基于分布式数据挖掘技术的网络入侵检测系统的研究

简要分析了现有的网络入侵检测技术存在的一些问题．在此基础上，提出了一种基于分布式数据挖掘技术的网络入侵检测系统模型，讨论了模型中各个功能部件的结构和关键技术．采用多Agent技术设计了一个基于该模型的网络入侵检测原型系统．对实现不同功能的多类Agent进行了设计．论文还介绍了原型系统的实现技术．通过一个模拟分布式攻击仿真实验，检验了该模型的合理性和原型系统的性能．实验结果表明，该模型可在一定程度上提高入侵检测系统对分布式攻击的检测能力．     

SDN环境下的DDoS攻击检测方案

DDoS攻击(分布式拒绝服务攻击)对于软件定义网络的危害是致命的,如何快速准确地检测出DDoS攻击对于SDN安全至关重要。提出一种SDN(software-define networking)环境下基于广义信息熵和GA-RBFNN(genetic algorithm-radical basis function neural network)的DDoS攻击检测方法。利用熵检测流量,根据划分的阈值把检测结果分为正常,异常和攻击。对于异常的警告,控制器通过提取OpenFlow交换机的8元流量特征,利用GA-RBFNN来检测是否发生DDoS攻击。实验表明,与其他方法相比本方案提高了检测准确率,降低了控制器开销,有较好的综合检测能力。     

无线钓鱼接入点攻击与检测技术研究综述

随着城市无线局域网热点在公共场所大规模的部署,无线局域网安全变得尤为突出和重要,其中无线钓鱼接入点(AP:Access Point)攻击是无线网络中严重的安全威胁之一.本文介绍了无线钓鱼AP攻击存在的威胁,详细分析了无线钓鱼AP攻击的基本原理和实现,阐述了无线钓鱼AP攻击主要目的和构造实现方法.基于无线钓鱼AP攻击的基本原理将无线钓鱼攻击实现方式分为被动式攻击和主动式攻击,并分别从物理层和MAC层详细分析了主动式攻击.对现有无线钓鱼AP检测技术:无线端、有线端和混合式三类嗅探检测技术,重点分析了基于802.11特征指纹的检测技术.对未来工作进行了展望,介绍了下一代无线钓鱼AP检测技术的特征.     

防御DDoS攻击的新过滤PHF模型

在分布式拒绝服务攻击对网络安全的危害日益严重的情况下，在众多的攻击防御技术中，采取路径标识是一种能有效对抗DDoS攻击的技术．而为更有效地防御DDoS攻击，利用Pi方案中，受害主机使用Pi标记对收到的数据包进行过滤的方式，提出了结合Pi标记与跳数的新过滤模型，即受害主机采用〈Pi，HC〉元组识别和过滤攻击包方式．并通过基于真实因特网拓扑的实验，证明PHF模型的防御效果明显优于Pi方案．     

基于数据挖掘的入侵检测系统框架

提出了基于分布式数据挖掘的入侵检测系统框架，详细讨论了该系统的实现方案、模块结构和关键技术，最后给出了系统训练和评价方法。该系统以基于关联规则方法的分布式数据挖掘技术为核心，从而实现了规则库的自动生成和更新，并能有效检测大规模协同攻击。     

Ad hoc网络中一种基于转发联盟博弈框架的激励合作路由算法

为增强Ad hoc网络中节点合作的积极性,借鉴联盟博弈理论,针对节点之间数据包转发过程,定义了转发联盟博弈(forwarding coalitional game,FCG),建立了FCG支付模型,给出了确保形成的大联盟为稳定核的约束条件,并基于经典的按需路由算法对上述模型进行了实现,提出了一种基于FCG框架的激励合作路由(incentive cooperation routing,ICR)算法,并且通过仿真实验对该算法进行了有效性验证。仿真结果表明,该算法在分组投递率、端到端的平均时延、路由开销、联盟支付分配和中间节点转发数据包数量等方面的性能提高显著,能够有效地激励自私节点合作转发的积极性。     

针对RED脆弱性的分布式LDoS攻击构造

针对随机早期检测(random early detection,RED)算法在慢速拒绝服务攻击(low-rate deny of serv-ice,LDoS)面前的脆弱性问题,本文通过对比路由器分别在RED和尾丢弃Drop-Tail算法管理下遭受LDoS攻击时的队列平均占用率及吞吐量,指出虽然路由器在RED算法下具有较大的空闲缓冲区,却不能对网络流量攻击起到缓冲作用.仿真对比实验表明,LDoS攻击使得路由器在RED下比Drop-Tail具有更大的链路损失带宽.指出现有LDoS的防范和检测方法的不足,构造了一种分布式LDoS攻击模型并给出一组模型实例,该模型说明现有突发流量检测方法不足以弥补RED脆弱性,也说明网络流量行为的关联复杂性.     

基于虚拟机回放的恶意行为检测技术

云计算环境下高灵活性、高扩展性、边界泛化等特性,使得已有的恶意行为检测技术误检率高,未知恶意行为检测能力低下.本文提出了基于虚拟机回放的恶意行为检测模型,该模型包括了基于行为关联图的警报关联算法和基于虚拟机回放的预警确认机制.首先在VMM层部署网络入侵检测和基于VMI的主机检测系统实现网络层和虚拟机内部的双层检测,然后警报关联结合双层检测结果进行综合评判发出预警,最后预警确认机制通过回放技术过滤虚假警报,并识别未知攻击.实验结果显示,回放开销相比ReVirt降低了21.8%,该方法相对于单一检测方法检测率有明显提升.     

基于Hash算法的分布式状态检测技术

为了克服IP数据报独立选择路由带来的，在拥有多个接入点的分布式网络模式下传统的状态检测技术无法进行有效的安全检测的缺陷，提出了一种应用于网络层的分布式Hash算法，将源和目的地址相同的IP数据报定向到同一个接入点上进行处理，使得在该点上可以完整地重组会话，从而实现分布式状态检测．为增加该算法的鲁棒性，进一步提出了一种应用于传输层的、具有回迁策略的负载平衡算法，选择任务最少的邻居节点协同处理本地过多的负载，转为轻载状态后迁回迁移出去的任务．仿真实验证明该算法具有较好的可行性、稳定性．     

面向物联网的基于上下文和权能的访问控制架构

针对物联网(Internet of Things,IoT)的安全和隐私问题,以及传统的访问控制方法不适应于IoT环境的现状,提出了一种分布式的基于上下文和权能的访问控制架构.该架构的授权决策过程由嵌入到设备中的授权决策模块PDP来实现,以达到分布式的授权目标;特别是权能令牌的特殊构造,不仅可方便实现基于设备上下文的访问控制,而且利用椭圆曲线密码体制来实现端到端的认证、完整性和不可抵赖性;消息传输机制采用更适合于物联网的受限应用协议CoAP(Constrained Application Protocol).实验结果表明,该架构是可行的.