面向IDS的DDoS攻击检测真实性分析

为了解决由于IDS检测结果的不确定性而导致其不能有效运用于DDoS攻击响应的问题,提出了一种对每例IDS检测出的DDoS检测结果进行真实性检验的算法.首先,通过分析具有代表性的攻击检测案例,研究了IDS对DDoS攻击产生误判的原因.然后,根据这些误判原因,提出了一组真实DDoS攻击所具有的特征,包括源地址伪造、报文特征测度不一致等.这些特征可以用形式化的方法进行描述并可支持对IDS的DDoS检测结果进行真实性分析.最后,基于利用这些特征建立的规则集,提出了一种可以对IDS的每例DDoS攻击检测结果进行真实性判定的算法,并将其应用于一个以流记录为数据源、在大规模网络边界工作的IDS.基于实际网络流量的运行结果表明,该算法可以准确有效地纠正基于规则匹配的IDS检测方法所产生的误判.     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

基于数据挖掘的入侵检测设计与实现

在现有的Intrusion Detection System（IDS）中,如果出现新的攻击方法或者网络环境的改变,经常需要更新已安装的IDS系统,但更新IDS特征库和适应网络环境是一个费时而缓慢的过程。利用数据挖掘技术,通过学习已有的攻击和正常活动数据。提取攻击规则,然后把这些规则应用到误用检测和异常检测中,这样系统可以有很高的自适应性。规则的更新和系统的更新很快费用也很低廉,而且检测率较高,通过实验证明将数据挖掘运用到入侵检测系统中是可行的、有效的。     

基于网络的入侵检测技术研究

随着网络安全风险系数不断提高,作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求.作为对防火墙及其有益的补充,入侵检测系统能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性.对基于网络的人侵检测技术的了解,有利于我们对基于主机的IDS、分布式IDS、智能IDS等方面的研究.     

基于网络的入侵检测技术研究

随着网络安全风险系数不断提高,作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,入侵检测系统能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。对基于网络的入侵检测技术的了解,有利于我们对基于主机的IDS、分布式IDS、智能IDS等方面的研究。     

网络入侵检测系统的技术分析与应用

本文对计算机网络入侵检测系统所涉及的概念、基本原理与实现、攻击识别方法、优点、局限性进行了较系统的技术分析,对目前市场上流行的两种网络IDS产品作了简单介绍。     

抵御蠕虫攻击的一种方法-Honeypot系统

Internet大面积遭受蠕虫攻击的事件时有发生，针对这种问题，引入Honeypot技术，结合入侵检测系统(IDS)、数据挖掘提出了一种解决办法：将Honeypot置于DMZ中，利用其欺骗地址空间技术覆盖服务器中没有用到的IP地址，捕获蠕虫；IDS监控流入网络的数据包，对入侵作出反映；系统日志异地保存。该系统能有效抵御目前已经出现的蠕虫攻击，同时对新出现的目前未知的蠕虫攻击也有很好的防御效果。     

基于改进动态源路由协议的MANET灰洞攻击检测和缓解研究

针对移动自组网络易遭受灰洞攻击的问题,提出一种改进动态源路由协议来检测和缓解灰洞攻击。首先,建立一种入侵检测系统(IDS),IDS节点仅当检测到灰洞节点时才设置为混杂模式;然后,通过检测节点转发数据包数目的异常差来检测恶意节点,当检测到异常时,附近的IDS节点广播阻塞消息,通知网络上的节点共同隔离恶意节点;最后,利用Glomosim工具进行的仿真实验验证了所提方法的有效性,该方法的平均丢包率仅为12.5%,端到端传输延时仅为0.116 s,比较表明,所提方法优于其他几种现有灰洞攻击检测方法。     

支持高精度告警的入侵检测系统的设计与实现

目前入侵检测系统（IDS）得到了越来越广泛的重视,发展日益迅速。然而,IDS在可用性、易用性方面还存在着较大的问题,其中一个方面表现在IDS提供的告警信息过于简单,基于这些信息用户难以对攻击的特点有全面清晰的认识,从而给IDS的发展带来了困难。本文在对网络攻击进行有效分类的基础上,提出了一种支持高精度告警的入侵检测系统,使得IDS能够将网络攻击的主要特征反馈给用户,从而让用户能够准确全面的了解攻击,及时采取相应的防范措施。     

报警融合及关联分析技术研究

网络中各种IDS在运行过程中会产生大量独立的、原始的报警信息,这些报警信息除了具有海量的特点外,还有比较高的误报率和漏报率,导致用户难于对攻击及时做出响应.利用报警融合和关联分析技术是能解决此问题的基本手段.本文对IDS报警融合和关联技术进行了介绍,并指出了需要进一步研究的问题.     

基于CASL的入侵检测系统测试

随着网络攻击种类的不断增加,对入侵检测系统(IDS:Intrusion Detection System)应用提出了挑战,入侵检测系统测试和评价也越来越迫切.使用CASL(Custom Audit Scripting Language)语言编写测试脚本(程序),模拟真实的网络攻击(入侵),对当前典型的入侵检测系统进行了入侵特征识别测试,从而验证了入侵检测系统在典型网络环境下识别入侵行为的能力.测试结果有助于刻画人侵检测系统的功能特性,为比较各种入侵检测系统建立了参考标准.     

一种自适应的分布式微防火墙系统

针对传统防火墙存在的不能防内部攻击、单一失效点等问题，提出了一种自适应的分布式微防火墙体系结构。在该体系结构中，基于包过滤的微防火墙运行在受保护实体上，并与微入侵检测系统一起提供双重细粒度的安全保护；分布式微入侵检测系统提供层次响应和自适应功能；移动代理系统实现了安全策略的动态更新，并提高了整个系统的可扩展性。     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

一种基于Snort规则的NIDS测试程序设计

入侵检测系统是解决网络安全问题的有效手段，而入侵检测系统能否达到设计要求也是我们十分关注的问题。介绍了一种基于Snort规则的NIDS测试程序设计，给出了设计的原理及其实现的过程。此程序通过解析Snort规则来构造攻击特征报文，发送到网络上被NIDS检测到并报警，从而测试和评估NIDS的承受能力。     

蜜罐检测系统与IDS的结合应用

随着网络入侵类型的多样化发展,入侵检测系统IDS作为防止黑客攻击的一种主要手段,日益显示出其在构建方法、检测效率、可移植性和可升级性等方面存在着普遍的缺陷。蜜罐技术的设计可以让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,这样可以弥补与改善IDS在设计上被动性的不足,为提前发现新的入侵检测规则提供有效的信息。蜜罐不直接给网络安全带来帮助,但它能收集和攻击者相关的攻击信息并分析这些信息,以此来研究攻击者和被蜜罐模仿的系统的漏洞,从而间接的为网络安全带来帮助。     

深度防卫的自适应入侵检测系统

为了全面检测黑客入侵和有效提高检测精度,提出了一种深度防卫的自适应入侵检测系统模型.该模型按照黑客入侵对系统影响的一般顺序,使用不同方法对网络行为、用户行为和系统行为3个层次涉及到的网络数据包、键盘输入、命令序列、审计日志、文件系统和系统调用进行异常检测,并利用信息融合技术来融合不同检测器的检测结果,从而得到合理的入侵判定.在此基础上,提出了系统安全风险评估方法,并由此制定了一种简单、高效的自适应入侵检测策略.初步实验结果表明,所提的深度防卫自适应入侵检测模型能够全面、有效地检测系统的异常行为,可以自适应地动态调整系统安全与系统性能之间的平衡,具有检测精度高、系统资源消耗小的优点.     

关联规则挖掘结合简化粒子群优化的哈希回溯追踪协议

针对源路径隔离引擎(source path isolation engine,SPIE)不能回溯追踪早期经过路由器的攻击数据包问题,提出了一种IP回溯追踪协议(IP trace-back protocol,ITP),该协议根据压缩哈希表、Sinkhole路由算法和基于网络取证的数据挖掘技术抵抗网络攻击.其中包含简化粒子群优化(simplified particle swarm optimization,SPSO)关联算法的分析管理器(attack analysis manager,AAM)通过分析来自Sinkhole路由器和入侵检测系统(intrusion detection systems,IDS)的攻击包的关联性生成攻击模式和攻击包规则,并将该结果通知系统管理器,Sinkhole路由器和IDS通过数据挖掘技术分析攻击包之间的关联性.通过比较SPIE,概率包标记(probabilistic packet marking,PPM)和iTrace的性能可以看出,ITP不仅能实时追踪后向攻击,而且能定期使用压缩哈希表(compressed hash table,CHT)完成追踪任务.因此,在抵抗DoS攻击方面,ITP性能优于SPIE,PPM和iTrace,此外,在回溯执行时间方面,相同跳跃数下,ITP比iTrace低2-3 s.     

基于Winpcap的网络流量仿真设计

为了在离线情况下模拟一个真实的网络环境进行入侵检测系统的离线评估，利用Winpcap结构框架设计实现了基于Windows平台的网络流量仿真程序。该程序可以按照实验人员的意愿把捕获到的真实数据回放到离线网络环境中，以便在实验室中进行流量测试。     

基于本体的报警分类技术在报警评估过程中的应用与实现

由于缺乏评估和关联报警的背景知识,IDS(入侵检测系统)产生的海量报警无法得到更进一步的真实化确认,从而使IDS成为当今安全产品中的诟病.在事件关联范畴内的报警评估是利用被监控系统的背景知识对IDS产生的大量报警进行进一步的分析,从而把真实的危害系统的报警呈现给用户的过程.这些用于评估IDS报警的背景知识包括受害主机系统信息和网络环境信息.本文介绍了事件关联的主要结构,并着重介绍报警评估的流程和所需背景知识库;然后详细描述了基于本体的背景知识库的分类技术;最后给出基于背景知识分类技术在报警评估过程中的具体实现过程.     

基于LM-BP神经网络的入侵检测系统的研究

针对传统BP神经网络存在收敛速度慢、易陷入局部最小点、计算量大的不足,提出一种结合Levenberg—Marquardt优化算法的BP神经网络,并应用在一个误用入侵检测系统。实验结果表明,新系统结合了异常检测和误用检测两者的优势,快速检测新型入侵,降低误警率和漏警率。