IDS测试中复合攻击测试数据的生成

从近几年的趋势来看,蠕虫以及DDOS等复合攻击将成为今后网络入侵的主要表现形式.入侵检测系统对复合攻击的检测能力逐渐成为入侵检测系统(IDS)能力测试中的一个重要方面.当前的测试方法主要采用搜集实际的攻击工具来进行攻击测试数据的生成.该方法受实际攻击形式的限制,所生成的数据集无法完成对IDS复合攻击检测能力的完备测试,并且不支持攻击的形式化描述与自动生成,使得测试数据集的生成效率很低.为此提出采用人工构造的完备入侵场景库来生成攻击流量,并在攻击流量中混合入噪声流量增加测试的准确性和公平性.基于这些改进,设计了一种针对滥用入侵检测系统评估的复合攻击测试数据生成系统,并应用在实际的IDS评估系统中.     

可扩展高速网络流量被动测量平台的设计与实现

随着高速网络测量研究内容的扩展，网络测量设施在提高性能的同时须支持测量的可扩展性以适应不同网络环境和添加新测量研究的需要。针对已有网络测量软件可扩展性的不足，分析了高速多链路逻辑信道的特点及对被动测量方式的影响，设计和实现了一套适用于高速网络环境的可扩展被动流量测量平台系统。该系统基于多机协同数据流模型，采用分层耦合设计结构、对象化抽象和XML格式的交互描述，支持对高速多链路逻辑信道测量与新测量功能的可扩展性。     

基于DNS流量的多层多域名检测与测量

为了研究DNS流量中的域名角色,为域名影响力分析提供一种域名定位和筛选的思路,设计一种基于DNS流量的多层多域名检测算法. 在检测阶段,从CERNET主干网边界采集DNS流量,提取请求和应答序列. 基于多层多域名的聚合特征及解析的并发性,检测流量中存在的主从域名集合,并引入时间滑动窗口机制进行置信度测量. 在测量阶段,对算法检测结果从多个角度进行分析,包括多层多域名集合的规模和相交情况、主从域名的标签级数、集合中从域名对应的资源类型等,并提供了2个存在多层多域名的典型网站案例. 测量结果验证了多层多域名现象的存在以及多层多域名集合的特点,表明了此多层多域名检测算法的有效性.     

适用于GIDS报文分类的P-HiCuts算法

针对HiCuts算法在NIDS应用上存在着空间异常膨胀和决策树不平衡性的问题,提出了一种P-Hi-Cuts算法.P-HiCuts(Pruned HiCuts)对原报文空间分组算法进行改进,采用覆盖规则上提和非均匀切分的技术解决原有问题,从理论上减小了决策树深度.实验结果显示,改进后决策树深度空间占用缩小到原来的10%,分类速度也提升了13.71%.     

大规模网络中IP流长分布统计模型

对具有不同特征的大规模高速网络的TRACE进行分析,发现不同IP流的流长分布特征。在此基础上,提出大规模网络状况下IP流长分布经验模型,该模型在表达大规模网络IP流长分布上,其精度高于原有Pareto模型,复杂度低于原有双Pareto模型。对相关模型与实际TRACE流长分布的拟合程度进行了检验,并对模型的相关参数取值范围及该经验模型与现有模型存在的异同做了讨论,进而分析导致异同的原因,并指出IP流长分布的发展趋势。     

构建基于IPv6下的高性能FTP系统

Ipv6作为下一代IP网络发展标准它取代Ipv4已经成为必然趋势,随着Ipv4向IPv6的平滑过渡,现有的各种应用程序势必最终要能适应下一代网络,构建基于IPv6下的应用程序就有着现实的意义．介绍了Ipv4下的文件传输软件bbftp的性能、IPv6套接口的结构,分析了IPv6套接口与IPv4套接口的主要区别,阐明了把应用程序从IPv4移植到Ipv6存在的问题、实现思路及需要采取的方法．根据实际需求,并结合IPv6 socket编程,通过对bbftp的改造实现了一个基于IPv6的高性能的FTP系统,经过对移植后的系统测试数据分析表明系统稳定可靠,达到了预期的目的．     

基于最大属性熵的GIDS报文分类算法

网络带宽的激增对网络入侵检测系统（NIDS）的检测速度提出越来越高的要求。分类算法作为一种有效降低数据包待匹配规则集的方法,其效率对后继检测算法影响重大。研究了适用于GIDS的经典分类算法Hicuts和针对它的修改升级算法Picuts,针对Picuts没有考虑报文域的特征对于分类树的影响的缺点提出了基于最大属性熵的分类树本地优化策略和新的分类树生成算法MaxFeatureEntropy。最大属性熵策略从理论上保证减小决策树高度。采用开源的snort1.8.7的规则集作为实验数据,结果表明：当每结点包含规则数阀值等于6时,其空间消耗只有Hicuts的10%,是Picuts的60%,速度上较之Hicuts提升了44.4%,较之Picuts提升了20%。     

垃圾邮件的综合过滤方法

本文研完了几种常用的垃圾邮件过滤算法,分析了它们在中文邮件环境中存在的问题。本文根据各算法的优缺点,将它们进行改进、叠加和相互结合,并通过查看发出的邮件内容进行辅助学习,从而建立一个垃圾邮件的综合过滤方法。文章最后对该综合方法的效率做了分析和比较。     

基于警报序列聚类的多步攻击模式发现研究

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。     

一种计算机网络资源的命名与寻址机制

本文提出一种基于“客户—服务器”模式的网络资源命名与寻址机制，并且相应给出“名字”与“地址”进行相互转换的协议。在简单叙述普通资源“按名”、“按址”访问方法以及网络资源“多复本”、“多格式”、“多版本”特点的基础上，分别具体讨论网络资源命名与寻址的机制以及相互转换的协议。这种命名寻址机制和转换协议具有独立于特定资源服务协议、为分布信息系统提供透明服务的特点。最后，结合一个实例简要说明这种机制与协议的实现过程