面向网络环境的SQL注入行为检测方法

SQL注入攻击是Web应用面临的主要威胁之一,传统的检测方法针对客户端或服务器端进行。通过对SQL注入的一般过程及其流量特征分析,发现其在请求长度、连接数以及特征串等方面,与正常流量相比有较大区别,并据此提出了基于长度、连接频率和特征串的LFF（length-frequency-feature）检测方法,首次从网络流量分析的角度检测SQL注入行为。实验结果表明,在模拟环境下,LFF检测方法召回率在95%以上,在真实环境下,该方法也取得较好的检测效果。     

自组织层次式大规模网络入侵检测系统

在分析现有分布式入侵检测系统拓扑结构基础上，设计实现了自组织的层次式大规模网络入侵检测系统。该系统提出入侵检测节点之间自组织的概念，使用组织服务器来将分布式入侵检测系统的检测功能与组织功能分离开来，降低系统实现复杂性，并使系统中不再存在单点失败，当系统中部分检测节点失效后，系统的其余部分仍能够有效的工作。针对网络入侵检测节点，实现了一个完整的协议还原平台。在实际运行中，取得了良好的效果。     

基于通信特征分析的蠕虫检测和特征提取方法的研究

提出了一种基于通信特征分析的蠕虫检测与特征提取技术，在解析蠕虫传播过程中特有的通信模式的基础上，评估通信特征集合问的相似度，通过检测传染性来检测蠕虫，这种方法具有更高的检测精度、通用性和适应性。在此基础上设计了启发式检测体系结构，利用盲目跟踪、意向跟踪和锁定跟踪从通信协议、通信序列和通信内容3个层次逐级排除非蠕虫通信，筛选出蠕虫报文组，提取出蠕虫特征码。这种技术大幅缩减了采集量和分析量，能在高强度背景噪声的干扰快速检测蠕虫并提取出相应的特征。     

主动监听中协议欺骗的研究

提出了基于协议欺骗的主动监听框架,大大扩展了网络监听的适用范围。分析了网络访问的具体过程,将其中存在的映射关系分为四种:服务器域名到IP地址、IP到MAC地址、远程服务器的IP地址到本地路由器IP地址、以及客户端界面显示到应用服务器的处理。依据破坏的映射关系不同,本文将能够实现主动监听的协议欺骗分为四大类:ARP欺骗、路由欺骗、DNS欺骗和应用层欺骗,并详细分析了这四类协议欺骗攻击原理、实现方式及其防范策略。