基于协议分析状态机的入侵检测系统

协议分析状态机是提高协议分析正确性的重要保证。将其应用于入侵检测系统是一个新的研究应用方向。协议的形式化描述工具有穷状态自动机、通信有限状态自动机。在此基础上重点讨论了使用协议状态机分析入侵事件的相关算法及流程，设计了基于协议分析状态机的入侵检测系统的总体框架，提出了该状态机的面向对象的模型，使该系统具有良好的可扩展性和通用性。测试结果验证了这一思想的正确性和有效性。     

基于协议分析状态机的入侵检测系统

协议分析状态机是提高协议分析正确性的重要保证，将其应用于入侵检测系统是一个新的研究应 用方向，协议的形式化描述工具有穷状态自动机。通信有限状态自动机。在此基础上重点讨论了使用协议 状态机分析入侵事件的相关算法及流程.设计了基于协议分析状态机的入侵检测系统的总体框架，提出了 该状态机的面向对象的模型，使该系统具有良好的可扩展性和通用性，测试结果验证了这一思想的正确性 和有效性。     

一种基于状态融合的协议状态机推断方法

针对现有协议状态机推断方法忽视协议系统输入输出报文之间的内在关系,导致自动化程度较低等问题,提出一种基于状态融合的协议状态机推断方法。首先采集会话样本,将会话过程的输入输出报文序列抽象为符号序列;然后采用扩展前缀树转换器(EPTT)构建初始状态机,通过各状态对相同输入符号序列的状态转换和输出响应评判其相似度,依据相似度的高低搜寻候选状态对并尝试对其融合,同时有针对性地构造测试用例以验证此次融合的正确性。上述流程反复执行,直到没有可融合的状态。结果表明,该方法自动化程度较高,推断出的结果与真实协议状态机高度吻合。     

有效的多协议攻击自动化检测系统

针对当前计算机网络中多个安全协议并行运行时可能出现的多协议攻击问题,提出了一个多协议攻击自动化检测系统(ADMA)。该系统由协议搜索子系统和攻击确认子系统两部分组成,其中协议搜索子系统根据多协议攻击中目标协议与辅助协议加密消息类型一致性条件,自动化搜索可能对目标协议构成威胁的候选辅助协议。攻击确认子系统通过改进的SAT模型检测方法,自动化确认目标协议与候选辅助协议是否存在多协议攻击。试验结果表明,ADMA系统能够实现多协议攻击自动化检测,并且检测中发现了新的多协议攻击。     

网络扫描攻击以及拒绝服务攻击的检测方法

网络扫描攻击和拒绝服务攻击是2种非常重要的攻击类型，而且检测比较困难，分析了它们的共同特征，提出了运用计数器的检测方法，并设计实现了一个高效的计数器算法。     

基于协议状态分析的入侵检测系统

提出了一种基于协议状态分析的入侵检测方法,不仅充分利用了协议的状态信息,而且考虑了相邻的数码包的内容状态,构造出协议状态序列,通过状态转换来检测入侵,有效地完成网络各层协议的分析,提高了检测的全面性、准确性和效率,实验结果表明是可行的。     

针对2种SSL协议攻击方法的解决方案

文章针对SSL Sniffing攻击和SSL Stripping攻击提出2种解决方案,提出了利用可信第三方提供D-H算法中的2个重要参数来预防SSL Sniffing攻击,引入数字签名技术和还原重定向地址的手段来预防SSL Stripping攻击,并对改进模型做出安全分析。     

密码协议中重放攻击的研究

首先从协议层次和攻击层次对密码协议中重放攻击进行分类,然后对重放攻击成功时协议存在的缺陷进行分析,能够更清楚地认识到重放攻击的原理和本质,并给出了重放攻击检测一般方法和防范的策略,这既为协议设计者提高密码协议的安全性起借鉴作用,也能够进一步完善一些协议分析工具的设计,具有一定的实际应用价值。     

基于CUSUM算法的LDoS攻击检测方法

低速率拒绝服务LDoS攻击具有流量发送速率低、隐蔽性强、具有突发性以及造成危害大的特点,融入正常流量中难以被传统的DoS攻击检测机制发现.针对该攻击方式突发性特点,分析路由器受到LDoS攻击时流量特征的统计异常,将路由器入口流量的均值与正常阈值相比较,提出了基于累积和CUSUM算法的检测方法.该方法基于突变假设检验,对到达流量分析变点前后流量的累积和特征,通过将分析得到的累积和与设定的门限值比较来实现LDoS攻击的检测.实验通过调整算法参数来优化检测性能,通过基于NS-2搭建的仿真实验平台表明,该方法具有较好的检测性能.     

基于自适应攻击树的木马检测方法

本文研究并总结出木马攻击行为的规律,通过静态分析PE文件提取出程序运行时调用的API,用木马攻击中常见的危险系统调用序列来建模一个动态攻击树,将分析PE文件得到的API调用集合与建立的攻击树进行匹配,有效的区分木马文件和正常文件,并能根据检测结果对攻击树进行动态的调整,以不断提高攻击树对未知病毒的检测能力。     

文法推断网络协议状态机*

针对现有正则的正负推断(regular positive and negative inference,RPNI)算法的局限性,提出一种通过标记前缀树接受器中的状态,以差异化的状态标记方法防止状态的过度融合改进的算法——改进的RPNI算法(improved RPNI,IRPNI)。该算法从网络数据流量中导出协议规范,并将该规范表示为确定性有限自动机(definite finite automata,DFA)模型;根据网路协议特性,把启发式的差异化的状态标记算法嵌入该算法中,使得状态融合结果体现网络协议的结构特征。实验证明IRPNI算法更有助于推断出更一般化的网络协议状态机。     

基于Petri网的TCP协议异常检测模型

从面向连接的角度出发，以Petri网为工具，建立了TCP协议异常检测模型．该模型以TCP协议的状态变迁图为基础，并根据协议规范可对传输报文的标志位进行系统的分析，从而识别出标志位非法组合构成的畸形报文（FIN—RST报文）．模型中规定了各种状态下可接收的标志位集合，同时还细化了各状态下的超时异常，据此可准确地检测出各种异常，以抵御已知和未知的非法行为．利用该模型不仅可发现已知异常事件，还可对未知漏洞进行防范．通过实验发现，网络中的错误标志位报文、端口扫描以及DOS攻击产生的异常流量将占到总流量的10%以上．     

基于扩展有限状态机和断言的总线接口协议测试平台

在SoC设计流程中，传统的仿真验证方法存在可观察及可控制性较差、自动化水平低等缺陷．为此，提出了一种基于扩展有限状态机（EFSM）和断言的SoC接口协议测试平台，该平台是一种自反馈测试平台，它不仅可以自动产生大量符合协议规范的测试激励矢量，而且可以通过对断言统计信息的反馈提供多种偏置选择，从而进一步提高验证的自动化水平．将该平台用于对视频后处理芯片中Wishbone总线接口协议的功能验证当中，验证结果表明，该平台可以缩短仿真验证时间大约55％～65％左右，有效地提高了验证的效率和质量．     

基于控制流的协议一致性关系测试方法的评述

对一般的控制流测试思想和一些基于ＦＳＭ模型、ＬＴＳ模型的控制流测试方法进行概括和介绍。并介绍了相应的优化技术。     

基于口令的抵抗字典攻击的密钥交换协议

口令是INTERNET常用的用户身份验证方式,字典攻击方式是攻击者进行口令猜测的常用方法．本文提出了一种基于口令的抵抗字典攻击的密钥交换协议,首先对协议双方的身份进行认证,然后在两者之间生成一个随机密钥用于对后续的会话进行加密．     

对1位滑动窗口协议的一种改进方案

在分析1位滑动窗口协议的基础上，提出了一种新的改进方案，然后利用有限状态机模型对该方法进行描述并验证了其正确性。     

一种基于分布式入侵检测系统的安全通信协议的研究

针对分布式入侵检测系统(ADIDS)中各通信中间件的安全通信协议目前存在的一些问题,提出了一种适用于分布式入侵检测系统的安全通信协议,并采用形式化验证方法和仿真攻击测试等方法,证明了本协议具有较好的安全性及通信效率.     

探讨入侵检测系统中的DoS/DDos攻击方法

随着计算机网络技术的广泛应用,黑客对网络的破坏行为日渐增多,使得网络安全成为人们异常关心并且亟待解决的问题。本文从入侵检测系统入手,深入地研究了存在时间最长、破坏力最广的DoS/DDos攻击,以期找出防御这种攻击的方法及措施,减少其带来的损害。     

基于PCA的过程控制系统欺骗攻击研究

针对控制系统所面临的信息安全威胁,开展了工业过程控制系统欺骗攻击研究.把欺骗攻击与过程故障都看作引起系统工作状态异常的诱发因素,统一用故障检测的方法加以检测.首先建立了欺骗攻击模型,接着开发了TE过程控制器在环模拟系统,在该仿真系统上对三个欺骗攻击场景利用主元分析统计监控算法进行异常检测.结果表明,传统的故障检测算法在欺骗攻击中漏检率和误报率明显增加.