【摘 要】
:
目前为止,网络入侵检测系统的研究主要集中在检测的有效性和检测效率等方面,网络入侵检测系统本身的一些安全问题,如可靠性和生存健壮性等问题并没有得到足够的重视和研究,本文针对网络入侵检测系统-snort,就入侵检测系统的自身安全问题进行了深入地研究,并利用分布式协同攻击技术对NIDS的可靠性和生存健壮性进行了测试.实验结果显示,当前的NIDS对分布式攻击来说是脆弱的.
【机 构】
:
中国科学院软件研究所(北京);中科院信息安全技术工程研究中心(北京)
【出 处】
:
全国网络与信息安全技术研讨会2004
论文部分内容阅读
目前为止,网络入侵检测系统的研究主要集中在检测的有效性和检测效率等方面,网络入侵检测系统本身的一些安全问题,如可靠性和生存健壮性等问题并没有得到足够的重视和研究,本文针对网络入侵检测系统-snort,就入侵检测系统的自身安全问题进行了深入地研究,并利用分布式协同攻击技术对NIDS的可靠性和生存健壮性进行了测试.实验结果显示,当前的NIDS对分布式攻击来说是脆弱的.
其他文献
当前对于蠕虫的监测与反应一般都是事后与人工的,人们根据蠕虫的特征制定规则来监测已知蠕虫.对未知蠕虫的发现需要根据蠕虫的共性特征,采取新的方法.本文提出了一种基于数据流管理平台的未知蠕虫发现方法框架.通过数据流管理平台对网络数据流的分析处理提供的支持,此模型框架灵活而方便的整合了各种未知蠕虫发现技术,从而能够增加未知蠕虫发现的正确率,降低误报率与漏报率.
IPv6将作为下一代Internet的网络层协议,对信息安全提出了新的挑战,入侵检测技术也需进一步发展.本文提出了IPv6环境下入侵检测系统模型(IDSMIPv6).探讨了流量分析、网络阻断、灾难恢复、IP追踪、快速捕包和高速地址匹配等关键技术,并利用协同技术,实现了各个模块的总体控制,完成了IPv6环境下的入侵检测技术的系统模型设计.
本文提出了基于警报数据的网络预警概念和技术.对于按照攻击计划实施的攻击行为,采用基于攻击过程识别的预警推断方法,推断当前入侵动作序列最可能的发展趋势和结果,从而对可能发生的入侵行为进行预测.实例分析和基本验证实验表明,该方法对于有计划的攻击过程具有较好的预警能力.
深入了解Internet拓扑的结构性质有利于更好地设计和发展Internet.由于Internet规模巨大,以及获得完整的路由器级Internet拓扑方面的困难,目前无法研究整个路由器级Internet拓扑.因此,分别研究每个国家级或跨国ISP(Internet Service Provider)的拓扑结构成为了解Internet拓扑特征的一种可选方法.以中国教育科研网为例,分析了该实例拓扑图的度
多态病毒是指病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化.本文简要地介绍了多态病毒的特点,分析了多态病毒的两种实现原理:基于加密技术的多态病毒和基于变形技术的多态病毒,最后重点讨论了多态病毒实现的关键问题--变形引擎的实现.
本文设计了一种可在大规模分布式入侵检测系统中使用的告警融合算法.在大规模高速网络环境下,入侵检测系统把底层模块产生的多个简单告警融合生成少量包含更多信息的告警,以减少冗余告警,提高入侵检测的检测效率,降低误报率,最终为管理员提供简练精确的告警.算法通过"聚集--合并--关联"三个步骤,实现了对告警的融合.
介绍FlashFXP的特色.通过对FlashFXP站点管理器工作过程的分析,揭示了FlashFXP密码破解的潜在可能性,分析出FlashFXP的密码加密算法,并由此使用VB编写出解密程序,实现了FlashFXP密码的破解.
系统的活动简档反映了系统在正常运行时的特征,是进行异常检测和安全审计时的重要参照之一.由于系统活动存在动态性和易变性,使得很难确定能够刻画系统本质特征的一组指标参数.本文通过总结和分析Linux上各种黑客工具包的隐藏技术和检测措施,提出了一种构建系统安全简档的方法.以此方法构建的简档,可以方便地用于入侵检测和安全审计.
本文针对目前大量的利用数据库漏洞提升用户权限后的恶意篡改攻击,设计并实现了一种新的触发器应用,基于安全事件发生前或发生过程中构建了一层用户自定义的访问控制功能,提高了数据库的安全性,并在一定程度上,改变了目前数据库保护中主要依赖于事后恢复的局面.
统计分析在海量数据库应用中占据很大比重.如何提高统计分析的效率是优化数据库应用性能面临的重要问题.语义缓存技术能够通过重用已有查询结果加快统计分析的速度,是一种非常有效的优化方法.本文以一个海量数据库系统为平台面向统计分析的需求对中间层语义缓存进行了研究,首先提出了一个语义缓存的体系结构,然后阐述了语义缓存的关键技术,最后通过试验验证了中间层语义缓存的有效性.