入侵检测系统规则的挖掘

针对基于网络的入侵检测系统Snort,提出了一种新颖的规则挖掘方法.这种方法希望帮助Snort入侵检测系统,自动从检测的攻击数据中生成误用检测规则,实现自动检测最新攻击和异常攻击的能力.为了达到这样的功能,设计了一个规则挖掘模块,它能够应用数据挖掘技术从收集的检测攻击包中提出新的攻击规则,并且转化到Snort系统的检测...     

高吞吐量协作防火墙的双向去冗余方法

针对协作防火墙中冗余规则会降低其吞吐量的问题,提出一种基于双向去冗余的高吞吐量协作防火墙优化方法.该方法通过比对协作防火墙中双方的防火墙规则,双向去除域内防火墙之间的冗余规则,提高整个协作防火墙的数据包过滤能力.仿真实验结果表明,该方法的冗余率达到了22.7％,提高了8.2％吞吐量,明显优于已有协作防火墙优化方法.     

基于MPI堡垒主机防火墙的可疑IP预警方法研究

提出基于MPI堡垒主机防火墙的可疑IP预警系统.系统防火墙规则集合划分为子集形式,各个子集相互独立,动态调整规则库,运行并行任务,实现安全报警机制和并行实现检测过程;能够快速、准确的对可疑IP进行跟踪和预警,采用针对网络地址转换的内部IP地址监控,更加有效地填补防火墙对内防范的不足.实验结果显示,并行防御策略具有较大的优势,能够实现优化防火墙整体防御性能.     

基于Visual prolog语言的专家系统

目前专家系统的应用领域非常的广泛,解析防火墙配置的问题很自然的由一个专家系统来解决.防火墙通过控制和检测网络之间的信息交换和访问行为来实现对网络安全的有效管理.其中防火墙的包过滤规则是根据网络安全的实际需要来制定的,而管理防火墙规则变得越来越复杂,并且容易出错.本文提出了解析防火墙规则的专家系统方案及其实现,实现了防火墙过滤规则正确性检查以及对于规则的处理等功能.对于提高防火墙的智能性产生了积极的作用.     

嵌入式防火墙规则冲突检测算法的实现

在嵌入式状态检测防火墙应用中,规则冲突检测是影响系统安全及服务质量的关键。由于嵌入式系统受系统资源制约,基于文本的防火墙规则检测较基于数据库完整性检查的规则冲突检测更灵活、实用。文章首先对iptables防火墙管理程序及其脚本的语法规则进行介绍;然后完成基于文本的防火墙规则检测算法的实现,最后对算法性能进行了分析。     

基于流量分析与双阈值包过滤策略的DDoS防范机制的研究

DoS攻击目的是使计算机或网络无法提供正常的服务,危害性极大.虽然目前提出的DoS解决方案很多,但各有优缺点.针对以往防火墙面对DDoS(分布式拒绝服务)攻击时的漏判或误判行为,文中提出了一种基于流量分析和双阈值策略的防范机制,采用可通信表记录可信任站点,使用双阈值并添加入侵检测提高系统性能,该方案利用Netfilter框架,在NF_IP_PRE_POUTING处注册了自己的防火墙模块,实现了对DoS攻击的入侵检测以及当攻击产生时过滤异常包等功能.通过实验环境测试了系统,验证了相关结论.     

一种基于SFDD的状态防火墙规则集比对方法

状态防火墙是一种新型防火墙,而传统防火墙决策图(FDD)构造算法并不适用于状态防火墙的规则集比对.本文在FDD基础上,提出一种状态防火墙决策图(SFDD)构造算法,将规则集转化成图形化的等价的SFDD,用于状态防火墙规则集比对.理论分析和仿真实验结果表明,利用SFDD构造算法进行比对,能有效检测出规则集之间的全部不同点;当状态防火墙的状态部分规则和无状态部分规则条目数量均达到3 000时,比对过程所耗费的平均时间不超过2s.     

Linux防火墙的Web设置系统

给出了 L inux防火墙的可视化设置系统 ,同时提出了一些防火墙规则语义完整性检测的方法 ,以辅助用户输入     

Iptables防火墙总体架构实现研究

防火墙作为网络安全技术的重要手段,已成为使用最多的网络安全解决方案。本文在对现有防火墙技术分析的基础上,构建了一种基于Iptables的Linux防火墙。Iptables管理工具是一种基于包过滤的防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。本文是在Netfilter框架下的构建的Iptables策略,用户可以自己编制规则来构建防火墙的过滤策略,使得防火墙具有很好的稳定性与可扩展性。     

基于COME模块的单类支持向量机的入侵检测系统

根据工业控制系统（简称ICS）的规范,COM-Express模块及有限状态的特点,结合数据包的深度协议解析和工业控制系统过程控制模型,设计了过程控制指令的规则匹配检测算法和提供检测方案的异常检测模型.单类支持向量机（OCSVM）分级过程控制规则,对具体入侵检测模型样本的特征提取,单分类器生成过程的详解以及变化检测算法,结合DCS训练模型精度和入侵检测的仿真实验数据,伴随COM-Express模块的使用,实验结果验证了ICS网络数据异常入侵检测模型的有效性,该技术具有巨大的实用性和推广价值.      

FPC: A New Approach to Firewall Policies Compression

Firewalls are crucial elements that enhance network security by examining the field values of every packet and deciding whether to accept or discard a packet according to the firewall policies. With the development of networks, the number of rules in firewalls has rapidly increased, consequently degrading network performance.In addition, because most real-life firewalls have been plagued with policy conflicts, malicious traffics can be allowed or legitimate traffics can be blocked. Moreover, because of the complexity of the firewall policies, it is very important to reduce the number of rules in a firewall while keeping the rule semantics unchanged and the target firewall rules conflict-free. In this study, we make three major contributions. First, we present a new approach in which a geometric model, multidimensional rectilinear polygon, is constructed for the firewall rules compression problem.Second, we propose a new scheme, Firewall Policies Compression(FPC), to compress the multidimensional firewall rules based on this geometric model. Third, we conducted extensive experiments to evaluate the performance of the proposed method. The experimental results demonstrate that the FPC method outperforms the existing approaches, in terms of compression ratio and efficiency while maintaining conflict-free firewall rules.     

基于防火墙的网络入侵检测系统

提出了一个基于防火墙的网络入侵检测系统模型,克服了传统入侵检测系统不能实现主动控制的缺陷,并对设计与实现中的关键技术做了详细的描述·该系统在数据链路层截取实时的数据包,对其进行基于安全策略的访问控制分析;同时利用事件发生器从截获的IP包中提取出概述性事件信息并传送给入侵检测模块进行安全分析·入侵检测模块采用基于统计的入侵检测技术,并采用了NaiveBayes算法·基于该模型设计实现的系统在实际测试中表明对于具有统计特性的网络入侵具有较好的检测与控制能力·     

Approach to Anomaly Traffic Detection in a Local Network

The research intends to solve the problem of the occupation of bandwidth of local network by abnormal traffic which affects normal user's network behaviors.Firstly,a new algorithm in this paper named danger-theory-based abnormal traffic detection was presented.Then an advanced ID3 algorithm was presented to classify the abnormal traffic.Finally a new model of anomaly traffic detection was built upon the two algorithms above and the detection results were integrated with firewall.The firewall limits the band...     

防火墙和入侵检测系统联动

网络技术正以愈来愈快的速度发展,然而在网络技术发展的同时,网络攻击的水准也在提高.新的形式之下,人们过去所主要依赖的防火墙技术和入侵检测技术,它们各自的不足之处也暴露出来了.将防火墙和入侵检测技术作为一个防御整体的思想,就在这种情况之下应运而生了.这种新模式的优势在于将入侵检测系统置于防火墙的保护范围之中,弥补了其防御力弱的缺点;将入侵检测系统的信息与防火墙共享,弥补了其可能出现的漏洞.对防火墙和入侵检测系统的联动的具体实现,做出了描述.     

Service Provider Interface技术研究及实现

防火墙作为一种网络安全工具已得到广泛的应用.结合当今的防火墙技术,给出了一个网络防火墙的设计方法.利用Winsock 2 SPI编程接口,编写自己的基础服务者,实现一种安全的防火墙结构.在Windows平台下,防火墙的基本原理都是对网络数据包的拦截过滤.包过滤防火墙采用了工作在应用层的Winsock 2 SPI作为其核心技术,编写动态链接库(DLL),用户通过调用DLL实现数据包的过滤.此方法具有编程、调试方便,容易实现内容过滤等优点,在防火墙方面得到广泛的应用.     

日志分析及其在入侵检测系统中的应用

指出了日志分析是入侵检测系统中的一项重要内容，在分析现有的基于日志分析的入侵检测方法的基础上，提出了一种新的基于日志分析的入侵检测模型。该模型综合采用了基于入侵知识和入侵行为的分析，因而具有此两种检测方法的优点，实践证明这是一种有效的方案。     

状态防火墙受攻击导致状态表溢出故障的解决

网络防火墙的状态检测就是针对连接请求的数据包,检查连接实体其是否符合TCP/IP 协议的状态转换规则,相符则接收数据.DoS/DDoS攻击通过在短时间内发送大量短小的数据包给防火墙,造成状态表被填满而拒绝接收新的连接,导致产生拒绝服务攻击.传统的解决方案往往增加防火墙的负担.针对网络上常见的流量型DoS/DDoS攻击造成的状态防火墙状态表溢出故障提供一种应急解决方案.     

一个分布式协作的大规模网络恶意代码检测系统

恶意代码已在网络中造成了严重的危害,对恶意代码进行有效地防治成了一项必需的研究. 研究了在大规模网络下,通过已知检测和异常发现两个模块,进行分布但自治式的检测,集中式的控制与分析模型. 异常发现模块采用可靠的技术,从网络中发现异常,并提交给分析控制中心;分析后将特征更新到已知检测模块的特征库中,实现将未知变为已知. 建立了系统模型,能够有效地发现新的疫情并及时地控制.     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service,DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking,SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

基于小波变换的入侵检测方法

入侵检测是保护信息系统安全的重要途径,作为一种新的动态安全防御技术,它是继防火墙之后的第二道安全防线.入侵检测的关键是采用何种检测方法来有效地提取特征数据并准确分析出非正常网络行为.利用小波变换自适应的时频局部化分析方法,可以由粗及精的逐步观察信号,从中发现网络流量的一些隐藏的细节.通过对实际流量的分析,表明小波技术可以有效的揭示出周围环境和异常流量的细节特征,检测出异常.