入侵防御系统管理和配置的检查博弈分析

入侵防御系统(IPS)是当前信息安全领域的一种新的技术手段,其配置和管理是目前急需解决的问题.应用检查博弈对入侵防御系统进行分析,得出如下结论:当误报率和正确报警概率的和大于1时,IPS应设置成主动防御模式,也就是不进行人工调查,由IPS自动阻断攻击;反之,IPS应设置成经人工调查后,由IPS阻断攻击的模式.IPS正确报警的概率也不是越高越好,应该设置在临界值和1之间.     

入侵检测系统和蜜罐的联动策略分析

考虑企业和黑客之间攻防博弈的经济动机,研究了企业采用入侵检测系统和蜜罐两种安全技术的策略。利用博弈论分别在正常服务和蜜罐服务中构建入侵检测系统(IDS)技术博弈模型,并求解出服务方和访问者之间的纳什均衡策略;从人工调查率、检出概率、攻击概率和期望收益4个角度对IDS在正常服务和蜜罐服务中的价值进行对比分析。结果表明:当IDS检测率较高时,配置IDS对正常服务有利,对蜜罐服务不利;当IDS检测率较低时,配置IDS对蜜罐服务有利,对正常服务不利。换言之,与常规直觉不同,"以牙还牙"策略并不总对企业有利,其有时不利于"诱敌深入"策略作用的发挥,企业在配置入侵检测系统和蜜罐时必须对这两种策略进行折中考虑。     

入侵检测系统和蜜罐的联动策略分析

考虑企业和黑客之间攻防博弈的经济动机,研究了企业采用入侵检测系统和蜜罐两种安全技术策略。利用博弈论分别在正常服务和蜜罐服务中构建入侵检测系统(IDS)技术博弈模型,并求解出服务方和访问者之间的纳什均衡策略;从人工调查率、检出概率、攻击概率和期望收益4个角度对IDS在正常服务和蜜罐服务中的价值进行对比分析。结果表明:当IDS检测率较高时,配置IDS对正常服务有利,对蜜罐服务不利;当IDS检测率较低时,配置IDS对蜜罐服务有利,对正常服务不利。换言之,与常规直觉不同,"以牙还牙"策略并不总对企业有利,其有时不利于"诱敌深入"策略作用的发挥,企业在配置入侵检测系统和蜜罐时必须对这两种策略进行折中考虑。     

我国商业银行防范网络安全风险的博弈模型

为探究骇客与商业银行的博弈信念,在分析骇客与商业银行对银行网络安全系统进行攻击与防御博弈时的成本和收益的基础上,运用信号博弈模型研究了骇客与商业银行博弈的状况.认为商业银行欲避免骇客进攻,需通过媒体将声誉维持在较高水平,使骇客相信对此银行进行攻击,所获得收益低于投入进攻的平均直接成本;理性的商业银行出于成本的考虑,会希望在提高声誉过程中所获得的边际利润与因骇客进攻而导致的银行损失相等.由此,监管当局应通过增加对商业银行网络安全情况检查的频率,增加对商业银行因网络信息安全风险导致损失情况的曝光力度等措施来迫使商业银行加大对网络安全的投入.     

利用高精度时间戳提高入侵检测率

入侵检测系统(IDS)是重要的信息安全措施,如何提高检测率是目前入侵检测系统研究的热点。文章从入侵事件时间戳的角度,对提高检测率进行了讨论。首先论述了计算机系统获取高精度时间戳的方法,然后分析了入侵检测系统对日志、注册表、网络包事件的时间戳精度要求。最后,以注册表访问事件为例进行了仿真,实验证明这种高精度时间戳能有效识别事件顺序,在一定程度上提高了入侵检测系统的检测率。     

基于智能信任关联的对等协同IDS仿真

为了有效解决当前分布式入侵检测系统中存在的组件之间依赖程度大、负载不均衡、单点失效、系统不够健壮,以及入侵检测系统自身结构固定不能自动适应入侵变化等问题,提出了一种基于P2P思想的对等协同入侵检测系统模型,并进行了节点智能信任关联算法设计.基于P2P-CIDS模型和JXTA架构实现了一个对等协同IDS仿真系统原型,并借助Slapper蠕虫在仿真网络环境中进行了系统有效性评估.仿真结果表明,该对等协同IDS能明显提高脆弱网络节点的平均幸存率.     

改进果蝇算法优化加权极限学习机的入侵检测

提出一种改进的果蝇算法优化加权极限学习机入侵检测算法,利用加权极限学习机训练时间短.泛化性能好等优点,对NSL-KDD入侵检测数据集中的不均衡现象,增加少数类攻击的权重,使对网络攻击中稀有攻击的检测率比传统机器学习方法有大幅提高;用迭代步长自适应调整的果蝇优化算法,对加权极限学习机中的隐含层输入权值和偏置进行全局寻优,...     

入侵检测系统评估环境的设计与实现

入侵检测系统（IDS）的评估和开发都需要一个仿真网络环境。功能完整的IDS评估环境，不需经大的改动就可以直接用于IDS的测试开发，本文从IDS评估的角度，对这样的仿真网络环境进行了讨论，设计得到的评估环境也可用于IDS的开发过程。在给出IDS的性能指标之后，我们提出了IDS评估环境框架，并以该框架为基础，对评估环境中的网络流量仿真，主机使用仿真和网络攻击仿真等几个关键技术问题进行了深入研究，在文章的最后，给出了对我们单位开发的IDS进行测试的一些结果，测试在我们搭建的一个基本评估环境中进行。     

不同攻击类型下风险厌恶型企业信息安全投资策略

基于期望效用理论,通过建立两企业的投资博弈模型,并考虑随机攻击和定向攻击两种情形,对风险厌恶型企业的信息安全投资决策进行了研究,给出了信息共享情况下企业的最优信息安全投资策略,并分析了风险厌恶水平,黑客攻击概率与网络暴露程度等相关因素对最优安全投资策略的影响.研究结果表明,随机攻击情形下,当企业极度厌恶风险时,企业最优信息安全投资随着风险厌恶水平的增加而增加;当企业轻微厌恶风险时,若潜在损失较小或者黑客攻击概率较小或者网络暴露程度太高或者太低时,企业的最优信息安全投资随着风险厌恶水平的增加而减小,若潜在损失较大或者黑客攻击概率较大或者网络暴露程度中等时,最优信息安全投资随着风险厌恶水平的增加而增加.而定向攻击情形下,当企业极度厌恶风险时,企业最优信息安全投资随着风险厌恶水平的增加而减小.     

安全等级对信息系统安全技术策略的影响研究——以防火墙和IDS技术组合为例

以防火墙和IDS技术组合为例,利用博弈论研究了信息系统安全等级对该安全技术组合与配置策略的影响,发现安全等级越高对黑客威慑越大,从而可降低黑客入侵率.单一地提高其中一种技术配置并不一定能提高安全等级,只有在两种技术配置相协调时才能提高安全等级,说明安全等级越高对安全技术组合与配置的要求越高.研究还对比了未考虑安全等级和考虑安全等级的均衡策略,认为未考虑安全等级的均衡策略只是考虑安全等级时的一个边界,且这个边界特例在现实中通常无法或无需达到.     

多源异构安全信息融合关联技术研究

设计了一种异构安全信息处理系统,融合多源异构的安全信息实现告警的预处理、融合和关联。在告警融合模块中,利用扩展D-S证据理论对异构安全系统提供的动态安全信息合成,有效降低了漏报和误报,在入侵检测信任度赋值中引入更新机制,确保在动态变化的网络中判断的准确度。仿真实验表明,融合方法能够在显著减少告警数量的基础上,有效解决单个安全设备无法解决的误报、漏报问题。     

特征层双模态生物识别算法容侵能力评测方法

相较于单模态生物识别技术,多模态生物识别技术具有更优的适用性、安全性和可靠性,成为目前生物识别技术发展的趋势。在多模态生物识别4种融合层次中,特征层融合能够提取更多的区分性信息,消除特征的冗余,在理论〖JP2〗上可达到最佳识别效果。然而,特征层多模态生物识别算法的安全性很少被关注。目前,多模态生物识别技术的研究多集中在双模态生物识别算法上,引入入侵容忍概念,定义了容侵能力度量,提出了容侵能力评测方法,评价特征层双模态生物识别算法的容侵能力,并对典型特征层双模态生物识别算法的安全性进行了评测。     

基于神经网络的异常入侵检测系统

针对神经网络检测器本身的网络结构和算法进行改造可获得好的性能,但无法从根本上解决误报率和漏报率等问题,通过对程序行为的深入研究,对程序行为进行动态建模,提出了一个应用BP神经网络检测器针对程序行为异常的入侵检测模型,从而更准确地发现程序行为的异常。通过Apache服务器为例论证其可行性。     

考虑空间因素的反恐防御竞争分析

恐怖袭击已经成为影响社会公共安全的主要威胁之一.本文针对两个易受恐怖分子攻击的目标间的防御竞争问题进行了模型分析.首次将空间范围因素考虑进来,并基于Hotelling模型求得了最优防御范围.通过建立及对比同时和顺序博弈两种模型发现:同时博弈时会引发防御竞赛,而顺序博弈时会出现搭便车现象.当两目标区域对称时,目标价值越大,达到均衡时受到袭击的概率会越小,与博弈类型无关.相对于扩大防御范围,增加防御密度对反恐更加有效.同时博弈时最优防御范围在中点处,与目标价值大小无关,而顺序博弈时防御范围与目标价值大小有关.研究结果为防御竞争目标间的防御体系构筑提供了决策参考.     

Multi-agent cooperative intrusion response in mobile adhoc networks

The nature of adhoc networks makes them vulnerable to security attacks. Many security technologies such as intrusion prevention and intrusion detection are passive in response to intrusions in that their countermeasures are only to protect the networks, and there is no automated network-wide counteraction against detected intrusions. the architecture of cooperation intrusion response based multi-agent is propose. The architecture is composed of mobile agents. Monitor agent resides on every node and monitors its neighbor nodes. Decision agent collects information from monitor nodes and detects an intrusion by security policies. When an intruder is found in the architecture, the block agents will get to the neighbor nodes of the intruder and form the mobile firewall to isolate the intruder. In the end, we evaluate it by simulation.     

可证明安全的基于RSA的远程用户口令认证协议

身份认证是确保信息系统安全的基本手段,基于RSA的认证协议由于实用性较强而成为近期研究热点.讨论了Xie等提出的一个基于RSA的双因子远程用户认证协议,指出该协议不能抵抗重放攻击和密钥泄露仿冒攻击,无法实现所声称的安全性,并且存在用户隐私泄露和可修复性差问题,不适于实际应用.给出一个改进方案,在随机预言机模型下,基于RSA假设证明了改进方案的安全性.与现有的基于RSA的同类协议相比,改进协议在保持较高效率的同时,首次实现了可证明安全性,适用于安全需求较高的移动应用环境.     

基于组件的实时入侵检测虚拟实验室的设计与实现

提出了一种基于组件技术的入侵检测虚拟实验室系统的设计模型和实现方法。该系统采用Java语言实现，具有良好的平台无关性。以Java Bean组件技术对数据生成和入侵检测系统的感应器模块、分析器模块、统计显示模块、配置管理模块进行了开发，实现了软件重用和系统的可扩展性。系统客户端以Java Applet实现，用户能够可视化地制定试验流程，指定模拟攻击流类型、配置过滤规则和检测规则以及选择试验结果的显示形式。整个实验过程中，用户能较直观深入的参与入侵检测系统的具体配置和操作，对于了解和掌握入侵检测系统的结构和主要原理大有帮助。