基于Petri网的TCP协议异常检测模型被引量：4

Anomaly Detection Model Based on Petri Net for TCP Protocol

下载PDF

导出

摘要从面向连接的角度出发,以Petri网为工具,建立了TCP协议异常检测模型.该模型以TCP协议的状态变迁图为基础,并根据协议规范可对传输报文的标志位进行系统的分析,从而识别出标志位非法组合构成的畸形报文(FIN-RST报文).模型中规定了各种状态下可接收的标志位集合,同时还细化了各状态下的超时异常,据此可准确地检测出各种异常,以抵御已知和未知的非法行为.利用该模型不仅可发现已知异常事件,还可对未知漏洞进行防范.通过实验发现,网络中的错误标志位报文、端口扫描以及DOS攻击产生的异常流量将占到总流量的10%以上. Based on Petri net, a connection oriented TCP protocol anomaly detection model was established. Based on TCP state transition diagram, the flag bits of packets were systemically analyzed according to TCP protocol specification. So the malformed packets, which abnormally formed by flag bits, such as FIN-RST packets can be identified. The receivable flag bit set of each state in the model was defined, meanwhile the timeout anomaly of each state was refined, by which varied anomaly can be detected accurately so as to defend the known and unknown abnormal behaviors. With the detection model, not only the known anomalies can be discovered, but also can it protect from unknown attacks. Experimental results show that the quantity of anomalies generated by packets with malformed flag, port scans and DOS attacks will occupy more than 10 percent of the total traffic in networks.

作者高磊张德运 Md Jahangir Alam 张军胡国栋

机构地区西安交通大学电子与信息工程学院

出处《西安交通大学学报》 EI CAS CSCD 北大核心 2006年第6期659-662,共4页 Journal of Xi'an Jiaotong University

基金国家信息化计算机网络与信息安全基金资助项目(2001-研1-010)

关键词协议异常检测状态变迁图协议规范标志位 protocol anomaly detection state transition diagram protocol specification flag bit

分类号 TP393 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献6

1Yoo I S.Protocol anomaly detection and verification[A].2004 IEEE Workshop on Information Assurance and Security,New York,2004.
2Ultes-NitscheU,Yoo I S.Run-time protocolconformance verification in firewalls[A].4th Annual ISSA 2004 IT Security Conference,Johannesburg,South Africa,2004.
3Yoo I S,Ultes-Nitsche U.Towards run-time protocol anomaly detection and verification[A].1st International Conference on E-Business and Telecommunication Networks,Setubal,Portugal,2004.
4Sekar R,Gupta A,Frullo J,et al.Specification-based anomaly detection:a new approach for detecting network intrusions[A].9th ACM Conference on Computer and Communications Security,Washington DC,2002.
5Paxson V.Automated packet trace analysis of TCP implementations[A].Proceedings of the ACM SIGCOMM Conference on Applications,Technologies,Architectures,and Protocols for Computer Communications[C].Cannes,France:ACM Press,1997.167-179.
6Stevens W R.TCP/IP illustrated,volume 1:the protocols[M].Indianapolis,USA:Addison Wesley,1994.

同被引文献49

1李娜,秦拯,张大方,陈蜀宇.基于Markov Chain的协议异常检测模型[J].计算机科学,2004,31(10):66-68. 被引量：6
2穆成坡,黄厚宽,田盛丰.入侵检测系统报警信息聚合与关联技术研究综述[J].计算机研究与发展,2006,43(1):1-8. 被引量：70
3ROSENBERG J, WEINBERGER J, HUITEMA C, et al. STUN - simple traversal of user datagram protocol (UDP) through network address translators (NATs), RFC 3489[R]. Reston, VA, USA: Internet Society. IETF, 2003.
4ROSENBERG J, MAHY R, HUTIEMA C, et al. Traversal using relay NAT (TURN), draft-rosenbergmidcom-turn-08[R]. Reston, VA, USA: Internet So ciety. IETF, 2006.
5ROSENBERG J. Interactive connectivity establishment (ICE): a methodology for network address translator (NAT) traversal for offer/answer protocols, draft-ietfmmusic ice - 15 [R]. Reston, VA, USA: Internet Society. IETF, 2007.
6PAN Jianli, CHEN Shanzhi. A mobile IPv6 firewall traversal scheme integrating with AAA[C]// 2006 In ternational Conference on Wireless Communications, Networking and Mobile Compuling. Piscataway, NJ, USA: IEEE, 2007:414-420.
7MIHAI A, CERNAIANU D O. NAT/firewall traversal for SIP: issues and solutions[C]//Proceedings of International Symposium on Signals. Circuils and Systems. Piscataway, NJ, USA.. IEEE,2005: 521-524.
8FU Xiaoming, TSCHOFENIG H. HOGREFE D. Be yond QoS signaling: a new generic IP signaling framework [J]. Computer Networks, 2006, 50(17) : 3416-3433.
9HANCOCK R, KARAGIANNIS G. LOUGHNEY J,et al. Next steps in signaling (NSIS): framework, IETF RFC 4080 [R]. Reston, VA, USA: Internet Sociely. IETF, 2005.
10SCHUI.ZRINNE H, COI.UMBIA U, HANCOCK R, et al. GIST: general internet signalling transport [EB/ OL]. [2008-06-10]. http://www. ietf. org/internetdrafts/draft-ietf-nsis-ntlp-15. txt.

引证文献4

1陈书义,孙锦山,闻英友,赵宏.NSIS下通用访问控制信令协议的设计与验证[J].西安交通大学学报,2009,43(4):34-38. 被引量：1
2赵静,黄厚宽,田盛丰,纳跃跃.基于转移和频率特征的协议异常检测[J].北京交通大学学报,2009,33(5):104-108. 被引量：2
3赵静,黄厚宽,田盛丰.基于隐Markov模型的协议异常检测[J].计算机研究与发展,2010,47(4):621-627. 被引量：7
4刘帅,杨英杰,常德显.基于条件随机场的异常协议行为检测方法[J].计算机应用研究,2016,33(6):1867-1870. 被引量：1

二级引证文献10

1官尚元,伍卫国,董小社,梅一多.面向属性约束的自动信任协商模型[J].西安交通大学学报,2009,43(8):1-5. 被引量：1
2邬书跃,余杰,樊晓平.基于改进SVM协作训练的入侵检测方法[J].计算机应用,2011,31(12):3337-3339. 被引量：2
3赵静,谷鹏飞,延霞,孙永滨.协议异常检测技术在核电厂实时信息系统中的应用[J].自动化仪表,2015,36(2):42-44. 被引量：2
4邱卫,杨英杰,汪永伟,常德显.基于改进遗传算法和隐Markov模型的协议异常检测方法[J].计算机应用研究,2016,33(4):1164-1168. 被引量：10
5刘帅,杨英杰,常德显.基于条件随机场的异常协议行为检测方法[J].计算机应用研究,2016,33(6):1867-1870. 被引量：1
6金倩倩,陈春霖,于晓文,廖鹏.基于相似度分析的电力信息内网用户行为异常预警方法[J].计算机系统应用,2017,26(12):220-226. 被引量：5
7赵静,谷鹏飞,何亚南,延霞.基于条件随机场的协议异常检测[J].深圳信息职业技术学院学报,2018,16(2):50-55.
8潘秋羽.基于隐马尔可夫模型的网络入侵检测[J].网络空间安全,2018,9(4):65-68.
9毛靖.图书资源共享下用户浏览行为差异检测仿真[J].计算机仿真,2018,35(11):401-404. 被引量：1
10吴楚田,陈永乐,陈俊杰.多协议交叉的HMM协议异常检测算法[J].计算机工程与应用,2020,56(8):81-86.

1黎文导,卢瑜.有限状态机(FSM)的实现[J].青海师范大学学报（自然科学版）,2001,17(4):18-21. 被引量：9
2赵静,谷鹏飞,延霞,孙永滨.协议异常检测技术在核电厂实时信息系统中的应用[J].自动化仪表,2015,36(2):42-44. 被引量：2
3林广艳,王璐,张鹏.具有独特加密功能的通信控件的设计与应用[J].计算机与数字工程,2001,29(3):1-4. 被引量：1
4赵静,黄厚宽,田盛丰.基于隐Markov模型的协议异常检测[J].计算机研究与发展,2010,47(4):621-627. 被引量：7
5赵静,黄厚宽,田盛丰,纳跃跃.基于转移和频率特征的协议异常检测[J].北京交通大学学报,2009,33(5):104-108. 被引量：2
6邓军,薛辉.基于协作的网络协议异常检测算法[J].湖南师范大学自然科学学报,2015,38(1):58-63. 被引量：3
7生慧,张华忠,徐成强.一种动态的入侵检测系统负载均衡算法[J].计算机工程与设计,2006,27(23):4569-4571. 被引量：3
8郭训平.入侵防护—E时代企业“保护神”[J].信息网络安全,2004(2):44-44.
9徐有福,文伟平,万正苏.基于漏洞模型检测的安全漏洞挖掘方法研究[J].信息网络安全,2011(8):72-75. 被引量：15
10蔡重,帅志军.基于C# Socket编程的银行自动代发／代扣接口系统设计与实现[J].电脑知识与技术,2010(01Z):306-308. 被引量：3

西安交通大学学报

2006年第6期

浏览历史

内容加载中请稍等...

基于Petri网的TCP协议异常检测模型被引量：4

参考文献6

同被引文献49

引证文献4

二级引证文献10

相关作者

相关机构

相关主题

浏览历史

基于Petri网的TCP协议异常检测模型 被引量：4

参考文献6

同被引文献49

引证文献4

二级引证文献10

相关作者

相关机构

相关主题

浏览历史

基于Petri网的TCP协议异常检测模型被引量：4