基于Windows NT主机入侵检测系统的网络连接和注册表监控

主机入侵检测系统可以实时监测主机的各种状态，辨别可能发生的入侵行为或非法操作，在入侵行为发生的时候自动阻断非法操作，保护主机系统不受入侵，主要介绍其中的网络连接监控和注册表监控这两个模块。     

基于Windows NT主机入侵检测系统的性能和安全日志事件监控

主机入侵检测系统可以实时监测主机的各种状态,辨别可能发生的入侵行为或非法操作,在入侵行为发生的时候自动阻断非法操作,保护主机系统不受入侵,本文主要介绍其中的性能监控和安全日志事件监控这两个模块。     

联动防火墙的主机入侵检测系统的研究

联动防火墙的主机入侵检测系统可以实时监测主机的各种状态,辨别可能发生的入侵行为或非法操作,在入侵行为发生时联动防火墙进行自动阻断和报警,实时保护主机系统信息安全.这里主要介绍其中的端口扫描和木马检测两个模块.     

联动防火墙的主机入侵检测系统的研究

联动防火墙的主机入侵检测系统可以实时监测主机的各种状态,辨别可能发生的入侵行为或非法操作,在入侵行为发生时联动防火墙进行自动阻断和报警,实时保护主机系统信息安全。这里主要介绍其中的端口扫描和木马检测两个模块。     

基于Windows系统主机的入侵防御系统设计

随着计算机技术的不断发展,针对主机的入侵和攻击不断增多,入侵手法也不断变化.包括木马,rootkit等恶意软件对计算机用户的个人信息安全造成极大损害.通过对入侵的一般模式进行分析,设计并实现了基于Windows系统主机的入侵防御系统,以行为监控为基础,对主机进行监控,并中止异常行为的运行,及时保护系统.防御系统结合多种监控手段实现,分别从应用层和内核对主机进行保护,对已知和未知攻击都具有较好的防御能力.     

IDS解决方案

金诺网安入侵检测系统KIDS是由网络探测器(NIDS)、主机探测器(HIDS)和管理控制台组成的分布式系统。网络探测器从网络数据包中发现入侵的痕迹,主机探测器对主机系统的系统活动事件、日志信息进行分析,发现可疑行为。管理控制台对所有的探测器进行统一的集中式管理和监控。系统管理员可以通过一台管理控制台实施对全网的安全监控和管理。     

深入剖析安氏RealSecure实时入侵监控器

实时入侵监控器 RealSecure是一个计算机网络和主机上的强大的、自动的、实时入侵保护系统。 RealSecure?将基于网络的、基于主机的和基于协议堆栈的入侵检测技术、分布式技术和可生存技术完美地结合起来,提供实时的安全监控。 RealSecure?监控网络传输和系统事件,并自动检测和响应可疑的行为,使用户在系统受到危害之前截取并阻止非法入侵和内部网络误用,从而最大程度地降低安全风险,保护企业网络的系统安全。 　　实时入侵监控器 RealSecure的组成部件： 　　检测监控部件 　　NetworkSensor　　ServerSensor　　OSSensor　　管…     

Windows下基于主机的安全日志服务器

越来越多的计算机犯罪需要进行电子取证,安全日志服务器在针对电子犯罪的监控、审计以及取证活动中发挥了重要作用。主机日志在电子取证以及入侵检测中有着不可替代的作用,通过深入分析主机日志可以发现系统的异常行为并记录下来作为日后的电子证据或进行实时的入侵检测分析。该文简要介绍了安全日志服务器系统的发展背景,分析了主机日志的构成,主机日志在计算机安全领域中的应用,详述了对主机日志信息的处理并给出了基于主机日志的安全系统的结构搭建。     

ISS RealSecure 7.0使用手记

ISS RealSecure 7.0是实时监控,监控物理网络的入侵检测软件。RealSecure分为网络引擎、系统代理和控制台三个部分。网络引擎必须分别装在各个物理网段上,实时监听流动在网络上的数据包,解析IP包建立连接的源、目的地址,源端口、目的端口,协议类型(TCP、UDP、ICMP之一),并能识别具有黑客攻击的IP包。系统代理安装在受保护主机上,实时监控主机内的用户活动,监视可能造成访问控制攻击的可疑行为。如果网络引擎或系统代理发现入侵行为时,将采取警告、记录回放、记录到后台数据库、     

基于有限自动机的网络攻击诱骗系统研究

入侵检测系统对未知入侵模式的攻击不能有效识别,新型的攻击威胁着服务主机的安全,网络攻击诱骗技术则能够有效弥补这一不足.提出一种集成主机系统和Honey-pot的网络攻击诱骗系统Honey-pot吸收攻击包,记录攻击过程,发现主机的安全漏洞,并向主机发送报警通知.利用有限自动机形式化地定义了网络攻击诱骗系统.该自动机模拟了网络安全攻击系统的工作过程,为安全攻击系统的行为描述和结构设计提供了理论依据和论证.     

基于存储的动态入侵检测机制研究

当入侵者侵入服务器或者终端的操作系统,此时主机的操作系统将不再受信任.网络存储系统应当识别出这种入侵.基于存储的入侵检测系统SIDS(Storage-based intrusion detection systems)能在存储层观察到此类入侵行为.本文提出一种新的基于存储的人工免疫入侵检测方案.该方案克服了以往一些SIDS原型完全依赖规则的缺点,利用了人工免疫的自我免疫特性,来动态监控用户的访问行为.根据收敛速度和检测效率,拟合出本方案的最优参数.最后的仿真结果表明:与同类优秀原型相比,本方案能达到较高的检测率和较低的误警率.     

主机日志分析及其在入侵检测中的应用

主机日志在入侵检测中有着不可替代的作用,通过深入分析主机日志可以发现系统的异常行为。该文分析了主机日志的构成,主机日志在计算机安全领域中的应用,并给出了常用的主机日志和基于主机日志的入侵检测系统。主机日志的分析方法有很多,文章对这些方法进行了分类并对它们进行了详细的讨论。最后,给出了一种基于主机日志分析的入侵检测通用模型。     

网络综合监控技术

网络综合监控系统是将入侵检测技术,旁路式网络审计相结合的一套综合系统,在不影响网络性能的前提下实现对网络主机的全面监测。提供多种报警手段,对违规事件进行实时报警和阻断,有效防止内部信息泄露与被窃行为。     

主机入侵防护系统的设计与实现

设计和实现一个运行于Windows系统的主机入侵防护系统,系统通过截获和控制操作系统调用,可以在恶意行为发生之前发现和阻止它们,进而可以消除潜在的安全威胁。系统采用分析应用程序行为的方法,在无需规则时时升级的情况下,能够防范新的和未知的攻击,是保护主机系统的一个可行方案。     

入侵检测技术的初步探究

入侵检测系统是现代网络安全的重要组成部分。入侵检测就是通过监视特定的计算机或网络,在检测可能的攻击,主要有两类入侵检测系统：基于主机的和基于网络的。前者监视整修网络或部分网段,后者监视特定的计算机。如将两类系统相结合,实时监控网络传输和系统事件,并对可疑的行为进行自动的安全响应,将最大程度地降低安全风险,保护网络的系统安全。     

基于系统调用的主机安全分析

入侵检测是一种积极主动的网络系统安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。系统调用是用户程序和操作系统之间交互的接口,基于系统调用的入侵检测,就是针对主机的系统调用数据进行监控和分析的技术。基于系统调用序列的主机入侵检测技术具有准确率高、误报率低和稳定性好的特性,是开发入侵检测系统的一个很好的选择。主要从异常检测出发,利用两种不同分析方法,分别对基于系统调用序列的主机入侵检测进行较为深入的研究,并分析和验证了两种方法各自的优点和不足。     

一种基于Agent技术的入侵检测系统模型

本文首先指出了将Agent技术应用于入侵检测系统的优势,依据入侵检测系统的特点给出了主机的状态转换图,并提出了一个入侵检测模型,该模型的主机中有数据异常检测Agent、特征提取Agent、数据一致性检测Agent、完整性检测Agent以及日志处理,Agent通过学习机制建立行为库,对行为库里的信息进行推理获得入侵规则信息并将其加入到入侵规则库.最后用Aglet技术对该模型进行了仿真和实现,得出基于Agent的入侵检测技术具有较高的检测率及较低的误报率。     

蓝代斯克交付主机入侵预防系统

近日,蓝代斯克软件公司正式向国内市场交付LANDesk主机入侵预防系统,这是一个基于行为的安全监控、警报和纠正解决方案。与传统的反病毒软件相比,基于主机的入侵预防系统(HIPS)更胜一筹,不仅可以根据系统行为来保护计算机,还能够防范越来越多的零日威胁、rootkit和其他恶意软件。     

利用主机软件信息消除NIDS虚警

由于缺乏对网络主机上下文的了解,多数基于特征的NIDS(网络入侵检测系统)产生的虚警数量太多,使得管理员无法尽快将注意力集中到真正有威胁的报警上.通过改进已有的MDS使其能够有效利用网络主机上的软件信息消除MDS虚警的有效方法,改进后的MDS根据已知的受监控网段内的主机软件信息,在与入侵规则做匹配之前进行预先判断,过滤掉不需要匹配的入侵规则,从而减少很多没有实际意义的报警记录.改进后的NIDS原型系统在企业内部网实施的实测结果显示,该方法确实可以达到减少虚警数量提高报警质量的目的.     

浅析入侵检测系统(IDS)的原理与现状

入侵检测系统(IDS:Intrusion Detection System)是一个动态的防御系统,可以识别防火墙不能识别的攻击.入侵检测是指对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程.它不仅可以检测来自外部的入侵行为,同时也可以监控内部用户的非授权行为.