【摘 要】
:
蠕虫扫描流量是蠕虫流量的主要表现,深入研究扫描流量对蠕虫流量模拟和蠕虫检测具有重要意义。以第一次连接为分析对象,研究正常主机、“延迟限制型”和“带宽限制型”蠕虫流量的连接到达间隔、连接请求大小、连接响应大小、连接持续时间和RTT等分布。通过对比上述指标的统计分布,说明蠕虫流量的异常特性在于上述指标分布不具备正常主机流量重尾特性,并分析了上述异常特性的可改变性。
【机 构】
:
浙江大学计算机科学与技术学院,杭州 310027 湖北汽车工业学院,十堰 442002 浙江大学计
【出 处】
:
2005全国网络与信息安全技术研讨会
论文部分内容阅读
蠕虫扫描流量是蠕虫流量的主要表现,深入研究扫描流量对蠕虫流量模拟和蠕虫检测具有重要意义。以第一次连接为分析对象,研究正常主机、“延迟限制型”和“带宽限制型”蠕虫流量的连接到达间隔、连接请求大小、连接响应大小、连接持续时间和RTT等分布。通过对比上述指标的统计分布,说明蠕虫流量的异常特性在于上述指标分布不具备正常主机流量重尾特性,并分析了上述异常特性的可改变性。
其他文献
本文在“基于交叉链表的快速匹配算法”的基础上,针对其存在的操作串行性、访存地址离散性和空间复杂度大等不适合硬件实现的特征,提出了一系列算法改进——减小基本处理单位和增加双引擎间的协同判定逻辑,并给出相应的理论证明和实际测试结果。与原算法直接移植到硬件平台实现相比,新算法将匹配速度提高了一个数量级,空间复杂度降低了一个数量级,并且保留了原算法结构简单,硬件代价小,性能不受关键字集影响等优点.新算法适
CDN(内容分发网络)技术能够将网站的内容发布到最接近用户的网络“边缘”,使用户能以最快的速度、从最接近用户的地方获得所需的信息。这种技术大大缓解了互联网的拥塞情况,但目前还存在一定的信息安全隐患,技术上CDN对于服务商设备、资源及服务支持等方面提出了更高的要求,这些问题需要引起我们的高度重视。
本文提出一个利用广域互联网络,在远程对机群系统内任意一个计算机节点进行部署软件或安装操作系统的设计方案。可支持多个版本的Linux操作系统的机群系统。这可以帮助拥有机群系统,甚至是分布式网络机群系统的企业用户显著的减少管理维护费用。现在已经开发了一个原型系统,在实验室环境进行了测试,并对结果进行了初步的分析。
网络的出现为信息的传递提供了便利也给信息的安全带来了很大的隐患,随着各个领域对网络的依赖程度的不断提高,使得网络信息安全成为一项复杂的系统工程,很多国家都从宏观角度建立了自己的网络安全战略规划,本文在深入评析美国网络信息安全战略规划模式的基础上,针对我国网络安全的实际情况,跟美国网络空间安全进行SWOT比较,借鉴美国先进经验,对我国网络空间安全战略进行了选择。从中可以看出我国应该在管理机构、系统评
为了解决不同网络安全产品之间由于信息描述不一致和不能相互理解而导致难以沟通和协作等问题,本文设计并实现了一种基于OWL的网络安全信息描述机制,从信息的语义层面上改善和解决了由于分布式网络安全设备相互孤立而产生的协作性差等问题。该机制可以成为网络安全信息描述的标准。
入侵容忍的基础是冗余,考虑到安全故障的人为特点,系统采用多样化的冗余,增加了黑客攻击的难度.提出了一个容侵系统的体系结构,在节点和系统两个级别上实现了入侵容忍,应用沙盒技术实现攻击的在线诊断。实验结果表明,入侵容忍技术能够监测到可能的入侵,对其定位、隔离,并在某种程度上恢复系统,或者使系统降级提供服务。应用入侵容忍技术,能够构建基于COTS服务器的具有入侵容忍能力的连续服务系统,并能够在对响应时间
基于软件的入侵检测技术已经不能满足目前高速网络发展的需要,开发基于硬件的网络入侵检测系统具有重要的意义。本文提出了一种基于FPGA的千兆网络入侵检测硬件系统的架构,它由MGT收发器、GMAC、TCP/IP协议解析,高速匹配模块以及嵌入式PowerPC405处理器组成。在此基础上,本文对系统中高速单引擎数据包内容匹配方法进行了详细的讨论,并进一步拓展至多套数据包内容匹配引擎并行处理的方案,实验数据表
本文构架了一个基于多Agent协同和并行遗传算法的入侵检测模型,并在此基础上对并行遗传算法加以改进,提出了迁移矩阵和相对竞争力的概念。通过迁移矩阵的引导来提高Agent之间的协同效率和并行遗传算法的全局搜索准确度,并进一步引入中间服务器节点,来设计适用于该算法的优化的网络拓扑结构。最后,本文通过仿真试验验证了该算法的有效性。
应用系统的日趋庞大及网络结构的日益复杂,造成了网络设备和网络信息的管理困难。复杂的网络应用环境和多样的攻击与入侵手段使得孤立的安全设备难以有效应付。为各种网络及安全设备提供统一的整合平台是未来网络安全发展的必然趋势。本文提出了一种基于关联分析的网络管理平台的设计模型,以提高对网络事件的分析能力,降低误报警率和楼报警率,提高网络系统的整体安全性。
纯软件入侵检测系统吞吐速率不足百兆,而千兆全硬件入侵检测系统实现代价太大。本文在对入侵关键字集特征分析的基础上,提出了一种基于部分匹配方法的千兆网络入侵检测系统结构。该系统优化了软硬件之间的计算任务分配,既继承了软件处理复杂规则逻辑的能力,又兼具硬件对大关键字集千兆线速处理性能。更重要的是,部分匹配的引入大幅度地降低了系统硬件资源代价。本文最后提出了一种具体的部分匹配算法,并根据真实网络流量下测试