DIDS监视代理间数据融合算法的设计与实现

提出并实现用于分布式入侵检测系统中多监视代理之间协同检测的数据融合算法,实验证明该算法可以在0.07 s～1s之内检测出SYN洪水、Smurf、Land等多种分布式拒绝服务攻击,并及时采取响应措施,阻断攻击者的网络连接。该算法建立在对多数据源的数据分析基础之上,提高了入侵检测的准确性,克服了路由访问控制列表过滤的局限性,可以实现在不影响网络正常运行情况下的实时检测与报警功能。

分布式入侵检测监视代理及数据融合算法

对分布式拒绝服务攻击的防护，传统的方法是采用路由访问控制列表过滤的防护方法。无法识别虚假地址和针对应用层的攻击，而且容易造成服务器无法向外部提供正常的服务。为此，在探讨分布式拒绝服务攻击原理和特征的基础上，设计了分布式入侵检测系统的监视代理模块，提出和实现了用于多监视代理之间协同检测的数据融合算法。实验证明，该算法可在0＋07—1s之内检测出Syn洪水，Smurf，Land等多种分布式拒绝服务的攻击，并可及时地采取响应措施，阻断攻击者的网络连接。由于该算法建立在对多数据源的数据分析基础上，因此，大大提高了入侵检测的准确性，克服了路由访问控制列表过滤的局限性，基本实现了在不影响网络正常运行情况下的实时检测与报警功能。

基于监视代理的IaaS平台漏洞扫描框架

针对Iaa S平台主机的安全漏洞问题,提出了一种基于监视代理的Iaa S平台漏洞扫描框架。该框架通过增加监视代理,改进并优化传统漏洞扫描工具,增加软件版本更新检测功能,实现主机漏洞检测。该框架具有良好的扩展性、稳定性和实用性,并且易于在大规模集群中部署。实验证明,该框架可以有效检测主机中存在的漏洞和低版本软件并提供安全报告与建议,有助于降低物理节点和虚拟机安全风险,维护Iaa S平台的安全性。

基于ARP协议的内网访问控制系统

针对已有内网访问控制的不足,本文提出了一个分布式架构的基于ARP协议解析的内网访问控制系统,并对各部件功能特性、系统工作流程和检测原理进行了详细的描述和讨论。本系统突出的优点是采用分级式管理,实现了跨网段的准入控制和数据的分散采集与处理,可以有效地避免单点失效。

并行化网络监听数据采集模型

提出了并行化的网络监听数据采集模型,对代理管辖网络设置多个监视代理,负责对网络流量进行监听.监视代理后连接一个管理代理,负责将多个监视代理过滤处理的数据汇总,完成与其他代理的通信,以及监视代理故障后的管理工作.设计了合适的包选择算法,该算法在保持网络链接属性的前提下,通过对数据包关键域的散列运算,在各个代理间均衡流量,并结合并行代理技术,实现了网络监听数据采集的高速性和可靠性.理论分析和实验结果表明,该并行策略对高速网络环境下的采集性能具有很好的加速效果.

基于多模态数据流的网络信息局部异常点检测方法研究

由于原料性质、设备磨损、过程负荷等因素的影响,复杂工业系统会出现多个稳定操作模态,各稳态之间的过渡过程具有明显的动态特性,针对现有异常检测系统报警意义不明确等问题,将多模态数据流(Multimodal data flow,MDF)技术用于局部异常点检测系统。提出了一种基于多模态数据流的网络信息局部异常点检测系统。通过在此局部异常点检测系统中,使用多模态数据流技术执行异常检测,大数据流技术执行滥用检测。使用多模态数据流进行异常检测,每个节点内都有一个监视代理和一个分类器(用于检测)以及一个移动代理(用于收集信息)。异常检测和滥用检测模块的输出均由模糊检测规则应用以执行最终检测。该方法采用无状态保留的方式,采用基本特征向量来描述网络数据流实时的运行状态,并且利用基于攻击特点的数据流特征组合使报警的意义更加明确。实验结果表明:该方法提供了一个压缩比较高且能比较全面反映实际网络数据流的基础特征,这为将来的异常检测提供了一个较好的数据平台,具有比较好的可扩展性。

基于网络入侵检测系统总体框架的设计

介绍了基于网络入侵检测系统总体框架的设计 ,将基于网络入侵检测系统功能分为两大部分 ,两部分之间是控制与被控制的关系 ,通过两部分的协作工作达到实时检测的目的。