衷宜[1]2002年在《数据挖掘在DoS攻击检测和防护中的研究和应用》文中进行了进一步梳理针对近年来网络入侵行为日益猖獗,多起分布式拒绝服务(DDoS)攻击事件发生的严峻现实,本文致力于利用数据挖掘技术对DoS攻击检测和防护。在对网络攻击检测中数据挖掘的应用和DoS攻击流特征深入研究的基础上,创新地提出一种将数据包分析和流量分析共同用于DoS攻击特征挖掘的思路,即除了运用传统对数据包和通信连接的关联规则挖掘和序列模式挖掘外,额外增加利用趋势分析算法对网络的流量预测和分析,并将流量预测值与实际值比较结果作为DoS特征检测规则的关键属性之一。 同时本文通过对关联规则、模式序列和趋势分析的多种算法的深入的分析和比较,结合网络攻击检测的需求,为检测DoS攻击选择合适有效的算法;并为加快关联规则挖掘速度,提出Apriori算法的改进算法——AADD算法。 最后本文详细阐述了一个基于数据挖掘技术的DoS检测和防护系统的设计和实现。
车明明[2]2013年在《入侵防御系统关键技术的研究》文中指出与传统的由入侵检测系统和防火墙所构建的安全防护方案相比,入侵防御系统能够提供主动实时的防护功能。随着网络流量的增加,提高入侵防御系统的实时在线吞吐量、提高入侵防御系统的结构灵活性和可扩展性具有深远意义。网络攻击手段越来越多,攻击行为也越来越隐蔽,提高入侵检测算法的检测率同时降低误报率始终是网络安全研究的热点。本文以提高入侵防御系统结构的灵活性、可扩展性、系统性能、算法检测效率为目的,设计并实现了一个入侵防御系统,主要内容包括以下几个方面:1.研究了目前网络安全的现状、防火墙和入侵检测系统,对入侵防御系统进行了概述,分析目前入侵防御系统的发展趋势与面临的问题。2.研究分析了拒绝服务攻击检测技术,根据网络自适应性原理,结合概率统计算法和自适应阀值算法,提出了一种综合多级评估的基于概率统计的自适应阀值算法,能够有效降低检测的耗时,提高了检测准确度。3.研究分析了异常攻击检测技术,研究了目前主要的异常检测算法,对比分析了各种算法,总结了各种异常检测算法的优缺点,使用了一种基于精简特征的异常检测算法,完成了入侵防御系统中异常检测的功能。4.研究了Octeon CN3860网络处理器的特性、工作原理;研究了软件体系结构中的插件结构,在硬件平台上完成了系统整体结构的设计,并把插件结构引入到系统之中,设计了入侵响应缓存机制,使用并发和缓存原理来提高系统的处理性能。本文通过使用多种网络安全测试设备,在四川省信息安全重点实验室里搭建了测试环境,完成了对系统及算法的验证,经测试分析表明:系统设计的缓存机制可以有效提高系统的处理性能,论文利用网络自相似性原理设计的基于概率统计的自适应阀值算法可以提高检测的准确度,而使用的异常检测算法相对于其它算法拥有不错的检测效果。
郑继刚[3]2013年在《聚类分析在DoS攻击检测和防护中的研究和应用》文中提出网络入侵检测数据集的特征属性是衡量网络入侵状况的重要指标,对其进行分析研究可以深入了解网络入侵现状及其规律。使用Weka软件的聚类分析挖掘算法,把拒绝服务攻击类型中按照特征属性的相似性分为六类,并分析了各类的特点。
谭雅莉[4]2005年在《数据挖掘在网络入侵检测中的应用》文中提出近年来,互联网得到了长足的发展,但是网络本身的安全问题也日显突出,网络安全的一个主要威胁就是通过网络对信息系统的入侵。入侵检测系统(IDS)作为主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷。入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后的又一种新的安全保障技术,它用于对计算机和网络资源上的恶意使用行为进行识别和响应。近些年来,无论从规模上和方法上,入侵手段和入侵技术都有了很大的发展和变化。因此,对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。 黑客如何侵入某一目标?工具和方法有很多种,本文主要研究了拒绝服务攻击(DoS攻击)的原理。黑客一般采用网络扫描侦查目标系统的情况,搜集目标系统信息,再决定下一步行动。其中TCP扫描是最基本的扫描,典型的TCP端口扫描通过发送SYN包给目标机器来工作。如果端口开放,目标机器将返回SYN/ACK包,如果端口不开放,服务器将返回SYN/RST包,或者没有返回。通过这种办法,黑客可以了解目标机上哪些端口是开放的。对目标系统作端口扫描,并不是直接攻击系统漏洞,但是它主要找出目标机的某些内在的弱点,再进一步破坏系统安全。针对这种攻击,异常入侵检测可以发现数据包中的不符合协议的规范。异常检测先建立一个关于系统正常活动的状态模型并设定阈值,如果发现用户行为超过了观察值(阈值),则发出警报。 入侵检测系统对受保护网段上的数据包进行侦听和分析,判断是否发生入侵行为,并在入侵行为发生时,实时做出响应。采用异常入侵检测技术,建立系统正常的行为模式。数据挖掘技术中的一些方法能够很好的表述网络系统的正常行为模式,所以它可以被用于异常网络入侵检测。 此次研究深入了解了当前常见的IDS系统,熟悉了当前系统的设计原理、设计思路、实现方法等。本文设计的系统主要流程包括数据采集、数据预处理、异常入侵检测、和发出报警。在合理确定正常行为模式基础上,本文提出了一个基于数据挖掘的入侵检测系统模型,异常检测的方式加以实现,能够检测DoS攻击。
刘雅林[5]2004年在《抗Dos攻击模型研究》文中进行了进一步梳理随着计算机技术的发展,网络也在迅猛地普及和发展。人们在享受着网络带来的各种便利的同时,也受到了很多黑客的攻击。在众多的攻击种类中,有一种叫做DoS(Denial of Service 拒绝服务)的攻击,是一种常见而有效的网络攻击技术,它通过利用协议或系统的缺陷,采取欺骗或伪装的策略来进行网络攻击,最终使得受害者因为资源耗尽或无法作出正确响应而导致瘫痪,从而无法向合法用户提供正常服务。它看上去平淡无奇,但是攻击范围广,隐蔽性强、简单有效而成为了网络中一种强大的攻击技术,极大地影响了网络和业务主机系统的有效服务。其中,DDoS(Distubuted Denial of Service 分布式拒绝服务)更以其大规模性、隐蔽性和难防范性而着称。在本文中,首先对DoS攻击的种类进行分析,重点介绍几种典型的攻击手段和常见的防范措施,如Surf、SYN flooding、DDos、TFN、 DRDOS等,接下来针对DOS攻击的普遍原理,提出了用IDS进行防御的方法,包括异常检测、滥用检测及数据挖掘技术等。在本文中,作者重点将建立一个抗DOS攻击的模型,该模型利用数据挖掘(DM)原理,采用关联规则算法、序列模式算法和BP网络算法作为判断攻击的主要理论依据。该模型通过感应模块,获取网络流量信息;采用BP网络算法,训练出神经网络模型,建立网络流量趋势曲线,设立一个可以动态变化的阀值,和日志库中的网络流量进行对比分析,对异常流量进行判别;将感应模块抓取的网络连接信息利用关联规则算法、序列模式算法挖掘出关联模型和序列模式模型,作为判断攻击是否发生的重要方法。如果有攻击发生,还可以根据不同的情况采取灵活的防范措施,尽量减少对被攻击软件所控制的“肉机”造成的“误伤”。本模型还考虑到一些典型攻击的特征已经很明显了,设计了IP挖掘模块和端口挖掘模块,可以准确地诊断出常见的攻击;当发现了新的攻击特征时,还可以通过人工控制台将其加入到数据库中。由于网络流量与社会背景有关,该模型将人工判断与自动判断相结合,可以比较灵活地制定新规则,尽量做到既不误判,又不漏判。我在自己所在单位对该模型进行了大量的实验,得到了比较显着的抗攻击效果。
王保平[6]2006年在《数据挖掘在入侵检测中的应用研究》文中进行了进一步梳理21世纪是信息时代,而计算机网络技术是信息时代最重要的基础设施,掌握了信息就是占据了生存和发展的制高点。因为信息安全而造成的损失每年都在大幅度增加,信息安全成了人们日益关注的问题。硬件系统的功能越来越强大,软件的结构也越来越复杂,系统的漏洞不可避免,传统的安全机制采用认证、授权、加密、强制访问控制和自主访问控制等并不能阻止非法入侵行为,即使防火墙技术也不能阻止利用设计缺陷的攻击行为,传统的安全机制也不能阻止通过加密通道而发起的攻击,更无法应对由内部网络用户发起的攻击以及用户滥用权限的行为。 目前任何单一安全产品的防护能力都是不完全的,因此引入入侵检测技术就是很紧迫和必要的了。入侵检测不但能够检测外部用户的入侵行为,也可以检测内部用户的非法行为,是传统安全机制的一种有力补充。入侵检测系统可以从应用主机收集日志信息、审计记录或者网络数据包进行分析,以检测入侵行为,在检测到入侵后可以通过适当的方式报警。在宽带技术条件下,网络在短时间内就会产生海量的数据信息,如果不能有效的处理这些信息,将不能及时的发现入侵行为,更不用说报警了,数据挖掘技术的发展为入侵检测系统处理数据提供了新的思路和手段,在入侵检测中引入数据挖掘技术是十分有必要的。 数据挖掘是从大量的、不完全、包含噪声数据的、模糊的、随机的数据中发现知识(模式)的非平凡过程。发现的知识可以用于信息管理、查询优化,决策支持和过程控制等,还可以用于数据自身的维护。 本文在传统的入侵检测系统的基础上,结合数据挖掘技术,提出了一种基于主机和网络的、融合滥用检测和异常检测技术的分布式入侵检测系统模型,并分析了可以应用于入侵检测的典型的数据挖掘方法,分析了入侵检测系统的实现架构。在轻量级入侵检测系统Snort的基础上开发了一个数据预处理插件。本文所给出的入侵检测模型具有自适应性和扩展能力强的特点,在提高系统检测效率的同时降低了误报率和漏报率,因而具有实际应用价值。
包云[7]2006年在《基于轴特征的PrefixSpan算法在网络入侵检测机制中的应用研究》文中指出随着网络技术的快速发展和网络应用环境的不断普及,网络安全问题日益突出。在传统的加密和防火墙技术已经不能完全满足安全需求的同时,入侵检测技术作为一种全新的安全手段,越来越显示出其重要性。 入侵检测技术实质上归结为安全审计数据的处理。然而,操作系统的日益复杂化及网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。使用数据挖掘技术从审计数据中提取出有利于进行判断比较的特征模型,已是入侵检测研究的热点问题,具有重大的理论意义和实用价值。 入侵检测系统是计算机网络安全的重要组成部分,它实现了对入侵信息实时检测的功能。目前采用基于网络的和误用检测的入侵检测技术还不是很完备,还处于研究热点之中。论文从分析入侵检测中的关键技术出发,主要研究了一个基于轴特征的PrefixSpan算法在入侵检测系统中的应用,并设计了一个基于网络的采用误用检测技术的入侵检测系统——PAIDS(PrefixSpan and Axis character-based Intrusion Detection System)。 论文研究工作主要围绕以下几个方面进行: 1) 分析了当前网络安全形势和流行的安全技术;对入侵检测技术的研究历史与现状进行了综述,详细分析了目前已有入侵检测方法的不足,并讨论了入侵检测的研究方向。 2) 研究了网络入侵检测的信息采集机制和特征提取方法,并在此基础上将特征数据归纳为轴特征,建立了反映网络入侵方式特征的状态空间。 3) 应用了一种序列挖掘算法——Prefixspan算法。将此算法应用在了入侵数据的挖掘过程中,在已有的轴特征基础上,着手解决了对于具有频繁入侵特征的入侵方式的检测问题,并通过数据挖掘,可以得到新的入侵形式。最后,对所提出的算法进行了仿真实验,验证了算法的功能和有效性。 4) 建立了误用检测模型,以此模型为背景,对于入侵检测过程进行了详细介绍,并能实时的检测出入侵和显示入侵轨迹。
程暄[8]2007年在《基于日志分析的网络入侵检测系统研究》文中指出互联网的迅速发展使得分布式计算成为应用的主流。由于互联网具有开放性、互连性、共享性的特点,使其遭受网络入侵的风险日益严重。在过去的几年中,针对关键信息资源的威胁数量和类型都在急剧上升。如何应对这种形势,及时对网络攻击行为做出主动反应,成为网络安全领域近年来的研究热点。最近出现了一些新的入侵检测系统(如思科公司的Mars系统,eSecurity公司的SEM系统等),它们的特点是具有某些异常模式判断的能力,且对识别出来的威胁事件可以实现一定的主动响应,但是其缺点是系统封闭,价格昂贵,对第3方厂商的设备支持不足,尤其对国产网络设备的支持不够,应此在国内没有得到广泛应用。本文基于以上现状,设计并实现了一个基于日志分析的网络入侵检测系统,这个系统根据国际标准协议,建立了一个多种网络设备日志的收集系统,搜集网络中的关键网络设备的日志信息,充分利用这些日志信息所反映的网络行为特征,进行关联分析,从而定位网络攻击源,通过数据交换接口与防御系统中的主动响应模块实现数据共享。由于系统所搜集的海量日志数据中有大量的无效或冗余信息,如果不对它们进行预处理,将会淹没含有网络攻击行为特征的信息。我们利用数据挖掘里分类的方法去除大量的无效数据,然后运用数理统计的算法对这些信息进行挖掘,将不同网络设备产生的日志信息进行关联分析,利用聚类的方法来发现网络中常见的DoS攻击、计算机蠕虫病毒等威胁事件,同时利用模式匹配的方法来发现一些高危险性的黑客入侵事件;从而识别出在网络中对安全影响较大的网络攻击行为。对于不同网络设备日志产生的威胁报警,我们通过时间戳对它们进行关联分析,去掉同一安全事件的冗余信息,降低了误报率,并根据威胁事件对网络的不同危害程度,与主动防御系统中不同的响应模块实现了数据共享,提高了主动响应系统的效率和准确率。
张纹华[9]2010年在《嵌入式图像服务器的设计及安全性研究》文中指出随着嵌入式技术研究的逐步深入以及互联网技术与信息家电、工业控制等技术结合的日益紧密,以Internet为标志的嵌入式系统正处于个迅速发展的阶段。嵌入式网络视频服务器是一种以网络为依托,综合利用数字化图像处理、嵌入式计算机系统、数据传输网络、自动控制和人工智能等技术的新型数字图像监控系统,真正满足了当前对视频监控系统远程、实时和集中的需求。然而伴随着网络技术发展而出现的病毒、蠕虫、非法入侵、拒绝服务攻击等安全问题给人们造成了巨大的损失,系统本身的安全运作以及信息在网络中的存储、处理和传输都存在一定的危险性。因此,保证远程视频监控系统的安全性变得越来越重要。本文首先设计了一种轻型的、支持多点接入的嵌入式图像服务器(Remote-Eyes)来实现网络视频监控,详细介绍了其软硬件体系架构以及关键技术的实现,包括视频采集模块、视频发布模块和系统管理模块等。Remote-Eyes以Internet为依托,工作在XScale架构、Linux操作系统之上,集用户管理、实时视频采集、视频转发、截图并以多种途径传送实时图像等多种功能为一体,实现了实时监控、多点接入和远程控制。由于这种图像服务器的设计简单、成本较低,而且具有性能可靠、灵活性和扩展性强的特点,可用于多种不同场合满足人们工作和生活的需求,具有较好的应用前景。网络安全技术的发展和完善使得攻击手段由底层逐步向高层发展。其中,基于应用层的DDoS攻击利用了高层协议和服务的复杂性,更加有效且更具隐蔽性,对基于Web的服务造成严重的后果。新型网络的流突发性,给攻击提供了新的环境,单靠传统的分组特征、流特征、速率分析的方法无法有效地检测和预防应用层DDoS攻击。为了保证图像服务器及其他基于Web的应用在网络环境中的安全,本文在分析这种新网路环境下出现的应用层DDoS攻击手段和特点的基础上提供了一种将数据挖掘技术和入侵检测技术相结合的攻击识别和预防的方法。该方法将攻击信号看作一种异常的Web用户浏览行为,首先从合法用户的Web日志中提取出用户会话并计算不同会话间的相似度,运用一种改进的蚁群聚类算法(ATTA, Adaptive Time-dependent Transporter Ants)建立检测模型。然后根据合法用户和攻击用户在浏览行为模式上的差异,利用该模型对应用层分布式拒绝服务攻击进行检测。为了反映用户访问模式的变化,识别为正常用户的数据将会作为训练数据集在一定时间间隔后更新检测模型。之后本文利用模拟实验对检测模型进行了测试。结果表明,该方法具有较好的有效性和一定的适应性。
刘宇华[10]2012年在《资源耗尽型DoS攻击态势评估技术研究的设计与实现》文中研究说明随着网络技术的广泛应用,生产生活与网络技术的结合越来越紧密,DoS攻击成为威胁网络安全的一大顽疾;另外,随着网络中心战思想的提出,DoS攻击作为一种重要的网络致瘫武器活跃在信息战场上,因此研究和防御DoS攻击成为维护网络安全的一个重要课题。但目前的DoS攻击防御技术无法有效获取DoS攻击态势,难以形成统一有效的防御策略,对DoS攻击的总体遏制效果不好。针对这个问题,本文利用态势感知技术的数据融合能力对DoS攻击态势进行评估及可视化展示,有效提高网络管理决策者对当前网络DoS攻击态势的认知能力,为防御策略的统一制定和部署提供了有力支持。本文的主要工作如下:1)提出两种DoS攻击态势评估方法。在明确DoS攻击防御技术和网络态势感知技术的发展的相关概念、分类及发展现状的基础上,针对资源耗尽型DoS攻击趋向更大规模的新特点,以资源消耗程度与服务质量反映DoS攻击态势,分别提出一种基于资源消耗的态势评估方法和一种基于服务质量的态势评估方法。两种方法均采用层次模型,按底层到高层的顺序将评估指标数据层层融合,并对指标权值进行修正以确保态势结果的准确。两种方法各有优势,互为补充和验证,可灵活搭配以拓宽适用范围并降低部署难度。最后,经实验验证本文提出的两种态势评估方法均可行、有效且具备轻便高效的特点。2)研究DoS攻击态势可视化方法。方法充分考虑到DoS攻击态势的可视化需求,分别从宏观和微观层面提出态势可视化方法。在宏观层面设计基于地理信息系统(GIS)点值图的DoS攻击态势可视化方法,重新定义点值图的符号以展示多维数据,对DoS攻击的整体和局部强度、影响范围、态势变化过程等态势要素进行图形化展示;在微观层面设计基于平行坐标系统(Parallel Coordinates)的DoS攻击态势可视化方法,对网络中每一个元素受DoS攻击的影响变化等指标数值模式细节进行图形化展示,采用交互式K-Means算法对数据分类着色,使可视化效果更好。3)设计实现资源耗尽型DoS攻击态势感知原型系统。本文在第1、2点研究的基础上运用模块化思想设计实现了原型系统,利用实验室网络进行攻击实验,验证原型系统的有效性和可行性。通过以上工作,本文提出的基于资源消耗和基于服务质量的资源耗尽型DoS攻击态势评估方法为利用态势评估技术研究获取和展示DoS攻击态势作出了有益的尝试,研究结果具有较好的理论和实践价值。
参考文献:
[1]. 数据挖掘在DoS攻击检测和防护中的研究和应用[D]. 衷宜. 南京理工大学. 2002
[2]. 入侵防御系统关键技术的研究[D]. 车明明. 电子科技大学. 2013
[3]. 聚类分析在DoS攻击检测和防护中的研究和应用[J]. 郑继刚. 计算机与数字工程. 2013
[4]. 数据挖掘在网络入侵检测中的应用[D]. 谭雅莉. 广东工业大学. 2005
[5]. 抗Dos攻击模型研究[D]. 刘雅林. 重庆大学. 2004
[6]. 数据挖掘在入侵检测中的应用研究[D]. 王保平. 贵州大学. 2006
[7]. 基于轴特征的PrefixSpan算法在网络入侵检测机制中的应用研究[D]. 包云. 山东科技大学. 2006
[8]. 基于日志分析的网络入侵检测系统研究[D]. 程暄. 中南大学. 2007
[9]. 嵌入式图像服务器的设计及安全性研究[D]. 张纹华. 山东大学. 2010
[10]. 资源耗尽型DoS攻击态势评估技术研究的设计与实现[D]. 刘宇华. 解放军信息工程大学. 2012
标签:计算机软件及计算机应用论文; 数据挖掘论文; 入侵检测系统论文; dos论文; dos攻击论文; 入侵防御系统论文; 入侵检测技术论文; 数据挖掘算法论文; 网络攻击论文; 态势感知论文; 网络模型论文; 信息安全论文; 用户研究论文; 网络行为论文; 用户分析论文; 网络安全论文; 信息发展论文; 防火墙论文;