江苏省高技术研究计划项目(BG2004030)
- 作品数:26 被引量:224H指数:10
- 相关作者:黄皓严芬殷新春王佳佳俞研更多>>
- 相关机构:南京大学扬州大学中国矿业大学更多>>
- 发文基金:江苏省高技术研究计划项目国家高技术研究发展计划国家自然科学基金更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于数据流的异常入侵检测被引量:14
- 2007年
- 目前,基于机器学习的异常入侵检测算法通常建立在对整个历史数据集进行等同的学习基础之上,学习到的网络行为轮廓过于依赖历史数据,难以准确反映当前网络通信量的行为特征。同时,算法的时间和空间复杂度较高,难以对网络中持续快速到达的大规模数据报文进行存储与维护。本文提出,一种基于数据流聚类的两阶段异常入侵检测方法,首先在线生成网络数据的统计信息,并利用最能反映当前网络行为的统计信息检测入侵行为。实验结果表明,其检测性能优于基于所有历史数据进行入侵检测的结果,并克服了内存等系统资源不足的问题,增加了系统的灵活性与并行性。
- 俞研郭山清黄皓
- 关键词:入侵检测数据流处理聚类分析
- 一种新型的安全信任协商策略算法被引量:5
- 2007年
- 介绍了信任协商机制的一般流程,给出了逐步信任协商和规则图的概念,提出了一种新型的安全信任协商策略算法,并分析了该算法的安全性。
- 金仑彭召阳谢俊元
- 关键词:信任协商
- Windows下系统服务Rootkits的检测与恢复被引量:11
- 2008年
- Rootkits是入侵者隐藏踪迹和保留访问权限的工具集。修改操作系统内核的Rootkit称之为内核Rootkit,使操作系统本身变得不可信任,造成极大的安全隐患。针对系统服务的Rootkits是内核中最常见的Rootkits。分析了当前Windows下系统服务各种Rootkits,提出了一种利用驱动程序,无需符号文件的检测和修复方法,能准确检测出Windows下各种系统服务Rootkits并且进行恢复。
- 龙海郝东白黄皓
- 关键词:后门内核钩子重定位
- 基于Hook的程序异常行为检测系统设计与实现被引量:11
- 2007年
- 从程序访问的资源入手,从中重点选取了注册表、文件以及创建其它进程这些资源的操作为主要监控点,实时检测进程操作资源的行为,并进行关联分析,给出了一种基于系统服务Hook的程序异常行为检测系统。重点介绍了Hook相关技术和该系统的设计结构与实现要点。最后,通过实验验证了该系统的可行性和有效性。
- 郝东白郭林黄皓
- 关键词:钩子
- 一种轻量级的SYN Flooding攻击检测方法被引量:7
- 2008年
- 提出了一种轻量级的源端DDoS攻击检测的有效方法。本方法基于Bloom Filter技术对数据包信息进行提取,然后使用变化点计算方法进行异常检测,不仅能够检测出SYN Flooding攻击的存在,而且能够避免因为正常拥塞引起的误报。重放DARPA数据实验表明,算法的检测结果与类似方法相比更精确,使用的计算资源很少。
- 严芬王佳佳陈轶群殷新春黄皓
- 关键词:DDOSBLOOMFILTERSYN
- 基于欺骗的网络主动防御技术研究被引量:7
- 2006年
- 在蜜罐中综合运用各种欺骗技术能达到主动保护网络的目的。准确定义了在网络防御中欺骗的概念,分析了各种欺骗的目的和用途,以及分类和发展过程,并详细阐明了运用在蜜罐上的各种欺骗技术原理,包括指纹信息模拟、随机服务器、重定向、牢笼和虚拟命令等。最后讨论了如何根据不同的欺骗目的综合选择合适的欺骗技术进行欺骗部署。
- 吴馨黄皓
- 关键词:欺骗主动防御蜜罐蜜网
- 面向入侵检测的基于多目标遗传算法的特征选择被引量:11
- 2007年
- 针对刻画网络行为的特征集中存在着不相关或冗余特征,从而导致入侵检测性能下降的问题,本文提出了一种基于多目标遗传算法的特征选择方法,将入侵检测中的特征选择问题视为多目标优化问题来处理。实验结果表明,该方法能够实现检测精度与检测算法复杂性的均衡优化,在显著提高检测算法效率的同时,检测精度也有所提高。
- 俞研黄皓
- 关键词:入侵检测多目标优化遗传算法
- 基于Apache的低交互蜜罐设计与实现被引量:1
- 2006年
- 蜜罐是一种新型的网络防御工具,其伪装的逼真程度和欺骗的成功率一直是设计的难点。很多蜜罐通过脚本来模拟网络服务,使用静态欺骗来保护网络,很容易暴露。本文设计并实现了一种基于 Apache 的低交互蜜罐——Honeyweb.具有 http 协议检测、动态欺骗、与其他网络安全设备联动以及日志等功能,能根据不同的 http 请求作出动态欺骗响应。实验表明,部署它能在很大程度上影响黑客的判断力,消耗攻击资源,甚至阻止攻击,从而实现主动防御、保护 Web 服务器免受攻击的目的。
- 吴馨黄皓
- 关键词:蜜罐蜜网欺骗主动防御
- 一种半聚类的异常入侵检测算法被引量:23
- 2006年
- 针对基于监督学习的入侵检测算法所面临的训练样本不足的问题,提出了一种结合改进k-近邻法的基于半监督聚类的异常入侵检测算法,利用少量的标记数据改善算法的学习能力,并实现了对新攻击类型的检测。实验结果表明,在标记数据极少的情况下,算法的检测结果明显好于非监督学习的算法,接近于监督学习的检测算法。
- 俞研黄皓
- 关键词:入侵检测半监督聚类
- 局域网行为管理系统的设计与实现被引量:2
- 2006年
- 在研究网络用户行为特点的基础上提出了基于W eb的局域网行为管理模型,并根据该模型进行了管理系统的设计和实现。
- 陈凌庄颖杰黄皓
- 关键词:局域网行为管理
