基于网络流技术实现Intranet蠕虫快速侦测

分析了蠕虫病毒的主要特征。介绍了两种主要的网络流技术NetFlow和sFlow的优缺点以及在蠕虫病毒侦测中的应用方式,设计实现了一套兼容两种技术的Intranet蠕虫病毒快速侦测系统,重点介绍了蠕虫病毒侦测系统的系统结构和主要关键技术。     

基于网络流技术实现Intranent蠕虫快速侦测

分析了蠕虫病毒的主要特征。介绍了两种主要的网络流技术NetFlow和sFlow的优缺点以及在蠕虫病毒侦测中的应用方式，设计实现了一套兼容两种技术的Intranet蠕虫病毒快速侦测系统，重点介绍了蠕虫病毒侦测系统的系统结构和主要关键技术。     

sFlow网络流量监测技术探析

sFlow技术特点是把数据采集代理嵌入到被监控网络设备的ASIC芯片中,从而达到采集数据时的线速性能。文章阐述了sFlow技术的原理、工作过程与其可提供的采集信息,讨论了其相对于传统流量测量技术的优越性。     

计算机蠕虫病毒检测和防御技术探讨

该文从蠕虫和病毒等相关概念出发分析了蠕虫病毒的行为特征和相关检测方法,并主要就netflow检测技术进行了详细的分析与探讨。     

谈谈蠕虫病毒的危害与防范

蠕虫是一种寄生在网络的恶性病毒,随着互联网的高速发展而壮大,威胁着网络的安全.本文首先分析蠕虫病毒的破坏力与目前的发展趋势,然后讨论了企业与个人二者在防范蠕虫病毒时应采取的措施。     

蠕虫病毒的特点、原理及应对方法

本文主要阐述了蠕虫病毒的概念,并把蠕虫病毒分为面向企业用户和个人用户两类,探讨了蠕虫病毒的基本原理、特点,以及蠕虫病毒与一般病毒在存在形式,复制方式,传染和触发机制,攻击目标,防范措施和影响等方面的区别,结合脚本语言和前段时间流行的熊猫烧香病毒讨论了蠕虫病毒的危害,最后关于如何防范蠕虫病毒,提出了建议,并根据蠕虫病毒破坏性,潜伏性,触发性,自我复制性的特点,基于脚本的蠕虫病毒提出了应对的方法。     

基于陷阱网络的病毒捕获系统研究与应用

在分析蠕虫病毒技术及Honeynet技术的基础上，借鉴Honeynet中诱捕黑客的思想，提出一种实现自动捕获蠕虫病毒并具有自动更新特征代码库的防御系统，最后给出了具体实现方案。     

计算机蠕虫病毒检测技术分析

互联网技术的飞速发展给人们工作和生活带来方便和高效的同时,各种病毒的出现给网络的正常运行带来极大危害,本文在列举了蠕虫病毒的特征和巨大危害基础上,详细讨论了蠕虫病毒的多种检测技术,并对其工作原理及特点做出了剖析。     

基于陷阱网络的病毒捕获系统研究与应用

在分析蠕虫病毒技术及Honeynet技术的基础上,借鉴Honeynet中诱捕黑客的思想,提出一种实现自动捕获蠕虫病毒并具有自动更新特征代码库的防御系统,最后给出了具体实现方案。     

蠕虫病毒的常规攻击手法分析

本文结合了最近发现的多种蠕虫病毒,分析了它们的潜入、传播和攻击方法.结果表明,大多数的蠕虫病毒的行为具有极大的相似性,它们或者使用垃圾邮件的方法进行传播,或者通过感染即时通信软件,或者利用未知的系统漏洞.了解这些常见的方法,为预防和清除蠕虫病毒提供了方便的途径.     

基于选择性监测的蠕虫预警技术

首先分析现有的三种蠕虫监测方法:(1)监听、搜集、分析网络中的ICMP-T3信息,由此来判断蠕虫是否在传播。(2)对网络中主机的TCP,或者UDP的连接活动进行监视,对网络中的“水平”扫描活动加以分析。(3)在每个主机上设立微型蠕虫防范系统,对被动和主动的连接数据报进行比较分析。这三种方法各有优点。但同时也存在不足之处,对蠕虫的预警有漏报和错报的可能。我们所设想的蠕虫预警系统是把这三种方法综合利用起来,发挥各自的优势,对各自的不足进行互补,形成更有效、更节约资源的蠕虫预警系统。     

分布式网络主动防御系统研究

针对DDOS和蠕虫的特点,提出了一种NeTraMet和QOS相结合的主动防御机制,实现对DDOS和蠕虫经济高效的防治.在蠕虫检测上考虑了无特征蠕虫和有特征蠕虫两种情况;一般基于流量的DDOS检测方法预警时,网络实际已经受到一定程度的攻击而且发生阻塞,为了能够更早预警DDOS攻击,提高网络生存性,在DDOS检测中提出了可疑流量线,当流量达到可疑流量和攻击流量之间时,就启动防御机制,利用路由器的QOS功能,尽量减少攻击流的消耗带宽,维持网络正常服务.最后在NS2中进行模拟验证.     

大规模蠕虫在线追踪培养皿

提出了一个用于反向追踪大规模网络蠕虫传播的虚拟实验环境，能够用于网络蠕虫检测和防御实验。实验环境使用虚拟机技术，虚拟大量主机和网络设备参加，尽量符合网络实际。在可控的范围内，使用真实的感染代码引发大规模蠕虫的爆发，观测蠕虫的传播过程。实验环境中可以发现蠕虫的传播特性，实时收集网络蠕虫的流量数据和感染过程。     

基于候选组合频繁模式的骨干网蠕虫检测研究

现有的网络蠕虫检测方法大多都是基于包的检测,针对骨干网IP流检测的研究较少,同时也不能很好地描述蠕虫的攻击模式。为此研究了一种在骨干网IP流数据环境下的蠕虫检测方法,通过流活跃度增长系数和目的地址增长系数定位可疑源主机,接着采用基于候选组合频繁模式的挖掘算法(CCFPM),将候选频繁端口模式在FP树路径中进行匹配来发现蠕虫及其攻击特性,实验证明该方法能快速地发现未知蠕虫及其端口扫描模式。     

Hot Potato Worm Routing via Store-and-Forward Packet Routing

The theory of worm routing (rather than packet routing) has recently attracted increased attention as an abstraction of the underlying communication mechanisms in many parallel machines. Routing the worms in the hot potato style is a desired form of communication in high-speed optical interconnection networks. In this work, we develop a simple method for the design of parallel hot potato worm routing algorithms. Our basic approach is to simulate known packet routing algorithms, so that in each step worms are moved around instead of packets. By plugging in known results for packet routing, we get the fastest (so far) deterministic batch worm routing algorithms. Although the results are given for permutation routing on the mesh and the hypercube, the general method can be applied to many other networks and to more general communication patterns as well. Moreover, once better routing algorithms are found for the underlying network, the worm routing algorithms improve as well.     

未知蠕虫自动检测技术研究

现有蠕虫检测系统的误报率较高。为此,提出未知蠕虫自动检测技术。利用多维蠕虫异常检测方法发现未知蠕虫,使用跳跃式多特征串提取方法得到未知蠕虫的特征串集合,并生成相应的特征检测规则,实现未知蠕虫的自动检测。实验结果证明,该技术能够成功发现新型蠕虫,具有较高的蠕虫检测率和较低的误报率。     

Protecting the sink location privacy in wireless sensor networks

Wireless sensor networks (WSNs) are widely deployed to collect data in military and civilian applications today. Due to the open nature of a WSN, it is relatively easy for an adversary to eavesdrop and trace packets in order to capture the receiver. Therefore, location privacy, particularly the location privacy of the sink node, requires ultimate protection because of its critical position in WSNs. In this paper, we propose a sink location privacy protection scheme by injecting fake packets, but every real packet is still routed along its shortest path. The fake packets are routed to some random destinations and some fake sinks in order to provide the path diversity. It is difficult for an attacker to distinguish the real packets from the fake packets. Thus, the chance of finding the real sink by packet-tracing attack is reduced. Privacy analysis shows that the sink location privacy can be protected better with higher successful probability. We examine the packet travel delay, safe time, and energy consumption by both mathematical analysis and simulations.     

通过流量和数据包综合估计内网感染蠕虫概率的研究*

提出了一种分析内网感染蠕虫可能性大小的方法。对通过内网交换机上的数据包使用蠕虫行为进行分析,得到行为异常的数据包数量,然后使用AR模型分析异常数据包的数量得到异常数据包的增长率;对内网异常流量和异常数据包增长率加权,并对它们综合估计得到内网中感染蠕虫概率的大小。实验表明该方法有效可行。     

Gathering-based routing protocol in mobile ad hoc networks

A gathering-based routing protocol (GRP) for mobile ad hoc networks is presented. The idea is to rapidly collect network information at a source node at an expense of a small amount of control overheads. The source node can equip promising routes on the basis of the collected information, thereby continuously transmitting data packets even if the current route is disconnected. It results in achieving fast (packet) transfer delay without unduly compromising on (control) overhead performance.     

基于IPv6的概率包标记路径溯源方案

针对现有IPv6路由追踪技术匮乏,以及IPv4路由追踪技术不能直接移植到IPv6网络环境中的问题,根据IPv6的自身特点,提出了一种基于概率包标记的IPv6攻击源追踪方案。该方案在原有IPv4概率包标记方法的基础上进行了有效的改进,重新规划标记区域,分别在IPv6的基本报头和扩展报头上划分合适的标识域和信息域,既解决标记空间不足的问题,又能规范标记信息的存放秩序;采用动态标记概率,区分对待未标记数据包和已标记数据包,解决标记信息覆盖问题,同时,优化标记算法,实现IPv6网络环境下路径追踪的快速、准确。理论分析与实验结果表明,该方案能有效追踪攻击源,且效果优于原IPv4追踪技术。