利用弹性NetFlow技术进行IPv4/IPv6双栈流量分析

推进IPv6规模部署是加快网络强国建设、加速国家信息化进程的战略要求。互联网带宽飞速增长,用户接入带宽超过100 Mbps,骨干网带宽超过100 Tbps。传统的流量分析方法已不能在控制投资成本的条件下,满足日益增长的流量和业务需求。基于此,面对IP承载网和互联网的实际需求,面对多业务、大流量、IPv4/IPv6双栈等挑战的IP网络,研究如何通过弹性NetFlow技术进行流量分析和网络攻击识别。

SDN中面向流表溢出攻击检测的网络遥测调度方法

针对基于固定周期或特定事件调度的网络遥测在流表溢出攻击检测中产生的数据冗余问题,提出了一种面向流表溢出攻击检测的网络遥测调度方法——F-Sense INT。F-Sense INT通过分析流表溢出攻击流的特征,在数据平面针对性地收集对用于流表溢出攻击检测的网络状态信息,在降低控制器资源及南向通道带宽占用的前提下减少遥测报告量。实验结果表明,与原生OVS系统相比,在仅增加1.13%的交换机CPU占用率和4.18%的内存占用率的情况下,F-Sense INT能有效地过滤网络中的非流表溢出攻击流,使遥测数据包数量减少。F-Sense INT显著提升了面向流表溢出攻击检测的网络遥测效率,同时也具备了较高的实用性。

基于传染病和网络流模型分析APT攻击对列车控制系统的影响

高级可持续威胁(APT)是目前工业控制系统面临的主要威胁之一。APT攻击利用计算机设备漏洞入侵列车控制网络,感染并且扩散到网络中的其他设备,影响系统正常运行,因此评价APT攻击对列车控制系统的影响非常必要。提出一种基于传染病模型和网络流理论结合的APT攻击影响分析方法。首先,分析在APT攻击的不同阶段设备节点状态之间的转化规则,结合传染病理论建立APT攻击传播模型,研究攻击过程中的节点状态变化趋势;其次,把设备节点的状态变化融入网络流模型中,研究APT攻击过程中设备节点状态变化对列车控制网络中列车移动授权信息流的影响;最后,结合列车控制系统的信息物理耦合关系,分析APT攻击对列控系统整体性能的影响。仿真实验展现了APT攻击过程中节点状态变化的趋势,验证该方法在分析APT病毒软件在列车控制网络中的传播过程对列车控制系统整体性能影响的有效性,为管理者制定防御方案提供依据,提升列车控制系统信息安全水平。

数字化校园网络流量控制与优化

针对数字化校园网络规模和业务流量的快速增长,复杂多样化的网络应用占用有限的带宽资源导致关键网络应用带宽无法得到保障等问题,通过部署专业流量控制设备,在网络设备上实施流量控制策略,提高网络安全防御能力,加强校内网络资源建设等方法,分时段、分用户、分区域制订和实施不同的流量控制策略。实践证明,该方案能够有效优化校园网络带宽资源,减少异常网络攻击流量,合理疏导校园网出口流量,有效保障了校园网关键网络应用的带宽需求。

基于流量特征的登录账号密码暴力破解攻击检测方法

针对暴力破解通过尝试用户所有可能的账号与密码组合来远程登录他人的信息设备或系统,使网络安全面临重大风险的问题,提出一种基于流量特征的远程登录暴力破解检测方法,通过获取通信流量的统计特征,基于进程数量过滤明显的攻击行为;利用数据包特征对数据进行深度分析和再检测.实验测试结果表明,该方法能识别出针对TELNET,SSH,FTP和RDP等协议的单机或分布式暴力破解行为,并能取得不低于98%的检测准确率.

基于Petri网的网络攻击流模型研究

针对网络攻击的智能组织实施问题,提出一种攻击流的概念,选用Petri网作为工具,对网络攻击流进行建模。在此基础上,对3种基本网络攻击流模型进行分析,并结合IP欺骗攻击实例,分析其在IP欺骗攻击中的具体应用及其实现方式。实验结果表明,该模型既利于攻击者构建网络攻击方案,又能被计算机解析并组织实施网络攻击。

基于水印信息重排序的多流攻击反制方法

网络流水印是一种网络攻击源主动追踪技术,但根据其流间依赖关系实施的多流攻击对流水印可用性构成严重威胁.提出基于水印信息重排序的多流攻击反制方法,对于不同的目标数据流,采用不同的随机种子来随机选择水印信息的不同排列进行嵌入,有效消除了已标记数据流之间的依赖关系.分析与实验结果表明,该方法可抵御多流攻击.与嵌入位置随机化方法相比,误报率低,而且对水印检测器性能影响小,是一种抵御多流攻击的有效方法.

基于集成分类器的恶意网络流量检测

针对目前网络大数据环境攻击检测中因某些攻击步骤样本的缺失而导致攻击模型训练不够准确的问题,以及现有集成分类器在构建多级分类器时存在的不足,提出基于多层集成分类器的恶意网络流量检测方法。该方法首先采用无监督学习框架对数据进行预处理并将其聚成不同的簇,并对每一个簇进行噪音处理,然后构建一个多层集成分类器MLDE检测网络恶意流量。MLDE集成框架在底层使用基分类器,非底层使用不同的集成元分类器。该框架构建简单,能并发处理大数据集,并能根据数据集的大小来调整集成分类器的规模。实验结果显示,当MLDE的基层使用随机森林、第2层使用bagging集成分类器、第3层使用AdaBoost集成分类器时,AUC的值能达到0.999。

基于网络流量自相似性的蠕虫攻击检测方法研究

网络蠕虫攻击是一种危害巨大且难以防御的网络攻击方式。传统的基于特征匹配的蠕虫检测方法受限于对蠕虫特征值的提取,无法检测未知类型蠕虫的攻击。在此将表征网络流量自相性的Hurst参数应用到蠕虫攻击检测,通过对Hurst参数的变化来检测未知类型蠕虫的攻击。实验表明该方法能有效检测到网络中采用主动扫描方式传播的未知类型蠕虫攻击行为。

SDN环境下基于KNN的DDoS攻击检测方法

DDo S攻击是当前互联网面临的主要威胁之一,如何快速准确地检测DDo S攻击是网络安全领域研究的热点问题。文中提出了一种在SDN环境下基于KNN算法的模块化DDo S攻击检测方法,该方法选取SDN网络的5个关键流量特征,采用优化的KNN算法对选取的流量特征进行流量异常检测,最后基于NOX控制器和Net FPGA交换机进行了实验验证。实验结果表明:相对其他的分类检测算法,所提的检测方案具有更高的识别率和更低的误报率。

一种分布式网络入侵防御系统

为了改进当前IPS面临性能瓶颈、误报、漏报和攻击速度等问题,提出了一种分布式"分析与检测+集中控制+升级服务"架构的网络入侵防御系统。分析与检测主要采用协议识别和分析、协议异常检测、流量异常检测及响应方式等,集中控制主要用于监测控制入侵检测与防御系统的运行及其系统配置,升级服务负责定期提供攻击特征库的升级更新,使系统提供最前沿的安全保障。同时兼容其他安全产品,形成深度防御体系,最大限度地保护企业和组织的网络安全。

网络流水印技术研究进展

网络流水印技术作为一种主动流量分析手段,可有效追踪恶意匿名通信使用者与跳板链后的真实攻击者,具有准确率高、误报率低和观测时间短等优点,在攻击源追踪、网络监管和攻击取证等领域有着重要应用。首先阐述网络流水印技术的基本框架及主要特点,接着对当前基于包载荷、基于流速率和基于包时间的典型网络流水印技术进行简要介绍,然后概述针对网络流水印技术的时间分析攻击、多流攻击和均方自相关攻击等主要攻击手段与反制对策,最后对网络流水印技术的发展前景进行展望。

基于协议分析技术的抗恶意软件攻击测试系统设计

传统的抗恶意软件攻击测试系统存在攻击效果检测效率低、抗攻击能力评估准确性差的缺陷,为了解决上述问题,引入协议分析技术对抗恶意软件攻击测试系统进行设计。依据抗恶意软件攻击测试系统的需求,搭建抗恶意软件攻击测试系统框架,以此为基础对系统硬件与软件进行详细设计。系统硬件由流量采集器、协议分析器与数据存储器组成;系统软件由流量捕获模块、协议分析模块、恶意软件攻击效果检测模块与抗恶意软件攻击能力评估模块组成。通过系统硬件与软件的设计实现了抗恶意软件攻击测试系统的运行。由测试结果得到,与传统的抗恶意软件攻击测试系统相比,设计的抗恶意软件攻击测试系统极大地提升了攻击效果检测效率与抗攻击能力评估准确性,充分说明设计的抗恶意软件攻击测试系统具有更好的测试效果。

基于客流加权的城市轨道交通网络抗毁性分析

为准确评估城市轨道交通车站失效对网络结构和服务质量的影响,首先,采用Space L方法,并考虑车站客流量,构建基于客流加权的城市轨道交通网络拓扑结构模型;然后,提出兼顾网络拓扑结构和服务质量的抗毁性综合评估指标,在度中心性、介数中心性和剩余容量3种负载分配策略下,分析随机攻击和蓄意攻击对城市轨道交通网络抗毁性的影响;最后,以2021年西安市轨道交通网络为例,验证模型的实用性和有效性。结果表明:客流量大或连接网络中心组团与分支的车站为城市轨道交通网络的关键车站;随着连续攻击次数的增加,强度最大的蓄意攻击对网络的破坏程度越来越大;在度数、介数和强度3种最大蓄意攻击策略下,网络抗毁性达到最优时,容量调节系数最小阈值为0.5,乘客换乘率的最大阈值为0.4。

基于流量牵引和陷阱系统的DDoS防御技术

分布式拒绝服务攻击(DDoS)对网络安全已经构成了严重的威胁,对于这种海量攻击手段,该文在分析DDoS攻击技术的基础上,进行了基于流量牵引和陷阱系统的DDoS防御技术研究并提出了相关模型;试验结果表明,本系统在防御DDoS攻击上比传统方式更具有明显效果。

一种基于Storm及Hadoop的海量日志安全分析系统

针对海量日志流安全分析的问题,设计一种海量日志安全分析系统。该系统将开源框架Storm与Hadoop进行整合,通过正则表达联动检测机制和基于FP-Growth算法的离线关联分析来探测日志流中的网络安全事件,实现识别安全事件无需人工干预。实验结果表明,该系统对各类网络安全事件具有较好的识别效果。

网络抖动下疑似攻击流指纹有效监测方法研究

研究网络抖动下疑似攻击流指纹的有效监测时,由于攻击流指纹的隐蔽性及网络数据量大的特性,会出现网络噪声干扰。传统的方法受到这种干扰无法保证监测的实时性与监测结果的准确性。提出基于模糊粗糙集算法的网络抖动下疑似攻击流指纹的监测方法。针对原始监测数据的信息冗余、数据矛盾等问题,进行数据离散化及信息约简预处理,根据模糊粗糙集原理,分别经由数据准备、节点衍生、规则集生成及结果判定的过程,实现对监测数据的有效分类,从而完成对疑似攻击流指纹的有效识别判定。实验结果表明,采用改进算法进行网络抖动下疑似攻击流指纹监测,可以提高监测结果的准确度,减小误报率与漏报率,节约监测成本,具有实际的应用价值。

基于流数据特征匹配的主机异常行为分析研究

网络流量是分析主机网络状态的重要因素.在分析主机正常、异常状态下流量特征的基础上,将正异常网络行为流量特征分析结果存入匹配库中.基于2种状态下的分析对比,从而设计基于流数据特征匹配的多级主机流量分析方法.并设计和实现主机流量统计分析系统,为主机用户做好预警工作.首先参照主机流量特征以及常见攻击种类,采用基于进程应用类型方法对主机流量分类.通过模拟攻击实验,将主机异常流量特征存入匹配库.实验测试结果表明,基于流数据特征匹配的多级主机流量统计分析系统能够对木马、Ddos等攻击进行有效预警.

基于Hadoop的云端异常流量检测与分析平台

Hadoop系统作为一种开源的分布式云计算平台已获得广泛应用,但其云端易受到各种威胁和攻击,基于此,开发了一种基于Hadoop的云端异常流量检查与分析平台。首先,使用Mapper周期性地从所有存储流量信息的文件中提取流量的部分信息;然后,通过Reducer将异常流量提取并保存。通过对流量数据的存储、检测与分析可成功地检测出有威胁的攻击,从而保障云端的安全。由于本平台基于开源的Hadoop实现,因此成本较低;同时,基于Java语言实现,可成功移植于各种主流操作系统,具有广泛适用性。基于局域网进行监控试验,结果表明本平台可成功地检测出异常流量,并输出友好的用户界面。

基于网络结构和潮流追踪的电网关键节点识别

本文综合电网拓扑结构和基于潮流追踪技术,提出一种关键节点识别方法。首先根据潮流运算,得到电力网络中节点之间的潮流流向,然后对电力网络进行潮流追踪运算,得到节点之间的链接强度,并以此建立电网的加权有向网络模型,定义加权有向网络中的出、入强度,根据节点强度和负荷权重定义节点的重要性评价指标。以IEEE39节点系统和IEEE14节点系统为测试案例,得到各系统中节点的重要性排序。按照排序结果对节点进行过负荷攻击,以系统在节点受到攻击后潮流熵的变化来验证节点重要度排序是否合理,研究表明本文提出的方法在电网关键节点识别中更加合理有效。