一种面向网络行为因果关联的攻击检测方法

为了能在攻击目标受损之前检测到攻击事件,提出了面向网络行为因果关联的攻击检测方法.该方法基于SNMP管理信息库数据,根据攻击目标的异常行为,首先利用Granger因果关联检验(GCT)从检测变量中挖掘出与异常变量存在整体行为关联的基本攻击变量,然后针对异常行为特征再次利用GCT从基本攻击变量中挖掘出与异常变量存在局部行为关联的攻击变量,最后根据攻击变量和异常变量之间的因果关系,构建面向攻击方检测的攻击关联规则.在Trin00 UDPFlood检测实验中,所提方法成功挖掘出攻击变量udpOutDatagram,取得了满意的检测效果.实验结果表明,该方法能够在攻击方检测到攻击事件,为及时阻止攻击过程向攻击目标进一步扩散提供预警.     

网络扫描攻击以及拒绝服务攻击的检测方法

网络扫描攻击和拒绝服务攻击是2种非常重要的攻击类型，而且检测比较困难，分析了它们的共同特征，提出了运用计数器的检测方法，并设计实现了一个高效的计数器算法。     

面向内容网络的请求洪泛攻击检测方法研究

作为一种新型的网络,内容网络难免会遭受网络攻击的威胁。请求洪泛(Request Flooding,REF)攻击是分布式拒绝攻击在内容网络中的表现形式,提出一种高效的REF攻击检测和防御方法。为了降低网络开销,检测和防御仅实现在一部分的路由器上。仿真实验结果表明,检测防御方法能够有效地实现对REF攻击的检测和防御。     

面向蓄意攻击的网络异常检测方法

针对复杂网络受蓄意攻击频繁,而现有的检测方法大多忽略全局拓扑突变特征的问题.从网络全局拓扑的异常演化特征出发,提出网络路径相对变化系数(network path change coefficient,NPCC)r,量化节点间传输路径的变化.由斐波那契数列衍生出斐波那契演化域,用于区分正常和异常演化.将r作为核心度量参量,构建斐波那契演化域,形成网络异常检测方法,实现对异常的判定.结果表明,该检测方法的平均准确率为90%以上,高于最大公共子图(maximum common subgraph,MCS)及图编辑距离(graph edit distance,GED)的准确率,证明了所提检测方法的有效性.     

一种基于攻击特征描述的网络入侵检测模型

文章在对网络入侵检测技术进行分析的基础上,结合网络攻击特征的描述方法和分布式系统的特点,提出一种新的网络入侵检测的模型。攻击特征描述是提取攻击的本质属性,分布式系统则很好地利用了集群的优势。对于高速网络的出现,如何减少丢包并提高入侵检测的效率成为一个重要的研究课题。该文提出的分层检测方法,充分考虑了攻击特征分类描述方法,实验证明可以提高网络入侵检测准确率。     

一种面向SIP洪泛攻击的检测方法

针对SIP洪泛攻击检测与防御的研究现状,结合SIP洪泛攻击的流量和SIP用户的实际环境特点,提出了一种基于泊松分布的自适应网络环境变化的检测方法,包括参数初始化、基于概率密度的检测机制和SIP消息过滤器。根据泊松分布和正态分布建立请求消息数目模型,利用概率密度和检测因子建立检测机制可信度,SIP消息过滤器利用指数加权移动平均(EWMA)机制解决因为网络环境的变化导致检测效率下降问题。模拟实际的SIP网络环境进行建模,采用SIP模拟呼叫器发起不同概率的呼叫模拟不同的网络状况。实验结果表明,设计的方法能够实时地检测SIP洪泛攻击,有效地改善针对不同时间段的SIP洪泛攻击的检测效率,适应复杂的网络环境。     

基于行为分布的DDoS攻击检测方法

分布式拒绝服务(distributed denial of service,DDoS)攻击能够在短时间内产生巨量的数据包耗尽目标主机或网络的资源,经过研究发现这些伪造的数据包在一个特定的时间内有着合法数据包所不具备的函数特点。因此,本文提出了行为分布的模型,一旦有可疑流流入服务器,则开始计算这些可疑流的行为分布差异,如果该差异小于一个设定的阈值,则判断有DDoS攻击发生;反之则为合法的数据访问。根据NS-3的模拟实验,证明该模型能够有效的从合法访问中区分出DDoS攻击流,对提前控制DDoS攻击的发生具有重要的意义。     

网络洪流攻击的异常检测

提出了一种新颖的网络洪流攻击的异常检测机制。这种检测机制的无状态维护、低计算代价的特性保证自身具有抗洪流攻击的能力。以检测SYN洪流行为为实例详细阐述了流量强度、对称性度量的检测方法。测试结果表明所提出的检测机制具有很好的检测洪流攻击的准确度,并具有低延时特性。     

一种面向软件行为可信性的入侵检测方法

针对现有入侵检测方法的问题,面向软件行为可信需求,提出了一种新的静态检测方法.首先讨论并给出了软件行为可信性的定义和形式化描述,并以指令序列形式进行表示;然后,提出了检测方法和流程,通过数据挖掘方法对恶意软件和正常软件进行行为知识发现,利用发现的行为知识对未知软件进行行为可信性判定;最后,对方法进行了实现,对一些行为模式使用选定的样本进行了实验验证.实验结果表明,该方法能够依据软件行为可信策略检测未知软件中的恶意行为,检测成功率高.     

WEB日志中基于KNN算法的注入式攻击行为检测方法研究

阐述了注入式攻击及KNN算法的相关概念并探讨了注入式攻击行为检测与文本分类技术的关系.结合KNN算法的优点及注入式攻击行为检测与文本分类的相似性,提出了Web日志中基于KNN算法的注入式攻击检测方法,给出了其计算模型,并进行了检测对此.结果表明,该方法具有良好的检测准确度.     

一种无线传感器网络中的虫洞攻击检测算法

分析了无线传感器网络中的虫洞攻击的特点,根据某些路径变短和某些节点的邻居数增加的特点,提出了一种无线传感器网络中虫洞攻击的检测算法.首先在边界部署一些源、目的节点对,然后利用路由发现过程来发现跳数异常少的可疑路由.通过检查邻居节点数来检测可疑路径上的每个节点,如果节点的邻居数增加,则该节点为被感染节点,网络中存在虫洞攻击.被感染节点被从网络中隔离,以避免更大的破坏.实验结果表明该算法具有较低的漏报率和较高的准确性.     

面向drive-by-download攻击的检测方法

针对隐藏在混淆JavaScript代码中的drive-by-download攻击很难被检测的问题,深入分析了混淆JavaScript代码以及drive-by-download攻击的静态和动态行为特征,设计并实现了只需正常行为数据进行训练、静态分析与动态分析相结合的异常检测原型系统.首先,静态分析以代码混淆度为特征,利用主成分分析(PCA)、最近邻(K-NN)和one-class支持向量机(SVM)三种算法检测出混淆JavaScript代码.其次,动态分析从JavaScript代码中获取的变量初值和变量终值,以变量初值和变量终值中提取的9个特征作为检测混淆代码中具有drive-by-download攻击的动态行为特征.从实际环境中收集了JavaScript正常与混淆恶意代码共7.046 3×104条.实验结果表明:选用PCA算法时,在误报率为0.1%的情况下,系统对混淆drive-by-download攻击能达到99.0%的检测率.     

在线社交网络中用户伪装攻击检测方法研究

当前用户伪装攻击检测方法无法适应动态环境,实时性不高;且需要准确的先验知识,检测精度较低。提出一种新的在线社交网络中用户伪装攻击检测方法,介绍了k最邻近节点(KNN)算法的基本思想,给出KNN算法的实现过程。分析了用户伪装攻击检测与分类的关系,确定在线社交网络中用户伪装攻击检测就是对被检测的未知行为进行分类的过程。针对用户行为,将训练集中正常用户行为的邻居进行排列,通过和k相似的邻居的分类标签对新用户行为类别进行判断,从而实现用户伪装攻击检测。实验结果表明,所提方法不仅检测精度高,而且开销小。     

一种基于网络行为分析的HTTP木马检测模型

基于HTTP协议进行网络通信的木马能够躲避部分网络安全监控系统的检测,是互联网安全的一个重大威胁。通过对该类木马样本和普通程序样本网络行为的对比分析,得到该类木马的6个网络行为特征,综合利用层级聚类、Davies-Bouldin指数和k-means聚类方法提出了一种木马检测模型,实现了HTTP木马检测。结果表明,该HTTP木马检测模型准确率较高,误报率较低。     

无线传感器网络中的Sybil攻击与检测

无线传感器网络中Sybil攻击是一种常见的攻击方式。在Sybil攻击中，一个恶意节点对外的表象是多个传感器节点，即具有多个身份，比如通过冒充其他节点或简单的对外声称伪造的身份。本文系统分析了传感网中Sybil攻击所带来的危害，重点讲述了当前针对Sybil攻击的检测手段，最后给出结论。     

一种基于可控网络的攻击源定位方法

形式化描述了可控网络模型,分析了网络隐匿攻击特点,在此基础上提出了可控网络内隐匿攻击鉴别及攻击源定位算法。在可控网络内设置分布式监测点和监测中心。监测点捕捉网内数据包,采用基于特征的网络隐匿攻击检测规则,利用监测中心实现的监测点间信息交互,应用算法识别出可控网络内部的隐匿攻击,并确定攻击源位置。实例分析说明了该方法的实用性和有效性。     

一种计算网络告警因果关联置信度的新方法

为提高告警因果关联准确性,提出了将实施单次攻击所需的时间消耗作为随机变量,给出其概率分布模型,在此基础上计算任意2条因果相关告警的时间关联置信度。设计并实现了算法验证程序,利用DARPA 2000入侵检测数据集进行了验证。结果表明,新方法合理地量化了告警时间关联置信度,且计算复杂度低,能为正确关联攻击场景提供支持。     

基于移动模糊推理的DoS攻击检测方法

通过对入侵检测中模糊技术应用和移动模糊推理方法的研究,设计并实现了基于移动模糊推理的DoS攻击入侵检测系统.首先,描述了移动模糊推理方法与模糊推理步骤;其次,详细阐述了用时间差与IP地址分布变化的DoS攻击检测方法与基于移动模糊推理的攻击检测系统,创建了用于检测的模糊规则,确定网络攻击.最后,把DoS攻击工具与DARPA 98数据集作为入侵检测数据集,对基于移动模糊推理的方法与现行方法进行测试,验证了所提方法的有效性.     

无线传感器网络选择转发攻击检测方法研究

由于WSNs的本身所具有的一些特性使得它比较其他网络而言更加容易受到攻击。本文在分析各种路由攻击对网络危害性的基础上，进一步分析各种攻击的特征，并针对选择转发攻击提出了一种可行的检测方案。     

无线传感器网络节点定位中一种检测欺骗攻击的方法

为了防御欺骗攻击、保障传感器节点定位的有效性和可靠性,分析、总结了欺骗攻击所固有的薄弱环节,在此基础上,提出一种检测欺骗攻击的算法。检测节点通过核对与被检测节点之间信号传播时间和所损耗的功率是否相对应,来判断是否存在检测攻击。推导了信号所传播时间和损耗功率的对应关系,并使用OPNET Modeler实现算法仿真,仿真实验证明该算法可以有效的检测出攻击节点,提高定位的精度。