基于信息关联的P2P蠕虫检测方法

P2P蠕虫对P2P网络和Internet构成巨大安全威胁。该文根据P2P网络报文之间的关系,提出一种P2P蠕虫检测方法,通过建立过滤规则实现对P2P蠕虫的检测与抑制。模拟实验结果表明,该方法对P2P蠕虫传播的抑制效果与资源分布存在较大联系,其检测效果 良好。     

基于主动防御技术的工业安全诱捕系统研究

针对当前工控网络面临的安全形势和攻击行为,传统的蜜罐系统在工控网络中只能被动地监测内网系统,不能掌握整个工控网络中的木马、蠕虫、系统后门的情况,难以对高速传播的蠕虫进行早期预警。经过设计的基于主动防御技术的工业安全诱捕系统在设定检测规则之后,对工控网络内部可能隐藏蠕虫、木马以及系统后门的物理设备的端口进行扫描。若端口开放则尝试连接,连接成功后工业安全诱捕系统会发送探测包,探测包具有一些必要的特征。当工业安全诱捕系统接收到探测报文回应后进行分析,即可通过获取的option字段特征值、源IP等信息判断该端口是否存在木马、蠕虫及系统后门。     

基于被动响应的车联网混合良性蠕虫

针对车联网移动通信,为防治蠕虫,控制额外网络资源开销,将构建一种基于被动响应的新型车联网混合良性蠕虫。该良性蠕虫在接收到含有蠕虫的报文后,做出在转播该报文的过程中传播自己的被动响应,既能避免主动良性蠕虫发送探测报文带来的额外网络资源开销,又能较好地遏制蠕虫的传播。研究结果为设计实时防治策略对抗蠕虫的破坏性传播提供了理论基础和新的解决方案。     

基于P2P的Internet蠕虫预警系统研究

互联网具有开放性的特点,传统基于单机的病毒预防技术对Internet蠕虫的预警并不适用。本文的Internet蠕虫预警系统采用基于P2P的体系结构,在关键的网络节点运行蠕虫预警代理,代理之间协作分析,从而实现对Internet蠕虫的及时预警。     

网络蠕虫实验环境构建技术研究

网络蠕虫实验环境可以为蠕虫研究提供有效的实验分析支持.在系统分析解析模型、报文级模拟、网络仿真、混合方法等蠕虫仿真环境构建技术的基础上,提出了虚实结合的蠕虫仿真模型.该模型综合了报文级模拟和网络仿真技术的优点,具有良好的扩展性和逼真度,为构建灵活可扩展的蠕虫实验环境奠定了重要基础.     

基于SMS MODEM实现对自动站系统的监控和预警

文章主要介绍SMS MODEM短信发送方法以及通过VB编程来实现对自动站监控和预警。通过定时取得远程数据库中各自动站点报文上传信息,并将相关信息通过SMS MODEM及时发送到各站的管理人员手里,同时结合声音告警,从而实现对地区整个自动站系统报文上传和网络的监控和预警。     

分布式网络主动防御系统研究

针对DDOS和蠕虫的特点,提出了一种NeTraMet和QOS相结合的主动防御机制,实现对DDOS和蠕虫经济高效的防治.在蠕虫检测上考虑了无特征蠕虫和有特征蠕虫两种情况;一般基于流量的DDOS检测方法预警时,网络实际已经受到一定程度的攻击而且发生阻塞,为了能够更早预警DDOS攻击,提高网络生存性,在DDOS检测中提出了可疑流量线,当流量达到可疑流量和攻击流量之间时,就启动防御机制,利用路由器的QOS功能,尽量减少攻击流的消耗带宽,维持网络正常服务.最后在NS2中进行模拟验证.     

面向生产管控数据的电力设备状态预警策略

针对现有监控告警技术存在的监控信息量大、事故处置效率低、易漏判误判等不足,需引入面向生产管控数据的电力设备状态预警模块予以解决。设备状态预警策略需对全量监测所得相电压、相电流、负荷等数据及实时报文进行研判,并直观展现预警研判结果,帮助监控人员实时监测相关设备的健康状况。通过梳理500 k V变电站电力设备典型异常现象,研究电力设备状态预警策略,以期为提升监控处置效率提供一定的技术支撑。     

一种基于本地网络的蠕虫协同检测方法

目前已有一些全球化的网络蠕虫监测方法,但这些方法并不能很好地适用于局域网.为此,提出一种使用本地网协同检测蠕虫的方法CWDMLN(coordinated worm detection method based on local nets).CWDMLN注重分析扫描蠕虫在本地网的行为,针对不同的行为特性使用不同的处理方法,如蜜罐诱捕.通过协同这些方法给出预警信息,以揭示蠕虫在本地网络中的活动情况.预警信息的级别反映报警信息可信度的高低.实验结果表明,该方法可以准确、快速地检测出入侵本地网络的扫描蠕虫,其抽取出的蠕虫行为模式可以为协同防御提供未知蠕虫特征.通过规模扩展,能够实施全球网络的蠕虫监控.     

网电空间中基于蠕虫的攻防对抗技术研究

随着网电空间战略地位的提高,其对抗技术已成为研究的热点。针对网电空间对抗建模问题,以典型的网电空间蠕虫为研究对象,采用建立蠕虫攻击传播模型和蠕虫防御模型的方法,对基于蠕虫的网电空间攻防对抗建模技术进行研究。分析蠕虫扫描策略及目的不可达报文检测方法,建立基于选择性随机扫描策略的蠕虫传播模型。在该模型的基础上,提出基于蠕虫签名的防御方法及改进措施,并设计蠕虫综合对抗模型。仿真结果表明,与基于签名的防御方法相比,综合防御方法能更有效地抑制蠕虫传播。     

蠕虫预警及非线性传播模型优化

目前已有一些蠕虫检测系统利用蠕虫传播特性进行检测,误报率高,不能对大范围网络进行检测。为此,首先对蠕虫传播模型进行了分析和优化,提出了新蠕虫分布式传播模型。针对该模型提出了分布式蠕虫检测技术,亦即采用基于规则的检测方法监控网络蠕虫,控制台管理和协调多个检测端的工作。实验结果表明,该方法能够很好地预警蠕虫的传播行为并进行监控和报警,具有高检测率和低误报率。     

嵌入式网络地址监控系统研究与设计

对中小企业的网络管理现状进行分析,针对地址盗用问题,探讨了发生原因和防盗机理,提出了对应的解决方案。通过监听基于以太网技术的局域网上传送的数据帧,实时过滤并分析ARP 数据包,得到上网计算机的 IP-MAC 地址对照表,找出非法上网的用户,实现警告和上网限制。利用 SoPC 技术设计了一台体积小、使用灵活、低价、高效的嵌入式 IP 地址防盗监控仪,给出了软硬件设计方案,利用嵌入式系统调试通过,在实际网络环境中完成测试,性能稳定可靠。     

Research of internet worm warning system based on system identification

The frequent explosion of Internet worms has been one of the most serious problems in cyberspace security.In this paper, by analyzing the worm's propagation model, we propose a new worm warning system based on the method of system identification, and use recursive least squares algorithm to estimate the worm's infection rate. The simulation result shows the method we adopted is an efficient way to conduct Internet worm warning.     

用C4.5算法对局域网数据报进行行为分类

局域网传输的数据报中携带大量与数据包相关的信息,这些信息在一定意义上反映了数据报的行为。对数据报行为进行分类可为局域网上的网络入侵检测提供重要依据。文中提出使用C4.5决策树分类算法对局域网数据报进行行为分类,并与以往常用的几种分类算法进行了比较。实验表明,C4.5算法对于该问题无论在分类效率还是在分类正确性方面均有很大的优势。     

蠕虫预警技术研究与进展

当前网络蠕虫对Internet构成重要威胁,如何防范蠕虫已经成为网络安全的重要课题。由于蠕虫传播速度快、规模大,因此必须在蠕虫传播初期就能发现并对其采取相应措施进行隔离。全面分析了蠕虫预警方面的最新研究进展,包括路由器级的蠕虫检测、基于行为的蠕虫检测、蠕虫特征的自动提取,并对蠕虫的特点进行了总结,最后对未来蠕虫检测的可能方向进行了展望。     

网络数据包的协议分析算法设计与实现

为有效地监听网络状况和数据传输,截获网络传输的数据包,分析网络性能,排除网络故障,文中在以太网的基础上,通过对网络数据包的协议分析,设计并实现了一个网络数据包的协议分析算法(PLA算法)。PLA算法可以有效地对网络中传输的数据包进行协议分析,解决了如何判别在网络上传输的数据包是什么类型的数据包,每一个数据包都用到了哪些协议。通过PLA算法对数据包的分析,可以使得流量统计和流量收费更加精确。     

UDP地址欺骗剖析及其对策

目前UDP协议在Internet上被广泛应用，但是UDP数据包易于伪造，其本身存在重大的安全隐患。对伪造数据报头中的源地址和端口的UDP地址欺骗的入侵行为进行了分析并提出了一种通过添加IP记录路由选项的方法来防止UDP地址欺骗，研究结果表明，这种方法可以一定程度上防止UDP地址欺骗的入侵行为。     

Design of a multi_agent system for worm spreading_reduction

With the explosive growth of Internet applications, the threats of network worms against computer systems and network security are seriously increasing. Many recent researches concentrate on providing a propagation model and early warning. In fact, the defense against worms in a realistic environment is an open problem. In this work, we present WSRMAS (worm spreading_reduction multi_agent system) as a system that includes a worm defense mechanism to considerably reduce the rate at which hosts are infected. As WSRMAS needs a suitable infra-structure, its architecture was elaborated and an agent platform was designed and implemented to support WSRMAS functions. The proposed system was provided once with a centralized plan and second with a decentralized (distributed) plan. In both cases the system performance was evaluated. Also different communication capabilities using Knowledge Query Manipulation Language (KQML) were exploited to improve WSRMAS performance. The ratio between worm and anti-worm spreading was studied to investigate its influence on the defense efficiency. Taking into account that some machines may not deploy WSRMAS, consequently, the effectiveness of WSRMAS under different operational conditions has been studied.     

双层IPSec与防火墙协同工作的一个设计方案*

IPSec是为Internet通信提供安全服务的一组标准协议,它封装了传输层中的一些重要信息,而防火墙则需要访问报文中的信息进行控制处理。针对如何能够让IPSec和防火墙协同工作提出一种双层IPSec处理思想：将IP报文分为协议头和数据两部分,使用复合安全关联(Composite SA)对其进行安全处理,使IPSec和防火墙可以各取所需,从而给出上述问题的一个解决方案。该方案的优点在于安全主机与防火墙之间复合安全关联的协商灵活多变,与传统IPSec相比协议格式变化不大,传输效率较高。     

Research of internet worm warning system based on system identification

In this paper, by analyzing the worm’s propagation model, we propose a new worm warning system based on the method of system identification, and use recursive least squares algorithm to estimate the worm’s infection rate. The simulation result shows the method we adopted is an efficient way to conduct Internet worm warning.