基于密度和最优聚类数的入侵检测方法

针对聚类算法在入侵检测应用中存在的参数预设、聚类有效性评价、未知攻击类型检测等问题,提出了一种基于密度和最优聚类数的改进算法,根据样本的分布情况启发式地确定初始聚类中心,从样本的几何结构角度提出一种新的内部评价指标,给出了最优聚类数确定方法,在此基础上,设计了一个增量式的入侵检测模型,实现了聚类中心和聚类数目的动态调整.实验结果表明,与K-means及其他两种改进聚类算法相比,新算法收敛速度更快、聚类准确率更高,能够对未知网络行为进行有效聚类,具有较好的入侵检测效果.     

基于行为特征库的木马检测模型设计

目前木马检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型木马.为了更好的检测新型木马,详细归纳总结木马的行为特征,同时在此基础上提取木马通适性行为特征,构建木马行为特征库,设计了基于行为特征库的木马检测模型,并应用模糊模式识别方法判断木马程序.通过实验证明此模型可以对可疑程序的行为特征进行分析判断,较准确地识别木马程序.该检测模型是对基于特征码检测技术的强有力补充,在新型木马不断涌现的今天,基于木马行为特征检测技术具有重要的应用意义.     

一种基于聚类算法的网络入侵检测应用

针对网络入侵检测与聚类等问题,提出了一种综合模糊聚类与改进的SOM神经网络方法.通过对网络入侵数据提取、分析和处理,建立了网络入侵检测聚类模型,并对传统SOM网络层次进行改进,结合易发的网络入侵类型有针对性地对网络入侵数据进行聚类.网络入侵检测聚类与其他方法比较的结果表明,该模型在网络入侵检测聚类中具有更高的准确性和均衡性,该方法能有效提高网络入侵分类精度,减少聚类误差.     

基于AIC准则优化的径向神经网络微地形曲面重构

采用RBF网络模型进行复杂微地形曲面重构,建立了适应于曲面重构的RBF网络模型.在建立网络模型过程中,对不同的聚类半径由最近邻聚类法求出不同类别的聚类数目及相应的聚类中心和初始扩展常数,通过对不同类别分别进行调整扩展常数的网络训练,求出其最小AIC量,再根据赤池信息量准则确定最优结构的RBF神经网络模型,从而进行复杂微地形的曲面重构.实验结果表明:该方法能较好地反映原始地形;这种基于AIC准则将样本输入信息与样本输出信息同时考虑,进行RBF网络结构优化的方法,为确定最优RBF网络模型的隐节点数目及相应参数提供了途径.     

基于萤火虫群算法的网络入侵优化检测算法

针对模糊C 均值聚类法因对初始聚类中心敏感且容易陷入局部极小值而导致无法在网络入侵检测中获得精确分类结果的问题, 提出了基于萤火虫群优化（GSO: Glowworm Swarm Optimization)算法的网络入侵检测方法。采用标记样本得到初始聚类中心, 运用萤火虫群优化实现对聚类中心的优化。结果显示该方法有效。     

基于信息传递效率的地铁网络小世界特性评价

为了差异化直接相邻和间接相邻的车站对信息传递效率的影响,该文建立了基于信息传递效率的聚类系数模型,构建了地铁网络小世界特性评价方法。通过对全球52个城市的地铁网络样本的小世界特征值计算,得到基于信息传递效率的聚类系数算法的聚类系数值在0.195~0.407之间,平均值为0.29,虽然小于以线路为演化单位的公共交通网络中P空间(Space-of-Stops)下的聚类系数值,仍然远大于相同规模的随机网络聚类系数值(0.01~0.16,平均值为0.06)。故认为基于信息传递效率的聚类系数算法能够更加严格地评价物理网络是否具有小世界特性。在此方法下,52个样本城市地铁网络仍具有小世界特性。     

工艺偏差下基于因子分析的硬件木马检测方法

针对侧信道硬件木马检测方法受到工艺偏差噪声和测试噪声影响的问题,提出了一种基于最大似然因子分析结合聚类判别的硬件木马检测方法.首先获取待测芯片的功耗信息,利用因子分析的方法提取公共因子,并利用最大似然方法计算因子载荷矩阵,最后使用分层聚类方法对因子载荷矩阵进行分类,区分出含有硬件木马的待测电路.利用现场可编程门阵列检测平台在考虑工艺偏差影响的情况下进行了实验验证,结果表明:在母本电路等效门数约为4 292个与非门的情况下,采用基于因子分析结合聚类分析的硬件木马检测方法可以在工艺偏差条件下有效检测出占母本电路面积比0.44%左右的硬件木马.     

无线传感器网络的层次化故障模型

为了在无线传感器网络可靠性研究中对故障检测等容错机制进行准确评价和量化分析,有必要进行网络故障模型的研究。该文提出了1种具有高覆盖度特点的网络层次化故障模型。在4种网络故障类型研究基础上利用图论方法提出面向节点层和子网络层的层次化故障模型设计方法,基于复杂网络聚类系数给出1个面向故障模型的单点型关键节点判定定理,并以此为例通过子模型有效性原则对该类模型进行了证明,结果表明该故障模型有效。     

基于模糊聚类广义回归神经网络的网络入侵研究

采用结合模糊聚类和广义神经网络回归聚类分析的方法,对5种网络入侵行为模式进行有效的聚类.首先用模糊 c 均值聚类算法将入侵数据分为5类,再将聚类的结果中最靠近每类中心的样本作为广义神经网络的聚类训练样本进行数据训练,训练输出的结果即为该个体所属的入侵类别.实验结果表明:新算法对网络入侵途径的分类精度更高,可为预防网络入侵提供更可靠的数据支持     

计算机木马检测中木马行为诱发研究

具有高深隐藏技术的计算机木马在没有被捕获到特征码以前,基于特征码的杀毒软件没有办法进行常规检测,只能通过基于行为的方式进行检测;但是,对于不以大规模破坏计算机信息系统为主要目的而以特定信息窃取为目的的木马,在特定条件没有得到满足前,木马通常处于"休眠式"的潜伏状态,极少的行为往往能够躲避基于行为检测的检测方式。为此,本文将对计算机木马检测中的木马诱发条件进行研究,探索触发木马产生更多"工作行为",以提升木马检测成功率的模拟环境模型。     

基于SVM的木马流量特征检测方法

针对木马能以隐蔽的方式盗取用户敏感信息、文件资源或远程监控用户行为,对网络安全构成极大威胁,提出一种基于流量特征的木马检测方法,通过统计分析服务器端口有序性、服务器使用客户端端口号、客户端发包数、服务器端发包数等特征,使用支持向量机(support vector machine,SVM)算法进行分类训练并建立基于流量的木马监测模型;基于流量特征的普遍性和通用性,该方法对于未知木马也比较有效.仿真测试结果表明,所提出方法具备对常见木马或未知木马的良好检测能力,实验条件下盲检测准确率可达96.61%.     

HTDet:A Clustering Method Using Information Entropy for Hardware Trojan Detection

Hardware Trojans(HTs) have drawn increasing attention in both academia and industry because of their significant potential threat.In this paper,we propose HTDet,a novel HT detection method using information entropybased clustering.To maintain high concealment,HTs are usually inserted in the regions with low controllability and low observability,which will result in that Trojan logics have extremely low transitions during the simulation.This implies that the regions with the low transitions will provide much more abundant and more important information for HT detection.The HTDet applies information theory technology and a density-based clustering algorithm called Density-Based Spatial Clustering of Applications with Noise(DBSCAN) to detect all suspicious Trojan logics in the circuit under detection.The DBSCAN is an unsupervised learning algorithm,that can improve the applicability of HTDet.In addition,we develop a heuristic test pattern generation method using mutual information to increase the transitions of suspicious Trojan logics.Experiments on circuit benchmarks demonstrate the effectiveness of HTDet.     

Rookit木马的隐藏机理与检测技术剖析

随着网络技术的发展，基于传统隐藏技术的木马已经很难生存，木马隐藏技术开始由Ring 3级转入Ring 0级．运行在Ring 0级的木马，拥有与系统核心同等级的权限，隐藏与伪装更为容易．笔者讨论了Windows内核系统服务调用机制，分析了删除进程双向链表中的进程对象、SSDT内核挂钩注册表隐藏、端口隐藏等Rootkit木马的隐藏机理，最后对Rookit木马的几种检测技术作了详细的剖析．研究内容对增强人们防患意识、更好地维护计算机系统的安全有一定的参考价值．     

An unknown Trojan detection method based on software network behavior

Aiming at the difficulty of unknown Trojan detection in the APT flooding situation, an improved detecting method has been proposed. The basic idea of this method originates from advanced persistent threat (APT) attack intents: besides dealing with damaging or destroying facilities, the more essential purpose of APT attacks is to gather confidential data from target hosts by planting Trojans. Inspired by this idea and some in-depth analyses on recently happened APT attacks, five typical communication characteristics are adopted to describe application’s network behavior, with which a fine-grained classifier based on Decision Tree and Na ve Bayes is modeled. Finally, with the training of supervised machine learning approaches, the classification detection method is implemented. Compared with general methods, this method is capable of enhancing the detection and awareness capability of unknown Trojans with less resource consumption.     

基于旁路分析的硬件木马检测方法

集成电路芯片在不受控的制造过程中可能会被嵌入恶意电路结构,形成硬件木马,这给集成电路芯片的可靠性和可信度带来了极大的隐患,而利用传统的测试技术很难发现这些硬件木马.针对这一问题,文中提出了一种非破坏性的、基于旁路分析的硬件木马检测方法,它通过对芯片功耗瞬态变化情况的分析,采用奇异值分解算法对功耗进行统计处理来检测芯片中的硬件木马.在FPGA芯片上的硬件验证结果表明,即使在测量噪声和工艺扰动较大的环境中,文中方法也能检测出面积比原始电路小2个数量级的硬件木马.     

基于系统调用的安卓寄生木马的检测

在基于安卓操作系统的手机中,很多安全检测软件对独立存在的木马有很好的防范能力,却很难检测出依附于正常程序的寄生木马,文中提出一种新的安卓寄生木马检测方法,通过检测手机发送的数据包实时确定发送包的端口,再根据已确定的端口和系统提供的信息,将会发现通过该端口发送包的进程,接着追踪到创建该进程的应用程序,最后通过分析程序的系统调用序列判断其是否有寄生木马,仿真实验显示该方法可以有效地检测出安卓寄生木马。     

基于有限状态机的硬件木马设计和插入

针对集成电路设计和制造中存在的硬件木马问题, 提出一种新的模型来提高木马检测能力。该模型基于有限状态机, 比组合电路型木马难于触发和检测。同时, 木马电路插入位置的选择也可以有效规避路径延时检测方法。实验选择ISCAS’89基准电路中的S349作为目标电路, 对功能和延时信息进行仿真。实验结果表明, 这种类型的木马难于激活, 并且选择合适的插入位置可以有效隐藏延时信息。     

基于Snort传感器的分布式入侵检测系统在校园网络中的实验测试

在校园网中部署基于Snort传感器的分布式入侵检测系统,并进行后门木马Bdoor攻击实验测试,以检测系统是否能主动、实时地全面防范一系列的网络攻击。实验测试结果显示,基于Snort的分布式入侵检测系统可以有效检测出校园网络中由于网络攻击带来的安全问题。     

Anomaly-based model for detecting HTTP-tunnel traffic using network behavior analysis

Increasing time-spent online has amplified users＇ exposure to tile tilreat oI miormanon leakage. Although existing security systems （such as firewalls and intrusion detection systems） can satisfy most of the security requirements of network administrators, they are not suitable for detecting the activities of applying the HTTP-tunnel technique to steal users＇ private information. This paper focuses on a network behavior-based method to address the limitations of the existing protection systems. At first, it analyzes the normal network behavior pattern over HTI＇P traffic and select four features. Then, it pres- ents an anomaly-based detection model that applies a hierarchical clustering technique and a scoring mechanism. It also uses real-world data to validate that the selected features are useful. The experiments have demonstrated that the model could achieve over 93% hit-rate with only about 3% false- positive rate. It is regarded confidently that the approach is a complementary technique to the existing security systems.