Dendritic Cells Algorithm and Its Application to Nmap Portscan Detection

Dendritic Cells Algorithm （DCA） is a new development in Artificial Immune System （AIS）. It has various parameters, and as yet has not been ex- tensively tested. The general applicability of the al- gorithm to a variety of problems is d. The aim of this work is to demonstrate the feas^ility and ro- bustness of the algorithm, and the sensitivity to the change of various parameters in a series of experi- ments for Nmap portscan detection by using DCA. Experiment results show that the algorithm per- forms well on the task of detecting a ping based Nmap portscan. Sensitivity analysis is also per- formed. True positive rate is higher for the detec- tion of anomaly processes and false positive rate is lower for the detection of normal orocesses.

一种新的分布式端口扫描检测方法

文章介绍了各种扫描技术,总结了已有的检测方法。在此基础上,文章提出了一种新的分布式的端口扫描检测方法。检测的传感器部分实现对异常包的检测,分析器部分通过将异常包分成不同的类,计算一个类的异常值的总和,然后判断出扫描。这种方法不仅可以检测出现有的各种扫描工具能够检测出的扫描,也能检测出它们不能检测出的扫描,例如分布式扫描,慢速扫描等等。

基于Dempster-Shafer证据理论的端口扫描检测方法

端口扫描是通过对目标系统端口试探性的访问来判断端口是否开放的行为.它往往是攻击者入侵行为的第一步.端口扫描检测是入侵监测系统不可缺少的一部分,而当前端口扫描的检测方法不多,并且准确性不高.为提高扫描检测的准确性,本文使用Dempster-Shafer证据理论对两种扫描检测方法产生的数据进行融合:一种是基于端口分布特征的扫描检测方法,该方法简单且具有较高的检测率;另一种是基于序列假设测试的扫描检测方法,该方法充分利用了端口扫描的本质特征.实验结果表明,同单独使用基于端口分布特征或序列假设测试的方法相比,这种基于Dempster-Shafer证据理论的扫描检测方法对端口扫描的检测准确得多.

IXP2400多线程编程设计的研究与实践

由于网络处理器的高性能和可编程灵活性能较好地满足高速数据通信的要求,因此,它在高速网络设备中有着广阔的应用前景。该文介绍了IXP2400的硬件体系结构,阐述了体系结构中针对网络数据处理所作的优化,分析了IXP2400中多线程编程的两种具体实现模式,并在此基础上提出了实际的端口扫描检测应用举例。

一种新的端口扫描检测方法

针对现有端口扫描方法存在的缺陷,提出一种端口扫描检测的新方法。该方法充分利用受保护网段内各主机的特征,对可疑事件进行关联分析,不但可以检测现有工具都可以检测的扫描,而且对慢速扫描的检测也非常有效。

一种基于分组抽样的TRW改进算法

端口扫描是最常见的网络异常流量,TRW是端口扫描检测中最有代表性的算法之一。在高速网络环境下,网络测量通常采用分组抽样技术。已有的研究表明,分组抽样对原始流的流大小分布有细化和扭曲的作用,使得TRW检测算法随着抽样率的增加,成功检测率和误检率呈现出先增加后减少的趋势。本文提出了一种TRW的改进算法,原理是利用抽样后样本流中包含的TCP协议信息改善分组抽样下的流大小分布估计,从而提高TRW检测算法的有效性。实验证明,新算法与原算法相比,在成功检测率差不多的情况下,误检率明显降低了。