Chi-square Distance在协议异常检测中的应用

针对JuanM提出的一种基于马尔可夫链的随机协议异常检测模型和评估方法存在的不足进行改进.改进后的模型增加了一些必要的状态,初始概率和转换概率更加精确.实验表明,将Chi-SquareDistance和马尔可夫链方法相结合来检测协议异常,可克服原方法的不足,能有效检测到SYNFlooding攻击.

基于Petri网的TCP协议异常检测模型

从面向连接的角度出发,以Petri网为工具,建立了TCP协议异常检测模型.该模型以TCP协议的状态变迁图为基础,并根据协议规范可对传输报文的标志位进行系统的分析,从而识别出标志位非法组合构成的畸形报文(FIN-RST报文).模型中规定了各种状态下可接收的标志位集合,同时还细化了各状态下的超时异常,据此可准确地检测出各种异常,以抵御已知和未知的非法行为.利用该模型不仅可发现已知异常事件,还可对未知漏洞进行防范.通过实验发现,网络中的错误标志位报文、端口扫描以及DOS攻击产生的异常流量将占到总流量的10%以上.

基于协作的网络协议异常检测算法

最近跟踪发现目前现有网络协议异常检测技术只是对常见的协议进行检测,具有一定的片面性,对Do S攻击中的SYN Flooding攻击无法检测到.为了提高检测性能的实用性和实时性,应用协作式方法将基于马尔可夫链检测法和均值评估法共同实现了协议异常检测建模,分析了模型建立的过程并提出了模型系统架构.论述了在马尔可夫链的基础上建立异常检测子模型以及如何使用均值评估法建立检测模型.结果表明该模型对应用层的多种协议和传输层TCP协议进行异常检测以及对SYN Flooding攻击检测效果明显.该算法不仅具有一定的理论创新,还具有较强的实用价值.

基于条件随机场的协议异常检测

提出了一种基于条件随机场的协议异常检测模型。该方法将连接中的数据包作为观测序列,量化数据包首部的标志位,计算标志位在连接中的出现频率作为观测序列的两个特征,实验结果验证了所建立模型的准确性,同基于隐马尔科夫模型的检测方法相比,提出的方法在各个衡量标准上都要高于后者。

基于隐Markov模型的协议异常检测

入侵检测是网络安全领域的研究热点,协议异常检测更是入侵检测领域的研究难点.提出一种新的基于隐Markov模型(HMM)的协议异常检测模型.这种方法对数据包的标志位进行量化,得到的数字序列作为HMM的输入,从而对网络的正常行为建模.该模型能够区分攻击和正常网络数据.模型的训练和检测使用DARPA1999年的数据集,实验结果验证了所建立模型的准确性,同现有的基于Markov链(Markov chain)的检测方法相比,提出的方法具有较高的检测率.

基于转移和频率特征的协议异常检测

协议异常检测是目前入侵检测领域研究的新方向.本文研究状态的转移特性和频率特性,在此基础上建立模型进行协议异常检测.模型的训练和检测使用DARPA 1999年的数据集,实验结果验证了所建立模型的准确性.

协议异常检测技术在核电厂实时信息系统中的应用

网络安全是当前人人关注的焦点问题,入侵检测技术因具有主动防御特性而成为研究重点。针对核电厂实时信息系统建立协议异常检测系统,实现结合网络数据的转移和频率特性的检测算法,并从系统部署、运行流程等方面介绍系统的功能。运行结果表明,此系统能够有效检测入侵。

基于条件随机场的异常协议行为检测方法

针对现有异常应用协议行为检测主要针对某种特定应用,缺乏通用性的问题,提出一种基于条件随机场的异常应用协议行为检测方法,从网络数据流中提取应用协议关键字及其时间间隔作为状态特征,同时考虑关键字的频率分布特征,应用条件随机场模型对协议行为进行建模,将偏离模型的协议行为判定为异常。相比于传统的基于隐马尔可夫模型建模方法,该方法不必对特征量作严格的独立性假设,具有能够融合多特征的优势。实验结果表明,该方法在检测协议异常时准确率高、误报率低。

基于协议状态机的入侵检测方法研究

入侵检测系统是网络安全产品中的重要成员，可以有效的对网络安全事件进行检测跟踪，从而产生有效的防护动作，以及为攻击取证提供支持。基于论述网络安全现状及入侵检测研究现状，设计一种基于协议状态转换自动机的入侵检测技术，根据协议实现标准，建立有穷状态自动机，通过解析数据包并输入对应的自动机，判断是否能被自动机接受，或者统计状态转换等信息来进行异常的识别。

基于协议状态分析的入侵检测系统

提出了一种基于协议状态分析的入侵检测方法,不仅充分利用了协议的状态信息,而且考虑了相邻的数码包的内容状态,构造出协议状态序列,通过状态转换来检测入侵,有效地完成网络各层协议的分析,提高了检测的全面性、准确性和效率,实验结果表明是可行的。

一种动态的入侵检测系统负载均衡算法

目前的入侵检测不仅需要模式匹配,而且需要协议异常检测,提出了一种新动态的负载均衡算法。采用两层结构,对网络流量按照服务类型进行初步划分之后分别对每部分流量进行二次分配,并对每种类型的流量进行相应的协议异常检测。该算法能在不牺牲系统性能的前提下有效提高网络入侵检测系统的检测效率,降低误检率,并可有效地适应网络流量的变化,降低漏检率。