一种高效的系统扫描检测方法

系统扫描检测是网络入侵检测与预警系统的重要组成部分。传统基于统计的系统扫描方法具有阈值、时间窗口难以设定,而且难以检测隐蔽扫描等不足。该文提出一种基于TCP包头异常检测的系统扫描检测方法THAD。通过学习到达被保护主机的TCP包的端口(Port)和标记(Flag)的分布特征,THAD可计算出每个到达TCP包的异常值,并结合TCP协议本身的特征对检测方法进行优化。测试表明,THAD可以有效地检测包括慢扫描和隐蔽扫描等多种系统扫描行为,与已有多种检测方法相比,THAD显著提高了检测的准确性,并提高了检测的效率和实时性。     

基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

基于网络数据流协议特性的统计入侵检测

根据网络数据流的协议特性，提取IP分片标志及TCP协议首部的TCP连接标志，构造了一种基于统计技术的入侵检测模型，并实现了特征识别检测与异常检测。实验结果表明，模型的检测效果较好。     

一种改进的端口扫描器的设计与实现

端口扫描是网络入侵过程中非常重要的一种攻击预探测手段;对端口扫描进行检测,发现可能出现的攻击行为,可以有效地配合入侵检测系统完成预警、拦截和取证等工作.在简要介绍了端口扫描技术的原理及其检测技术的基础上,设计了一个将几种端口扫描技术综合在一起的且改进的端口扫描器,该端口扫描器包括了TCP扫描和UDP扫描,而TCP扫描再细分成3类;TCP connect扫描和TCP SYN扫描、TCP FIN扫描.经过测试,该扫描器能在不同类型的网络中正常运行,且综合了多种扫描技术的优点.     

基于Bloom Filter的大规模异常TCP连接参数再现方法

提出由TCP连接的唯一性导出的TCP数量平衡性测度及其经验范围可用于检测TCP连接的大规模异常,如DDoS、扫描等.使用带哈希增强算法的Bloom Filter Reproduction(BFR)方法对TCP连接大规模异常的参数进行快速再现,如IP地址、端口的分布等,使得在检测过程中无须维护TCP五元组的信息.实验结果表明,该方法能够以较少的资源占用和较高的准确性来揭示网络流量中混杂的多种异常现象.     

基于主成分分析和蚁群优化方法对IP流进行网络异常检测

由于网络规模和复杂性不断增加,信息技术服务不能停止,所以现在这种需求如何主动的网络管理是非常显着的,并且有必要使用主动识别可能损害网络正常操作的路径选择模式的方法。针对自动化管理发现和预防潜在问题,提出并比较了基于统计过程主成分分析和蚁群优化元启发式的两种新型异常检测算法。执行IP数据流的主成分分析,代表每秒传输的比特、分组和流量,以及提取描述性流属性,如源IP地址,目的IP地址,源TCP / UDP端口和目的TCP / UDP端口,通过使用动态时间扭曲度量的修改来将该签名与实际网络流量进行比较,以识别异常事件。     

基于差异分析的隐蔽恶意代码检测

隐蔽性恶意程序Rootkit通过篡改系统内核代码与指令,导致操作系统返回虚假的关键系统信息,从而逃避管理员和主机型安全工具的检查.通过分析Rootkit技术的实现原理,包括进程、TCP端口、注册表和文件的隐藏技术,提出了基于差异分析的隐藏行为检测技术.该技术将可信任的系统信息与不可信任的系统信息进行比较,从而获得被隐藏的信息.最终实现了相应的原型系统.与特征码扫描法相比,该检测方法检测在未知和变形Rootkit方面具有明显优势.     

基于统计方法的骨干网异常流量建模与预警方法研究

近几年来，Internet上频繁发生的蠕虫爆发和大规模分布式拒绝服务事件使网络服务的安全性面临严重的威胁。本文介绍了一个基于异常流量检测的Internet骨干网流量早期预警系统ESTAB（Early-warning System of Traffic Anomaly Based）。它基于Internet骨干网异常流量发现原理，通过对端口、长度分布、TCP标志等直接变量（Direct Variable）的监测，并结合统计学中的时间序列分析方法，实时分析发现流量异常，并提出告警。文中提出了多种事件联合监测的概念，从流量监测角度有效地对付已知流量威胁（如已知蠕虫），并对未知流量威胁提供了相应的监测策略。     

网络扫描技术与安全防御策略研究

介绍目前常用的网络扫描技术的原理与分类,并给出一个TCP SYN扫描的程序实现,它能通过不完整的三次握手扫描远程主机的端口开放情况,最后还从安全防御的角度,提出了检测非法扫描的安全防御策略新技术.     

基于Python的端口扫描技术研究

本文研究了计算机端口扫描技术,介绍了常用端口扫描技术的原理,并利用Python的socket模块实现远程计算机TCP端口的全连接扫描,通过扫描发现处于开放状态的高危端口,提醒网络运维人员合理的关闭高危端口可提高计算机的安全性。     

Data preprocessing for anomaly based network intrusion detection: A review

Data preprocessing is widely recognized as an important stage in anomaly detection. This paper reviews the data preprocessing techniques used by anomaly-based network intrusion detection systems (NIDS), concentrating on which aspects of the network traffic are analyzed, and what feature construction and selection methods have been used. Motivation for the paper comes from the large impact data preprocessing has on the accuracy and capability of anomaly-based NIDS. The review finds that many NIDS limit their view of network traffic to the TCP/IP packet headers. Time-based statistics can be derived from these headers to detect network scans, network worm behavior, and denial of service attacks. A number of other NIDS perform deeper inspection of request packets to detect attacks against network services and network applications. More recent approaches analyze full service responses to detect attacks targeting clients. The review covers a wide range of NIDS, highlighting which classes of attack are detectable by each of these approaches.Data preprocessing is found to predominantly rely on expert domain knowledge for identifying the most relevant parts of network traffic and for constructing the initial candidate set of traffic features. On the other hand, automated methods have been widely used for feature extraction to reduce data dimensionality, and feature selection to find the most relevant subset of features from this candidate set. The review shows a trend toward deeper packet inspection to construct more relevant features through targeted content parsing. These context sensitive features are required to detect current attacks.     

Use of competition detection in TCP for simple topology networks

The fairness (or TCP-friendliness) of recent high-speed TCP proposals for high bandwidth-delay product networks is generally poor. We believe that the lack of TCP-friendliness of high-speed TCP proposals stems from their ineffectiveness in detecting competing TCP flows. We suggest a competition detection mechanism for a single TCP flow to detect the presence of competing TCP flows. We propose a new TCP, called Adaptive TCP (A-TCP) to demonstrate the usefulness of the competition detection mechanism. A-TCP uses the competition detection mechanism to control its aggressiveness: If it does not detect competing flows, a single A-TCP flow increases its sending rate aggressively in order to highly utilize the network. Otherwise, it behaves like a standard TCP flow to fairly share network resources with competing flows. We implemented A-TCP as part of Linux as well as in ns-2. Experimental results show that A-TCP achieves better fairness than existing high-speed TCP proposals when they compete against standard TCP in simple topology networks.     

检测使用Web反射器的攻击

攻击者在大规模DDoS网络攻击中使用反射器向受害者发送洪水包,Web服务器被攻击者利用为TCP反射器不仅加剧了网络攻击的程度,也消耗了正常Web服务资源。分析了Web反射器所在网络的入出口流量特点,以及攻击者利用Web反射器发起攻击时的数据包特性,利用流入和流出反射器网络TCP数据包的特性,通过对网络流量的异常统计检测和实时在线分析来检测Web反射器。模拟实验表明,可以检测出利用Web服务器进行的大规模DRDoS攻击。     

一种新的分布式端口扫描检测方法

文章介绍了各种扫描技术,总结了已有的检测方法。在此基础上,文章提出了一种新的分布式的端口扫描检测方法。检测的传感器部分实现对异常包的检测,分析器部分通过将异常包分成不同的类,计算一个类的异常值的总和,然后判断出扫描。这种方法不仅可以检测出现有的各种扫描工具能够检测出的扫描,也能检测出它们不能检测出的扫描,例如分布式扫描,慢速扫描等等。     

一种基于协议分析的入侵检测模型的设计

本文在对TCP/IP协议以及各种网络入侵攻击进行深入分析研究的基础上,设计了一种基于协议分析的同时使用异常检测和误用检测技术的网络入侵检测模型,并给出了实现思想,其中重点介绍了利用协议分析思想对TCP数据包进行入侵检测的具体算法思想和数据结构。基于协议分析将异常检测和误用检测方法有效结合不仅可以检测到大多数已知的攻击类型,而且可以发现大量未知的攻击类型,提高检测的准确性和效率。     

分布式网络异常攻击检测模型仿真分析

针对传统的异常攻击检测方法主要以异常攻击行为规则与网络数据隶属度大小进行判别,只能针对已知异常攻击进行检测,对新型异常攻击,检测算法率低,计算数据量大的问题。提出一种新的分布式网络异常攻击检测方式,通过对分布式网络内数据进行迭代聚类将正常和异常数据进行分类,建立矩阵映射模型进行数据矩阵对比,初步对异常攻击数据进行判断。在矩阵中建立粒子密度函数,通过粒子密度变化计算其异常攻击概率,最后对其数据进行加权和波滤确定数据异常攻击特征,建立攻击检测模型。仿真实验表明,优化的分布式网络异常攻击检测模型提高了异常数据攻击检测的自适应性,在网络信号受到攻击信号干扰情况下,仍然能够准确检测出带有攻击特征的小网络异常数据。有效提高了分布式网络的检测正确率,加快了检测速度和稳定性。     

基于Snort的Modbus TCP工控协议异常数据检测规则设计

工业控制网络通信协议的脆弱性是导致工控网络遭受攻击的主要因素。Modbus TCP是工控网络的典型通信协议。在对Modbus TCP协议进行脆弱性分析的基础上,结合Snort检测机制对典型的异常行为进行归类,提出了一种用于Snort的Modbus TCP协议异常数据流检测模板。Modbus TCP的分析和规则模板的设计方法也可推广至其他基于工业控制协议的网络,具有一定的普适性。     

A hybrid intrusion detection system design for computer network security

Intrusions detection systems (IDSs) are systems that try to detect attacks as they occur or after the attacks took place. IDSs collect network traffic information from some point on the network or computer system and then use this information to secure the network. Intrusion detection systems can be misuse-detection or anomaly detection based. Misuse-detection based IDSs can only detect known attacks whereas anomaly detection based IDSs can also detect new attacks by using heuristic methods. In this paper we propose a hybrid IDS by combining the two approaches in one system. The hybrid IDS is obtained by combining packet header anomaly detection (PHAD) and network traffic anomaly detection (NETAD) which are anomaly-based IDSs with the misuse-based IDS Snort which is an open-source project.The hybrid IDS obtained is evaluated using the MIT Lincoln Laboratories network traffic data (IDEVAL) as a testbed. Evaluation compares the number of attacks detected by misuse-based IDS on its own, with the hybrid IDS obtained combining anomaly-based and misuse-based IDSs and shows that the hybrid IDS is a more powerful system.     

基于迁移学习和D-S理论的网络异常检测

对于分布不同或分布相似的未知类型的网络攻击,目前的异常检测技术往往不能达到预期的效果。针对上述问题,研究了一种基于迁移技术和D-S证据理论的网络异常检测方法,首先用迁移学习方法对已知网络攻击进行建模,此模型在构建时考虑了不同分布的异常攻击间的差异,而后用其训练得到的分类器对未知的网络行为进行分析,结合D-S证据理论,可以检测出分布不一致的未知攻击类型。实验结果表明,所提方法泛化了传统的网络异常检测技术,对未知的网络异常有着较高的检测率。