Web服务的多层入侵容忍机制

Web服务通过互联网向公众提供各种服务,其存在的漏洞容易受到攻击.攻击会导致许多恶意操作或故障,致使Web服务器无法正常工作或发生安全事件.确保服务器的安全性,以保障系统数据和服务的私密性、完整性及可用性.Web服务的多层入侵容忍机制,结合传统安全技术和容忍技术在服务器前和在服务器结构内部署不同传感器,侦测各请求对服务器的影响.对不同安全级别的请求提供相应的服务,并一定程度上容忍非正常请求的存在.在Web服务系统上提供有效的深度防御,提高Web服务器对入侵、攻击的适应能力,即使发生严重事件也能及时恢复Web服务.不会因存在入侵、故障而停止服务,从而提高Web服务器的生存能力.     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

一种高性能的基于集群的Web虚拟服务器

基于集群的Web虚拟服务器是提高Web服务器性能的一种性价比较高的方法.为此给出了该虚拟服务器的体系结构,并给出了该原型的模块化设计.该结构在前端有一个请求转发器Director,接收客户连接请求和HTTP请求,并转交给后端Web服务器池中的某服务器处理,后端服务器处理请求后,直接应答客户.前端采用Direct routing的负载平衡策略,提高包转发效率;后端通过对ARP的特殊处理,避免了编译内核.原型通过在Linux平台上构建可加载的内核模块来实现,以提高包转发效率.试验证明该虚拟服务器有较高的性能.     

一个Internet上的入侵容忍系统

提出一种将入侵检测和容错方法相结合,将冗余和多样性相结合的入侵容忍系统,并且设计了相应的触发器。在应用服务器受到攻击和部分组件失效时,本入侵容忍系统通过各触发器对用户请求的正确性、合理性和应用服务器响应数据的一致性等进行检查并触发相应的安全控制策略来实现对网络入侵攻击的容忍,保证数据的保密传送,从而使得服务器能够为用户提供连续可靠的服务。     

基于Internet转发的电子商务系统应用

基于最优请求转发的Web服务器选择算法,引入Web服务器节点主动P2P故障检测反馈方法,构建了一个基于Internet转发的负载平衡解决方案.仿真系统性能测试结果表明,该方案可行且有效,能大大提高用户的访问效率.     

基于序列注意力机制的卷积神经网络异常检测

随着互联网的飞速发展,Web攻击已经成为目前最严峻的网络安全威胁之一.一小段潜藏在正常Web请求中的恶意代码极有可能导致严重的信息泄露或其他安全事故.针对这一威胁,现有的研究主要集中于模式匹配与语法分析.然而,模式匹配和语法分析严重依赖于人力与专家知识,且通常只能检测出是否具有威胁,但不能定位恶意代码区域.提出一种新的卷积神经网络算法,可以从Web请求中检测出SQL注入攻击、Command攻击、本地文件包含和跨站脚本攻击等.得益于序列注意力机制,所提出的算法还可以从URL中定位出恶意代码的位置.实验结果表明,SA-CNN可以有效检测和定位URL中的恶意代码,并在几个公开的短文本分类数据集上也有良好的表现.     

基于Portlet异步请求的研究与实现

Ajax是一种异步请求机制,主要用来处理Web请求,它可以让服务器异步处理用户请求.它是几种技术的组合,其中最主要的是JavaScript和XML技术.Portlet是基于Java平台的Web门户应用程序,它基于Portal框架,给用户更人性化的体验.本文提出了两者结合使用的方法,使用Ajax处理Portlet的请求,提高Web的服务质量.     

降低Web安全扫描误判率

针对现有Web服务器扫描软件在检测安全漏洞时普遍存在的高误判率问题,讨论了广泛使用的"黑名单"式判断策略的局限性,对现有Web服务器扫描软件的误判问题进行了分类分析,并以Nessus等有代表性的软件为例,从试探攻击方法、识别标志和判断策略等方面给出了正确使用试探性攻击技术来验证安全漏洞的方法,通过实例证明该方法可以大大降低误判率.     

一种高性能的基于集群的Web虚拟服务器

基于集群的Web虚拟服务器是提高Web服务器性能的一种性价比较高的方法。为此给出了该虚拟服务器的体系结构,并给出了该原型的模块化设计。该结构在前端有一个请求转发器Director,接收客户连接请求和HTTP请求,并转交给后端Web服务器池中的某服务器处理,后端服务器处理请求后,直接应答客户。前端采用Direct routing的负载平衡策略,提高包转发效率;后端通过对ARP的特殊处理,避免了编译内核。原型通过在Linux平台上构建可加载的内核模块来实现,以提高包转发效率。试验证明该虚拟服务器有较高的性能。     

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度.据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率.对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点.实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现.     

面向复杂工业环境的信息物理融合系统可靠性

针对恶意节点的攻击行为,提出了一种基于随机Petri网的概率模型,描述信息物理融合系统的入侵检测响应行为. 分析了入侵检测响应对信息物理融合系统可靠性的影响. 主要考虑连续性攻击、随机攻击和阴险攻击3种攻击行为,设置最优的检测强度和响应强度,平衡系统节能和入侵容忍. 实验结果表明:根据攻击强度和检测行为,调整检测响应强度,信息物理融合系统的可靠性最优.      

在线社交网络中用户伪装攻击检测方法研究

当前用户伪装攻击检测方法无法适应动态环境,实时性不高;且需要准确的先验知识,检测精度较低。提出一种新的在线社交网络中用户伪装攻击检测方法,介绍了k最邻近节点(KNN)算法的基本思想,给出KNN算法的实现过程。分析了用户伪装攻击检测与分类的关系,确定在线社交网络中用户伪装攻击检测就是对被检测的未知行为进行分类的过程。针对用户行为,将训练集中正常用户行为的邻居进行排列,通过和k相似的邻居的分类标签对新用户行为类别进行判断,从而实现用户伪装攻击检测。实验结果表明,所提方法不仅检测精度高,而且开销小。     

分形塔分抗逼近电路——标度拓展与优化设计原理

分析B型分形塔分抗逼近电路的特征,该电路只具有负半阶运算性能.结合标度拓展理论,获得具有任意实数阶微积算子的分抗逼近电路——标度分形塔分抗逼近电路,并用非正则双重标度方程进行描述.分析该分抗逼近电路的运算性能和逼近性能.运用典型的数值求解算法分析频域特征及运算特征,对比不同初始阻抗值对零极点分布及频域曲线的影响.结合运算特征曲线与标度特征参量的不同取值情形,理论分析标度分形塔分抗逼近电路的优化原理并给出具体优化方法.对比分析标度分形塔分抗优化前后的逼近性能,定量分析运算振荡现象.介绍标度分形塔分抗的实际电路设计方案并给出实例,使用电阻电容与有源器件将该分抗的运算阶由-1μ0推广为0|μ|2.标度分形塔分抗逼近电路及其优化电路为分抗的构造与应用提供新思路.     

基于非负定自适应卡尔曼滤波的电力系统虚假数据攻击检测

虚假数据攻击(false data attack, FDA)是通过对电网中远程终端单元(remote terminal unit, RTU)、同步相量测量单元(phasor measurement unit, PMU)等通信环节的攻击,误导电力系统的状态估计,给电力系统的安全可靠运行带来巨大威胁。构建了电网虚假数据攻击检测架构、电压信号状态空间模型和虚假数据攻击模型,提出了非负定自适应卡尔曼滤波算法来估计模型中的状态量,旨在准确检测电力系统中的虚假数据。通过对3节点电力系统仿真,结果验证文中所提的算法在保证滤波稳定性的同时,提高了攻击检测的运算速度。     

有效的多协议攻击自动化检测系统

针对当前计算机网络中多个安全协议并行运行时可能出现的多协议攻击问题,提出了一个多协议攻击自动化检测系统(ADMA)。该系统由协议搜索子系统和攻击确认子系统两部分组成,其中协议搜索子系统根据多协议攻击中目标协议与辅助协议加密消息类型一致性条件,自动化搜索可能对目标协议构成威胁的候选辅助协议。攻击确认子系统通过改进的SAT模型检测方法,自动化确认目标协议与候选辅助协议是否存在多协议攻击。试验结果表明,ADMA系统能够实现多协议攻击自动化检测,并且检测中发现了新的多协议攻击。     

基于图演化事件的主机群异常检测模型

针对网络环境中出现的以服务为聚合的通信行为和以分布式攻击为典型的新型协同攻击模式,提出了基于图演化事件的主机群异常检测模型。分析了行为主体潜在的社会化关系、聚集成簇的主机群及其群体行为的动态特性,该模型具有无参数、数据量级可扩展的特点。定义并提出了图动态演化事件及检测算法,实现异常主机群检测。本模型在Spark上实现和部署,还从实际计算机和网络环境提取数据进行分析和验证。实验结果表明,该模型能够有效刻画群体行为,揭露重要的图演化事件,准确定位异常发生的主机群,其群成员主机的检测率达到95.09%。     

基于组合神经网络的启发式工控系统异常检测模型

为了提高工控系统入侵的检测率,讨论了传统工控入侵检测技术的原理,并从信息论的观点进行了对比研究.通过对工控系统特异性及其攻击手法的建模,归纳出工控攻击在协议栈、统计特性、通信行为等方面表现出的动态和静态指纹,基于一种新的异构信息的抽象方法,提出并实现了一个基于组合神经网络的启发式工控系统异常检测模型.测试结果表明该检测模型运行高效,相比一般智能方法检测结果更为准确.     

基于贝叶斯的Web系统DDoS攻击行为检测机制

提出一种基于贝叶斯的针对Web系统DDoS攻击行为检测机制,利用站长统计工具得到Web系统访问数据,引入贝叶斯定理,计算可能发生DDoS攻击的概率.实际测试表明,该机制能够有效判断是否存在针对Web系统的DDoS攻击行为,并能激活防御策略,切断无访问深度且停留时间过长的连接.     

基于渗透测试的网络安全漏洞实时侦测技术研究

传统网络安全漏洞侦测技术无法准确得到攻击注入点,和服务器交互频繁,导致侦测结果不可靠、效率低下。为此,提出一种新的基于渗透测试的网络安全漏洞实时侦测技术。设计了渗透测试下网络安全漏洞实时侦测系统,构建系统架构,在生成攻击图时,将网络当前节点漏洞看作单位编码,利用进化计算对不同漏洞属性权重进行调整,获取攻击图库。在设计攻击注入点分析模块时,利用广度优先爬取法,依据网页目录层次实现网络页面爬取;通过爬取过程获取网络全部页面攻击注入点,根据Bloom Filter对重复的URL进行去重处理。利用渗透测试实现攻击和分析模块设计,以此生成攻击图对注入点注入攻击;对攻击反馈进行研究,判断注入点是否存在网络安全漏洞。渗透测试时为了降低交互频率,通过探子请求技术完成探测,对是否进行进一步侦测进行判断。实验结果表明,所提技术侦测结果可靠,效率高。