基于贪婪算法的网络通信未知蠕虫检测仿真

网络蠕虫具有智能化和综合网络攻击性,无须计算机使用者干预即可运行的攻击程序或代码,且攻击传播速度较快。计算机防御模型多采用杀毒软件处理蠕虫的检测,但是无法提前防御蠕虫的攻击。因此,提出基于贪婪算法的网络通信未知蠕虫检测方法。通过云安全环境建立蠕虫传播模型,提取未知蠕虫数据特征,采用贪婪算法构建自编码器,降维蠕虫数据特征。利用改进蚁群算法和SVM建立网络攻击检测模型,将降维后蠕虫数据特征输入模型中,完成未知蠕虫的检测。实验结果表明,研究方法的蠕虫检测率更高,且丢包率低于0.5%,主机感染率降低,说明所提方法的应用性能更优。

基于分体蜗杆技术的低速风洞迎角机构研制

为提高风洞迎角机构的精准度,采用一种基于分体蜗杆技术的蜗轮蜗杆副对4 m×3 m低速风洞迎角机构进行改造。分析分体蜗杆技术的原理及实现,并对改造后的迎角机构进行静态和动态测试。结果表明:采用分体蜗杆技术的迎角机构能提高迎角的定位精度和试验数据质量,为该风洞后续试验的开展奠定良好基础。

基于信息熵的工业网络涉密信息安全防护策略研究

工业网络包含多种类的海量涉密信息。当工业网络受到入侵攻击时,不同区间的涉密信息入侵特征繁杂,导致入侵检测误报情况较多、涉密信息安全防护性能较差。提出基于信息熵的工业网络涉密信息安全防护策略。构建涉密信息安全防护机制,从多个角度监控访问用户。读取涉密信息后,设计入侵检测方法,利用相关信息熵选择不同区间的入侵特征,统一入侵衡量标准,以保证工业网络信息安全。将选择后的特征输入至K均值算法中,完成入侵数据检测,以实现工业网络涉密信息安全防护。试验结果表明,该策略能够有效降低多种入侵攻击的误报次数,并能够在攻击发生时保障通信带宽稳定,从而有效保证工业网络涉密信息的安全性。所提方法能够为工业网络涉密信息的安全存储提供理论支持。

一种基于本地网络的蠕虫协同检测方法

目前已有一些全球化的网络蠕虫监测方法,但这些方法并不能很好地适用于局域网.为此,提出一种使用本地网协同检测蠕虫的方法CWDMLN(coordinated worm detection method based on local nets).CWDMLN注重分析扫描蠕虫在本地网的行为,针对不同的行为特性使用不同的处理方法,如蜜罐诱捕.通过协同这些方法给出预警信息,以揭示蠕虫在本地网络中的活动情况.预警信息的级别反映报警信息可信度的高低.实验结果表明,该方法可以准确、快速地检测出入侵本地网络的扫描蠕虫,其抽取出的蠕虫行为模式可以为协同防御提供未知蠕虫特征.通过规模扩展,能够实施全球网络的蠕虫监控.

一种基于邻居信任评估的虫洞防御机制

移动ad hoc网是一种新型无线移动网络,具有无中心、自组织、拓扑结构变化频繁以及开放式通讯信道等特性,因此ad hoc网络下的路由协议所面临的安全问题比有线网环境中更为严重。虫洞攻击就是其中的一种,能够对ad hoc网络产生致命的影响。在这种攻击下,网络的路由机制将会紊乱,特别是那些依赖通过接收对方的广播报文进行邻居探测的路由协议。本文首先从虫洞形成的根源上入手,重新定义了邻居的概念,强调了邻居作为节点信息转发第一站的功能。然后根据邻居定义,引入简化的Marsh1信任模型,将邻居的以往表现作为信任评估的经验来源,再通过具体公式对邻居关系做出判定。在具体的路由过程中,节点根据信任评估值选取高可信度的邻居作为下一跳的转发节点,从而避免虫洞攻击的危害。为了验证方法的可行性,本文将模型应用于OLSR路由协议中并在NS2中进行了仿真。

一种安全的移动自组网链路状态路由协议:SOLSR

移动自组网是一种新型的无线移动网络,具有无中心、自组织、拓扑结构变化频繁以及开放式通讯信道等特性,因此移动自组网下的路由协议所面临的安全问题比有线网环境下更为严重。OLSR(Optimized Link State Rou-ting)协议于2003年成为 RFC3626草案,该协议首先假设网络中所有节点都是友好的,无恶意行为,同时认为安全问题可以利用IPSec来解决,但是,OLSR协议的通讯通常是“一对多”的广播形式,IPSec是针对端到端通讯的安全方案,故而单单依靠IPSec并不能完全解决OLSR的安全问题。由于OLSR自身还存在着机制上的漏洞,恶意节点针对这些漏洞进行攻击,可以导致路由协议无法正常工作,继而影响到整个网络的运行。本文在对OLSR的安全性分析的基础上,对协议进行了改进,加强了协议中对“邻居关系”的定义,同时引入了虫洞检测和身份认证机制,以及通讯报文的安全附加项,从而提出了安全链路状态路由协议——SOLSR来保证移动自组网中路由协议的正常运行。

基于候选组合频繁模式的骨干网蠕虫检测研究

现有的网络蠕虫检测方法大多都是基于包的检测,针对骨干网IP流检测的研究较少,同时也不能很好地描述蠕虫的攻击模式。为此研究了一种在骨干网IP流数据环境下的蠕虫检测方法,通过流活跃度增长系数和目的地址增长系数定位可疑源主机,接着采用基于候选组合频繁模式的挖掘算法(CCFPM),将候选频繁端口模式在FP树路径中进行匹配来发现蠕虫及其攻击特性,实验证明该方法能快速地发现未知蠕虫及其端口扫描模式。

基于网络流量自相似性的蠕虫攻击检测方法研究

网络蠕虫攻击是一种危害巨大且难以防御的网络攻击方式。传统的基于特征匹配的蠕虫检测方法受限于对蠕虫特征值的提取,无法检测未知类型蠕虫的攻击。在此将表征网络流量自相性的Hurst参数应用到蠕虫攻击检测,通过对Hurst参数的变化来检测未知类型蠕虫的攻击。实验表明该方法能有效检测到网络中采用主动扫描方式传播的未知类型蠕虫攻击行为。

基于蜜罐的网络病毒特征研究模型

HSWS(基于蜜罐的网络病毒特征研究模型)利用蜜罐技术的优势,收集网络病毒在蜜罐上的活动信息;根据蜜罐响应的信息和网络截获的攻击数据包,用攻击树方法重构病毒攻击过程;并根据目标对攻击信息进行分类,用LCS算法在同类攻击数据中生成网络病毒的特征。对收集的新型网络病毒特征扩充IDS的特征库,弥补入侵检测系统对未知病毒攻击无法识别问题,完善防御系统。

基于行为的XSS攻击防范方法

为了更好地防范XSS攻击以及由此所衍生的XSS蠕虫攻击,提出了一种结合动态污点分析和HTTP请求分析处理相结合的方法。对应用程序中的敏感数据进行标记,对标记数据的流向进行跟踪,防止敏感数据被发送到第三方,同时从XSS蠕虫传播所必需的POST请求入手,对HTTP数据包中的POST请求数据包进行拦截并分析,防止XSS蠕虫的繁衍。实验分析结果表明,该方法能有效地防御XSS攻击和0-Day XSS蠕虫的传播及攻击。

恶意代码的机理与模型研究

恶意代码是信息系统安全的主要威胁之一。从操作系统体系结构的角度研究了恶意代码的产生根源,指出PC操作系统中存在特权主体、内核扩展机制不安全、程序执行环境保护不力等弱点是造成恶意代码泛滥的本质原因。基于F.Cohen的计算机病毒定义,对计算机病毒的传播机理进行了形式化描述。研究了蠕虫程序的模块结构。建立了数据驱动型软件攻击的理论模型,分析了其构成威胁的本质原因。

蠕虫攻击下光纤无线网络中相邻流量时间窗异常监测

针对蠕虫攻击对光纤无线网络稳定运行的严重影响问题，提出光纤无线网络相邻流量时间窗异常监测方法。该方法利用时间序列分析法对相邻流量时间窗进行预处理分析，计算其自相关函数，构建ARIMA模型确定相邻流量预测值动态阈值，通过该结果对两个相邻流量判断时间窗是否存在异常，实现光纤无线网络相邻流量时间窗异常监测。实验结果证明，所提方法在保证相邻流量时间窗异常检测率较高的基础上，排除了光纤无线网络相邻流量中的干扰项，降低了漏报率，具有较高实用性。

考虑攻击相关性的蠕虫传播模型

网络节点的感染概率直接对蠕虫的传播过程产生影响,而攻击行为的相关性会加大节点的感染概率.基于此,本文提出了考虑攻击相关性的STIR蠕虫传播模型.根据攻击相关性的特点,给出感染概率的更新计算方法,并利用状态转移概率法对传播过程进行数学描述,推导传播临界值的计算公式,最后在无标度网络中进行仿真分析.实验结果验证了数值推导出的传播临界值的正确性.与未考虑攻击相关性的蠕虫传播模型相比,STIR模型能够更好地模拟蠕虫的传播过程.同时在研究中还发现,感染概率初始值、感染变化率和传播概率的增加都会加大蠕虫的传播速度和传播规模.

基于多序列联配的攻击特征自动提取技术研究

误用入侵检测系统的检测能力在很大程度上取决于攻击特征的数量和质量.该文提出一种基于多序列联配的攻击特征自动提取方法:首先将可疑的网络数据流转化为序列加入到可疑数据池中;通过聚类将这些序列分为若干类别;最后利用该文提出的多序列联配算法对同一类中的序列进行联配,并以产生的结果代表一类攻击的特征.该方法的核心是该文提出的两种序列联配算法:奖励相邻匹配的全局联配算法CMENW(Contiguous-Matches Encouraging Needleman-Wunsch)和层次式多序列联配算法HMSA(Hierarchical Multi-Sequence Align-ment).CMENW算法克服了Needleman-Wunsch算法易产生碎片的问题,使得连续的特征片段能够尽量地予以保留;HMSA算法以层次式策略对多序列进行联配,支持通配符,并带有剪枝功能.该方法可以自动地提取包括变形病毒和缓冲区溢出在内的新攻击的特征,其主要优点是:(1)产生的攻击特征包含位置相关信息,因而相对传统的方法结果更加准确;(2)具有良好的抗噪能力.

跨站脚本蠕虫的技术与研究

跨站脚本攻击(XSS)是目前安全漏洞中最为常用的攻击手段之一。介绍了跨站脚本漏洞及其基本原理和攻击方式;设计了一个跨站脚本蠕虫,并对其进行分析;给出了一个XSS的实例及其攻击破坏的过程。对研究XSS起到一定的启示作用。

Malware范畴化研究及其在协同式网络攻击中的应用

本文引入处理结构化信息强有力的数学工具范畴论,从范畴论的角度把Malware本身视为一个范畴,而把Malware技术特征看作范畴内的射元关系,并对Malware范畴应满足的范畴的基本性质予以论证。同时,本文研究了Malware范畴化在协同式网络攻击中的应用,并对基于范畴化Malware的协同式网络攻击模型进行了相应的实验研究。

蠕虫主动遏制系统的设计与实现

随着Internet的飞速发展,网络蠕虫已经成为了互联网的首要安全威胁之一,当前传统的蠕虫对抗技术已经不能有效地防范蠕虫爆发,遏制蠕虫的传播.为了解决这个问题,在目前的蠕虫遏制方法分析的基础上,本文提出了一个蠕虫主动遏制系统的体系结构,并对系统的各个模块的工作原理进行了详细的分析和说明.

一种新的蠕虫防范方法

提前对特定漏洞可能出现的攻击数据包进行特征提取,并以此特征为基础描述了一种可以阻断未来针对特定漏洞恶意攻击的蠕虫防范方法,最后提出一种新的蠕虫防范模式和存在的一些问题。

网络异常情况下BGP行为分析

BGP是域间路由协议事实上的标准,分析BGP的行为,尤其是在网络异常情况下的行为,非常重要。文章分析了发生在2001年9月的CodeRed/Nimda蠕虫攻击情况下的BGP行为。结果显示,攻击期间,监测点的BGP更新消息数是正常情况下的30倍。其中的40%是由于监测点自身的环境造成的。通过对消息进行分类的方法,我们更好地分析出了真正导致路由变化的更新消息。

一种基于传播特征的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。