基于异常流量可视化的通信网络入侵攻击路径智能跟踪技术

为了解决通信网络的安全问题,防止通信网络被入侵,通过异常流量可视化方法研究了一种有效的通信网络入侵攻击路径跟踪技术。把流量采集点网卡设置成多样模式,对通信网络中的镜像流量进行采集。针对交换机上内外网间的端口流量,通过流量处理中心将不同网段采集点流量数据集合在一起统一处理,产生流量态势。针对采集及经处理后的流量,通过Set Timer()定时器函数发送消息,对消息进行处理,重绘窗口,实现流量可视化显示。将流量不对称性、SYN/ACK不对称性和方差过大作为异常流量特征参数,对异常流量进行检测。对流量异常入口进行限速处理,逐级向上进行限速,使得路径中已进行限速路由器下的全部路由器均限速,被标记的流量不会由于拥塞被删除。在减缓入侵的状态下通过异常流量,按照标记对攻击路径进行跟踪。结果表明,通过选择异常流量特征可有效检测异常流量;所提技术路径跟踪收敛速度与误报率比其他技术更低。可见,所提技术跟踪准确性好,整体性能优。     

基于SDN的家用路由器安全审计工具

在僵尸网络等威胁的环境下,本文提出了一种基于OpenFlow协议的无线路由器安全审计功能的设计与实现,旨在于通过计算信息熵检测路由器的流量是否存在异常,并将检测系统置于软件定义网络（software defined network,SDN）架构下,实现控制、展示功能.实验结果表明,整个系统能在明显检测网络中的DDoS攻击的前提下,使整个系统的运行内存仅有8 MB,网络负载仅有2.67%.      

基于资产安全保护的运营模式创新与应用

随着网络信息技术快速推陈出新、数字化转型工作不断深入、运营业务系统应用场景不断升级,安全运维模式的创新也势必要同步跟进.本文通过分析传统网络安全运维及其实践应用,建议在原有安全资产的基础上,构建由管理、流转、监测三个中心组成的网络安全运营模式,实现由传统边界安全防护向多层次、可感知的纵深防护体系及业务系统内生安全能力转...     

基于非对称VLAN的端口隔离技术研究与应用

高校校园网络存在着复杂的安全问题,局域网中广播报文引起的报文欺骗、流量劫持和广播风暴等安全威胁频繁发生.通过VLAN技术对交换机端口进行隔离,可以避免广播报文引起的网络安全问题.在研究VLAN技术原理的基础上,给出了基于非对称VLAN模型的交换机端口隔离部署方案.     

基于机器学习的网络流量分类算法分析研究

基于应用的流量分类在网络安全和管理中具有非常重要的作用.传统流量分类大部分是基于端口的预测方法和基于有效载荷的深度检测方法.由于当前网络环境中各种隐私问题以及基于动态端口和加密的应用,传统的网络流量分类策略的有效性已经逐步下降,目前主要集中在基于机器学习技术的流量分类模型进行研究.本文对各种基于机器学习算法的流量分类的比较,如贝叶斯网络(Bayes Net)、朴素贝叶斯(Naive Bayes)、基于RBF的SVM流量分类和基于遗传算法的SVM (GaSVM)流量分类等.这些算法分别使用了全特征选择和优化后的特征集合,实验结果表明基于遗传算法的SVM流量分类精度较高,并在使用主成分特征也可以达到很高的精度.     

基于报警数据融合的智能电网攻击检测方法

智能电网中信息技术的广泛使用为攻击者提供了更多的途径入侵和攻击电力系统,这已成为智能电网安全的最大隐患之一。提出了一种基于异常数据融合的智能电网攻击检测方法,通过入侵检测系统发现信息网络中的异常流量,利用标准化残差方法检测电力系统中的异常量测数据,通过关联信息网络和物理系统的异常报警数据来检测智能电网攻击事件。仿真实验表明该方法可以消除入侵检测与标准化残差检测产生的大量错误报警,显著提高智能电网攻击的检测精度。     

基于流量特征识别的哑终端安全管控系统

网络摄像头、网络打印机这类基于IP协议无用户交互界面的物联网哑终端通常基于嵌入式系统开发,存在程序固化难以更新、计算资源有限、采用简单的安全认证机制等问题,出现安全漏洞难以进行升级很容易被攻击者控制发起网络攻击.针对上述问题,本文设计并实现了基于流量特征识别的哑终端安全管控系统.该系统提取终端的流量特征,实现终端的身份鉴别和行为监管.在设备接入时,提取终端的流量静态特征实现身份鉴别;在设备接入后通过分析流量动态行为特征判断其是否存在异常行为.发现异常行为后阻断会话连接.该系统在实验环境和实测环境下性能均表现较好,设备识别准确率达到96.6%,异常检测准确率达到97.7%,可有效检测DOS、端口扫描等网络攻击行为.      

基于网络监听原理的信息安全管理

通过对网卡工作原理的研究，探讨了在共享式和交换式网络环境下进行监听的实现方法和基于核心设备的端口镜像技术，阐述了信息过滤技术的种类和在监听实施过程中采用信息过滤技术的重要性，并在校园网实际应用中利用端口镜像技术和信息过滤技术成功防范“冲击波”病毒。     

基于多样信息发展的入侵防御系统

目前的入侵防御系统发展都较偏向特征型入侵防御系统,特征型的入侵防御系统利用特征比对的方式,当流量收集进入入侵防御系统之后,通过特征资料库比对后,来确定流量是否为非法的攻击入侵的流量,还是合法的流量.本文通过以流量统计信息、异常入侵防御系统事件信息与系统环境弱点知识库,设计一个基于多样信息的入侵防御系统,并建立入侵检测事件的分析机制,以提高检测准确度与降低误判率,并应用于实际的网络环境中收集网络存取信息,期望能够检测出真正威胁网络的异常特征,并减轻对管理者的负担.     

网络安全和日常维护

本文通过综合运用SNMP采样、NetFlow分析和探针分析,并且利用Juniper路由器特有的端口镜像功能将这三种手段有效地结合起来,构造出一种“切片式”监控系统,可以较好地完成粗、细粒度结合的电信网络集中监控任务,从而为保障电信运营商网络安全打下一个坚实的基础。     

基于综合评分的DDoS检测分析报告系统

针对分布式拒绝服务攻击所采用的攻击方式多变这一问题,设计了综合评分算法,可以综合使用多个异常检测算法,综合评估以识别攻击.因现有的分布式拒绝服务攻击检测方法难以给出异常流量的具体特征,设计了Apriori-Geo-AS算法和端口分布分类的Kolmogorov-Smirnov检验算法,通过改进Apriori算法,能够更有效地提取攻击源的主要来源地址、端口和地理位置信息;通过和理想端口分布进行Kolmogorov-Smirnov检验,能够进一步判断出攻击者的端口使用模式.实验结果表明,异常检测算法正常时段的误报率低于0.2%,通过对清华大学校园网的网络攻击进行分析验证了本系统攻击分析部分的有效性.     

网络应用层会话分析系统的设计和实现

应用层会话分析可以用来反应网络状态、掌握用户习惯以及发现潜在的安全威胁。该文提出了一种网络应用层会话分析系统的设计和实现方法,给出了应用层协议包括固定端口和可变端口协议的分析算法。实验表明,该文的方法能够有效地在对局域网内的会话进行识别和统计。     

网络安全和日常维护

如何通过网络监控系统来保障运营商网络安全，特别是在大规模的电信运营商网络中进行集中式的网络监控一直是困扰运营商维护人员的难题。目前的监控手段都存在着一定的局限性，无法从根本上解决问题。本文通过综合运用SNMP采样、NetFlow分析和探针分析，并且利用Juniper路由器特有的端口镜像功能将这三种手段有效地结合起来，构造出一种“切片式”监控系统，可以较好地完成粗、细粒度结合的电信网络集中监控任务，从而为保障电信运营商网络安全打下一个坚实的基础。     

可视化网络智能运维管理平台在地震信息网络中的应用

当前,新一轮科技革命和产业变革正蓬勃兴起,地震信息网加速向数字化、网络化、智能化方向延伸拓展,软件定义、数据驱动、平台支撑、服务增值、智能主导的特征日趋明显。对标国家信息化战略部署和新时代防震减灾事业现代化建设需求,甘肃省地震局信息网络搭建时间早,设备类型众多,底层网络复杂,急需能实时直观体现当前拓扑结构,为网络拓展、改造提供方案依据。可视化网络智能运维管理平台可将引起网络拥堵、慢的环路、广播风暴源头在拓扑图上直接定位,多种实时告警方式,提前预警、定位全网流量监测,易区分链路、设备故障对有/无线用户的定位统一告警平台,降低运维难度,提高效率却实时监测。基于可视化网络智能运维管理平台的地震信息网,很大程度上提高了网络运维人员的工作效率,减轻了网络复杂性造成的网络运维压力,可实现安全、高效的网络环境和可智能运营的网络。     

基于线程管理-端口截听的木马检测系统的设计

随着互联网越来越生活化,层出不穷的木马已是网络安全的主要威胁,其隐蔽性很强,使一般检测工具难以检测.本系统通过直接扫描系统内核中的活动线程以及截拦活动线程的网络数据流量来进行木马的检测.可以检测出当前所有类型的进程隐藏木马.     

用流量分析法检测强制口令破解网络入侵

通过检测网络中每台计算机各个端口的数据流量,发现当入侵者试图破解Telnet或 Ftp口令而入侵主机系统时,被攻击的主机及实施攻击的客户机之间的数据流量与正常情况有明显差异.这种方法可以用于检测网络入侵.     

无线网络入侵检测与对策之浅谈

随着无线技术的进一步发展,无线网络的应用也越来越广泛,而无线局域网却存在着来自网络内外部各种各样的威胁,传统的入侵检测系统仅能检测和对破坏系统做出反应。无线入侵检测系统不但能检测出攻击者的行为,还能检测到rogue WAPS,识别出未加密的802.11标准的数据流量。     

网络信息安全技术综述

近年来,随着计算机应用技术,如,Internet技术的迅速发展,一方面,基于网络的计算机系统在现代社会中的地位越来越重要,越来越多的用户可以足不出户地访问到全球网络系统丰富的信息资源。网络信息技术的应用也日益的普及和推广,各种商务、金融机构以及国家政府机构在电子商务热潮中纷纷连入Internet;另一方面,伴随着网络不断增强的信息共享和业务处理,这些关键的业务越来越多的成为黑客的攻击目标,网络的安全问题也显得越来越突出,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全也提出了更高的要求。网络安全的一个主要威胁是来自于非法用户或黑客通过网络信息系统进行的入侵。而传统的安全方法是采用尽可能多的禁止策略对入侵进行防御,但是这种策略无法防止隐信道的产生以及系统所认定的授权用户的非法操作,对于来自内部非法操作、口令和密码的泄漏、软件缺陷以及拒绝服务型攻击（Dos）则更是无能为力。     

无线局域网自适应安全管理框架及其应用

针对无线局域网易受攻击、入侵等诸多安全问题,提出一种分布式无线局域网(WLAN)安全管理框架(ASMF),并基于该框架实现了自适应的安全管理系统(ASMS).ASMF框架依据协议分析和测试理论,即:应用主动分析法,通过构造、执行攻击测试用例,与待测协议进行交互,模拟WLAN漏洞的攻击行为,分析WLAN的防御能力;应用被动分析技术,通过实时的网络报文分析、网络性能监测和自适应调整监测策略进行综合的WLAN安全分析和安全管理.与已有的安全系统相比,ASMF不仅能够被动地检测攻击,而且可以主动地探测未知漏洞与威胁,同时根据网络配置自适应调整防御策略,其良好的扩展性使得用户可针对新型攻击的测试、检测和自定制管理策略进行自由扩展.     

基于相对熵的网络流量异常检测方法

网络流量的异常检测是网络安全领域一个重要分支,目标是及时准确地检测网络中发生的突发攻击事件。现有流量异常检测方法如数据挖掘、小波分析等方法或因检测效果较差,或因算法复杂,难以满足实时在线流量检测的应用需求。文中引入信息熵概念,通过对网络流量进行分维和分层实时计算网络流量相对熵,提出了一种基于相对熵的流量异常检测方法,算法时间复杂度为O(N×log2N×D)。实验分析表明,当检测率达到0.80～0.85时,误报率控制在0.03～0.05,可同时满足系统实时性和准确性要求。