园网络是否处于正常运行状态，把网络管理者从传统的经验管理模式中解放出来，提高了网络管理与维护的效率。     

基于服务器安全的入侵检测系统在Linux系统上实现

为防止黑客入侵,提出一种在Linux环境下实现网络入侵检测系统的实现方法.此系统由嗅探器、分析器和处理器组成.程序用C语言实现.针对网络层与传输层的IP攻击、ICMP攻击、UDP攻击、TCP攻击特征和数据报做了详细的分析;在网络入侵检测的实现上,使用IP重组预处理和模式匹配相结合的方法,提升了系统检测网络攻击行为的能力,两种检测方法成为有效的互补.