公共文化服务平台

国家高技术研究发展计划(2006AA01Z452): 作品数：12 被引量：38H指数：4; 相关作者：田新广段洣毅程学旗孙春来李文法更多>>; 相关机构：中国科学院中国科学院研究生院北京交通大学更多>>; 发文基金：国家高技术研究发展计划国家242信息安全计划国家重点基础研究发展计划更多>>; 相关领域：自动化与计算机技术经济管理电子电信更多>>

基于shell命令和多重行为模式挖掘的用户伪装攻击检测被引量：20: 2010年; 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能.; 田新广段洣毅程学旗; 关键词：网络安全伪装攻击入侵检测 SHELL命令异常检测

采用shell命令和隐Markov模型进行网络用户行为异常检测被引量：1: 2008年; 异常检测是目前网络入侵检测领域研究的热点内容.提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常行为轮廓.HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch训练算法相比,训练时间有较大幅度的降低.在检测阶段,基于状态序列出现概率对被监测用户当前行为的异常程度进行分析,并考虑到审计数据和用户行为的特点,采用了较为特殊的判决准则.同现有的基于HMM和基于实例学习的检测方法相比,文中提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.; 田新广段洣毅孙春来李文法; 关键词：入侵检测隐MARKOV模型异常检测 SHELL命令

A graph based system for multi-stage attacks recognition: 2008年; Building attack scenario is one of the most important aspects in network security.This paper pro-posed a system which collects intrusion alerts,clusters them as sub-attacks using alerts abstraction,ag-gregates the similar sub-attacks,and then correlates and generates correlation graphs.The scenarios wererepresented by alert classes instead of alerts themselves so as to reduce the required rules and have the a-bility of detecting new variations of attacks.The proposed system is capable of passing some of the missedattacks.To evaluate system effectiveness,it was tested with different datasets which contain multi-stepattacks.Compressed and easily understandable Correlation graphs which reflect attack scenarios were gen-erated.The proposed system can correlate related alerts,uncover the attack strategies,and detect newvariations of attacks.; Safaa O.Al-Mamory; 关键词：SCENARIO

分布式入侵检测系统的配置分发策略研究: 分析了分布式入侵检测系统的配置分发策略,并针对它在大规模高速网络下面临的问题,引入数据迁移和序列化技术,提出了一种改进的配置分发策略。实验表明,这种新的配置分发策略不仅极大地提高了 DIDS 的分析处理能力和运行效率,而...; 杨小伟姚秋林程学旗; 关键词：分布式入侵检测系统数据迁移序列化; 文献传递

网络数据流分段存储模型的研究与实现: 针对网络数据流存储面临的瓶颈问题,提出了同时保持时序性和属主性的网络数据流分段存储模型。本模型在内存中采用基于弱时序性的高速缓存数据结构,提高了网络数据流实时存储的效率;在磁盘中采用了基于多级索引结构的数据流生成树结构,...; 吴广君云晓春余翔湛王树鹏; 关键词：网络数据流多级索引; 文献传递

Kad网络节点资源探测分析被引量：5: 2010年; Kad网络中存在数以亿计的共享资源,而其中有相当一部分可被评定为敏感资源。为深入了解Kad网络上资源尤其是敏感资源的特征,运用Kad网络采集器:Rainbow对节点拥有的文件资源进行探测分析。该文发现:1)文件流行度和文件所对应的文件名数量都近似符合Zipf分布;2)利用同一个"文件内容哈希"(即file-content-hash)的多个文件名的共现词可以更准确地进行敏感判别;3)敏感资源占随机样本的6.34%,且敏感资源中74.8%为video文件。; 刘祥涛龚才春刘悦白硕; 关键词：对等网络 KAD网络

Kad网络节点共享资源探测分析: Kad网络中存在数百万的共享资源,而其中有相当一部分可被评定为敏感资源。首先用我们的Kad网络采集器:Rainbow对节点拥有的文件资源进行探测;然后对节点资源和敏感资源进行相关统计分析。我们发现:1)只有3.09%的节...; 刘祥涛龚才春曾依灵白硕鲍旭华; 关键词：对等网络 KAD网络; 文献传递

基于MRMHC-LSVM的IP流分类被引量：1: 2009年; 提出了一种构建轻量级的IP流分类器的wrapper型特征选择算法MRMHCLSVM。该算法采用改进的随机变异爬山(MRMHC)搜索策略对特征子集空间进行随机搜索,然后利用提供的数据在无约束优化线性支持向量机(LSVM)上的分类错误率作为特征子集的评价标准来获取最优特征子集。在IP流数据集上进行了大量的实验,实验结果表明基于MRMHC-LSVM的流分类器在不影响分类准确度的情况下能够提高检测速度,与当前典型的流分类器NBK-FCBF相比,基于MRMHC-LSVM的IP流分类器具有更小的计算复杂度与更高的检测率。; 李文法段洣毅陈友程学旗; 关键词：流分类

GatherCore：一种面向采集系统的工具集: Web 采集程序是 Web 应用的重要组成部分。GatherCore 包含了采集程序所需的核心工具,如：采集工具、链接提取工具等。该工具集运行稳定,有较高的速度,能够支撑很多应用, 如我们已经和正在开发的全网采集、论坛采...; 张凯丁国栋张刚; 关键词：工具集 SOCKET; 文献传递

基于双向核实机制的移动通信终端防伪验证: 2009年; 针对现有手机防伪方法存在的不足,提出一种新的移动通信手机终端防伪验证方法,并设计实现了基于短信平台和手机数据库的防伪验证系统。系统通过手机预置短信和开机超时自动发送的方式,实现对已售手机信息的主动采集,并利用基于数据加密保护和数据库查询校验的信息双向核实机制进行防伪确认。与传统方法相比,系统大大提高了手机防伪的可靠性,便于对销售信息进行及时、准确地采集和分析。; 田新广程学旗段洣毅廖睿刘悦; 关键词：移动通信短信平台

国家高技术研究发展计划(2006AA01Z452)