WSN 中基于博弈理论的入侵检测研究

传统的无线传感器网络(wireless sensor networks,WSN)入侵检测研究主要关注检测系统自身算法的设计与优化,而入侵检测系统在采取行动时,本身会受到攻击者的影响.针对这一问题,运用博弈理论建立了一个带惩罚机制的博弈模型,分析了检测系统与入侵者之间的攻防博弈过程.同时对入侵者施加合适的惩罚力度来遏制入侵行为.仿真结果表明,该方案可以有效检测到无线传感器网络中存在的异常节点,并有效降低入侵者的攻击频率.     

陷阱系统的研究与设计

互联网的广泛应用使信息资源的作用得到了极其充分的发挥，同时导致了众多不安全因素的介入。已在网络中普遍应用的防火墙和入侵检测系统这两种防护手段，虽然取得了很好的安全防护效果，但还存在发现和预防的能力不够，不能确切知道或预测入侵者的攻击目标或手段等不足。而陷阱系统的应用能弥补这些不足，增强网络的安全性。     

浅谈网上办公系统中入侵检测技术

入侵检测技术是发现攻击者企图渗透和入侵行为的技术。由于网络信息系统越来越复杂,以致人们无法保证系统不存在设计漏洞和管理漏洞。在近年发生的网络攻击事件中,突破边界防卫系统的案例并不多见,黑客们的攻击行为主要是利用各种漏洞长驱直入,使边界防火墙形同虚设,信息技术的普及和信息基础设施的不完备导致了严峻的安全问题。人们不得不通过入侵检测技术尽早发现入侵行为,并予以防范。入侵检测技术根据入侵者的攻击行为与合法用户的正常行为明显的不同,实现对入侵行为的检测和告警,以及对入侵者的跟踪定位和行为取证。本文主要从ISS的Real Secure入侵检测系统的特点出发实现网上办公系统的入侵检测功能。     

浅议计算机网络的入侵检测技术及其发展方向

近年来,随着网络的普及与应用领域的逐渐扩展,网络安全与信息安全问题日渐突出。入侵检测技术（IDS）是近年来出现的新型网络安全技术,它通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动,它的应用扩展了系统管理员的安全管理能力,帮助计算机系统抵御攻击。     

用流量分析法检测强制口令破解网络入侵

通过检测网络中每台计算机各个端口的数据流量,发现当入侵者试图破解Telnet或 Ftp口令而入侵主机系统时,被攻击的主机及实施攻击的客户机之间的数据流量与正常情况有明显差异.这种方法可以用于检测网络入侵.     

Web数字取证系统的研究与实现

通过对当前信息安全的分析,数字取证已成为信息安全和司法领域的研究热点.文中在分析现有Web攻击的基础上,综合利用基于主机和网络的入侵检测技术,开发出一套高效实用的Web数字取证系统.该系统通过取证代理不断监视和分析网络中对Web服务器的访问情况,在保护Web服务器安全的基础上,确定网络入侵者的行为是否已构成犯罪,然后提取和分析入侵犯罪信息,实现证据信息的完整性保护,同时通过对证据进行融合,生成入侵犯罪证据.     

一种基于引理推理的攻击过程分析方法

针对事后入侵响应,提出了一种基于引理推理的攻击过程分析方法。该方法利用被入侵网络安全漏洞间存在的推理关系建立被入侵网络的有色加权有向图。通过修改的Dijkstra算法计算入侵者可能的利用安全漏洞进行攻击的序列集合,以及序列相应的对入侵结果合理解释的支持度。依据支持度选取安全漏洞序列,并在网络设备和对应网络主机中寻求相关的支持证据,最终确定入侵者的攻击过程。实例表明该方法能够快速有效地实现网络攻击过程分析,并且具有良好的可扩展性以及能够识别出新的未知的攻击手段。     

业务蜜网系统的有限自动机

通过诱骗容忍入侵者的破坏行为．蜜罐可以深入了解入侵工具和入侵目的等入侵行为信息，解决传统网络安全技术对未知入侵攻击无能为力的难题，直接或间接地提高系统网络安全性能。深入研究了蜜罐技术的高级实现形式蜜网系统．对比了业务型和研究型两种蜜网系统．并通过有限自动机形式化模拟了业务蜜网系统，描述了其状态转换过程，为业务蜜网系统的行为描述和结构设计提供了理论依据和论证。     

基于资源的分布式入侵检测系统模型研究

提出一个基于资源的分布式入侵检测系统模型。该模型由智能的资源代理组成,每个智能代理都是独立的实体,拥有解决问题的不完全的信息或能力。该模型通过协同工作实时检测网络入侵行为,跟踪网络入侵者,有效地维护网络安全。     

基于测距的WSN节点复制攻击检测算法

现有的无线传感网节点复制攻击检测方法多依赖于网络中节点的精确位置信息和同步时钟信息,而在网络实际运行中往往很难保证实时有效的节点位置信息和同步时钟信息。提出了测距法来检测节点复制攻击,不需要精确定位和网络时钟同步;定义了三种检测准则,给出检测系统实现方案和算法流程图。实验表明,该系统实用、可靠。     

一种IP可追踪性的网络流量异常检测方法

提出了一种支持IP可追踪性的网络流量异常检测方法.该方法实时记录网络数据流信息到概要数据结构,然后每隔一定周期进行异常检测.采用EWMA预测模型预测每一周期的预测值,计算观测值与预测值之间的差异sketch,然后基于差异sketch采用均值均方差建立网络流量变化参考模型.该方法能够检测DDoS、扫描等攻击行为,并能追踪发生异常的流中的IP地址.通过模拟试验验证,该方法占用很少的计算和存储资源,能检测骨干网络流量中的异常IP地址.     

基于代理的主动型网络取证系统

针对数字证据特点和网络取证要求,设计实现了一种基于代理的主动型网络取证系统。该系统从入侵检测系统和主机系统等多数据源主动收集数字证据,通过完整性算法保证数字证据传输和存贮过程中的完整性。取证分析时,系统根据网络攻击各阶段时间与空间相关性,数据流时间与空间特征融合,数据流与数据包特征融合等多种技术手段实现多阶段网络攻击过程分析和攻击源定位。使用及鉴定结果表明,系统能够满足网络取证要求,能够正确有效地实现网络取证的各项功能。     

基于攻击模拟的网络安全风险分析方法研究

提出了一种基于攻击模拟的网络安全风险分析方法.在提取目标系统及其弱点信息和攻击行为特征的基础上,模拟攻击者的入侵状态改变过程,生成攻击状态图,并给出其生成算法.利用攻击状态图识别出了潜在的威胁及其所涉及的主体、客体和行为,经过定量评估得到各种入侵路径的风险程度,为分析风险状况和制定风险控制策略提供了依据.通过典型实验环境,验证了该模型的实用性及有效性.     

基于隐马尔可夫模型的电力信息系统动态威胁定量分析

针对典型电力信息系统的网络威胁定量评估问题，提出了基于网络入侵检测系统（network intrusion detection syetem，NIDS）报警信息和隐马尔可夫模型的网络威胁动态分析方法HMM-NIDS。该方法充分利用NIDS报警信息，从优先级、严重度、资产值和可信度4个方面分析NIDS报警信息，给出了报警威胁定量描述和分类方法，优化了隐马尔可夫模型中的观测矩阵；基于贝叶斯网络分析攻击成功的可信度，避免NIDS误警信息干扰；基于改进的隐马尔可夫模型，融合得到系统的动态风险量化值。基于Darpa2000实验场景模拟DDoS攻击，通过对比实验，验证了所提方法的有效性和优越性。     

云计算环境中移动网络低匹配度异质信息入侵感知预测算法

针对传统灰色神经网络组合预测算法对网络中入侵信息预测时, 缺乏对低匹配度异质信息的预处理过程, 未对信息入侵攻击意图进行预测, 存在预测准确率低以及入侵防御性能差等问题, 提出一种新的云计算环境中移动网络低匹配度异质信息入侵感知预测算法, 通过灰色模型对初始网络低匹配度异质信息进行预处理. 先采用基于元路径的低匹配度异质信息入侵感知预测算法得到入侵攻击意图矩阵, 再根据该矩阵获取入侵攻击意图函数关系, 实现低匹配度异质信息入侵攻击意图预测. 仿真实验结果表明, 该算法可全面预测信息入侵的意图和过程, 对入侵信息节点防御成功率约为85%, 误警率和漏警率较低, 并具有较高的预测精度.     

云计算环境中移动网络低匹配度异质信息入侵感知预测算法

针对传统灰色神经网络组合预测算法对网络中入侵信息预测时, 缺乏对低匹配度异质信息的预处理过程, 未对信息入侵攻击意图进行预测, 存在预测准确率低以及入侵防御性能差等问题, 提出一种新的云计算环境中移动网络低匹配度异质信息入侵感知预测算法, 通过灰色模型对初始网络低匹配度异质信息进行预处理. 先采用基于元路径的低匹配度异质信息入侵感知预测算法得到入侵攻击意图矩阵, 再根据该矩阵获取入侵攻击意图函数关系, 实现低匹配度异质信息入侵攻击意图预测. 仿真实验结果表明, 该算法可全面预测信息入侵的意图和过程, 对入侵信息节点防御成功率约为85%, 误警率和漏警率较低, 并具有较高的预测精度.     

基于信任向量的P2P网络信任管理模型

为了解决由于P2P开放、匿名和高度动态的特性而容易受到攻击并被攻击者用来散布恶意信息的问题,需要建立P2P节点间的信任关系,提出一种TPP(trust in peer to peer)方案。该方案中每个节点通过计算被查询节点信任值的方式,使用信任向量建立本地信任表,并提交对另外节点的评价以建立全局可信表,最终建立一个信任网络。模拟结果表明TPP比其他模型的交易成功率高,而通信和计算资源开销小,且能够很好地解决冒名、协同作弊以及"搭车行为"等安全问题。通过建立TPP模型,P2P网络有更强的健壮性和可扩展性,安全性提高,易于建立更加可信的网络。     

基于信任向量的P2P网络信任管理模型

为了解决由于P2P开放、匿名和高度动态的特性而容易受到攻击并被攻击者用来散布恶意信息的问题,需要建立P2P节点间的信任关系,提出一种TPP(trust in peer topeer)方案。该方案中每个节点通过计算被查询节点信任值的方式,使用信任向量建立本地信任表,并提交对另外节点的评价以建立全局可信表,最终建立一个信任网络。模拟结果表明,TPP比其他模型的交易成功率高,而通信和计算资源开销小,且能够很好地解决冒名、协同作弊以及"搭车行为"等安全问题。通过建立TPP模型,P2P网络有更强的健壮性和可扩展性,安全性提高,易于建立更加可信的网络。     

网络安全监测

“网络安全监测”通过实时分析网上数据流来监测非法入侵活动，并根据监测结果实时报警、响应，达到主动发现入侵活动、确保网络安全目的。系统由嗅探器、监测中心、远程管理服务器等构成，采用基于模式、基于统计2种方法发现入侵。方案技术的关键是入侵识别，解决的主要难点是数据流实时性与查询速度矛盾、入侵模式动态添加等问题，具有漏洞自检、智能分析、双向监测等功能。它是传统网络安全产品的强有力助手、是对付越演越烈的网络入侵的重要工具。