国家高技术研究发展计划(2001AA140213)
- 作品数:28 被引量:600H指数:13
- 相关作者:管晓宏郑庆华韩崇昭孙国基彭勤科更多>>
- 相关机构:西安交通大学中国电信股份有限公司上海研究院西安科技大学更多>>
- 发文基金:国家高技术研究发展计划国家杰出青年科学基金国家自然科学基金更多>>
- 相关领域:自动化与计算机技术更多>>
- 主机日志分析及其在入侵检测中的应用被引量:27
- 2002年
- 主机日志在入侵检测中有着不可替代的作用,通过深入分析主机日志可以发现系统的异常行为。该文分析了主机日志的构成,主机日志在计算机安全领域中的应用,并给出了常用的主机日志和基于主机日志的入侵检测系统。主机日志的分析方法有很多,文章对这些方法进行了分类并对它们进行了详细的讨论。最后,给出了一种基于主机日志分析的入侵检测通用模型。
- 王伟彭勤科
- 关键词:入侵检测计算机网络网络安全
- 基于粗糙集理论的主机安全评估方法被引量:15
- 2004年
- 针对大多数安全评估系统不能评估漏洞的组合对网络安全危害的缺陷 ,提出采用粗糙集理论进行主机安全评估的方法 .该方法利用历史评估记录 ,把漏洞作为安全要素 ,在基于粗糙集理论的属性约简能力上 ,建立了安全评估模型以及具有安全要素、服务和主机 3个层次的安全风险度量模型 ,再结合安全要素和服务重要性因子进行加权 ,计算主机的安全风险 ,进而评估、分析系统的安全态势 .与其他方法相比 ,该方法能够自动建立基于规则的安全评估模型 ,评估单个安全要素和安全要素的组合对系统安全的威胁 ,且能够监控因系统配置改变引起的系统安全状态的变化 .通过仿真实验建立了系统安全态势曲线 ,从 7天的实验记录中还发现了 9条有用的评估规则 ,这表明采用该方法的评估结果更加准确。
- 陈秀真郑庆华管晓宏林晨光
- 关键词:网络安全安全评估粗糙集理论数据挖掘
- 基于Windows Native API序列的异常检测模型被引量:5
- 2006年
- 针对Windows操作系统受到的越来越多的严重攻击,提出一种基于Native API序列的多步一致模型和指数迭代检测算法,实现了从内核空间检测Windows操作系统中的异常入侵.通过设计内核虚拟设备来截获系统服务分配表,从而可实时地获取Native API信息.用被截获的正常Native API数据建立一步和二步一致模型,并以此描述进程的正常行为.在检测过程中,通过指数迭代检测算法,可对不断出现的Native API的正常指数进行度量.采用报警提取算法对正常指数进行分析可惟一地确定对应的攻击,为管理员及时掌握系统的安全状况提供了保证.在不同的Windows操作系统环境下的实验结果表明,该方法有较好的检测精度.
- 冯力孙杰周晓明杨力伟彭勤科
- 关键词:异常检测操作系统
- 一种基于网络的入侵检测系统的研究与实现被引量:7
- 2004年
- 网络入侵检测系统作为重要的安全工具已经成为研究的热点。本文首先介绍了IDS的基本概念及其组成和分类,然后重点介绍了一种基于网络的入侵检测系统的框架和具体实现,最后对IDS的当前研究情况和发展提出了看法。
- 陈丽丽李卫管晓宏祝春华
- 关键词:入侵检测基于网络的入侵检测
- 基于案例推理的入侵检测关联分析研究被引量:3
- 2006年
- 针对基于规则和模型的入侵检测专家系统中难以建立和表达入侵检测规则的问题,利用基于案例推理(CBR)方法对知识要求的低依赖性,将它引入入侵检测(ID)领域,提出了基于案例推理的入侵检测关联分析(CBRIDRA)模型的框架,研究了系统各功能模块,并对其中攻击案例定义、攻击案例检索、攻击案例管理、专家知识系统等关键技术的解决思路和实现方法进行了讨论。
- 曾茹刚管晓宏昝鑫郑庆华
- 关键词:网络安全基于案例推理入侵检测
- 一种支持异构Sensor的分布式IDS的通信机制被引量:6
- 2004年
- 提出了一种新的支持分布式入侵检测通信需求的通信机制。给出了通信机制的体系结构及其实现流程,提出了一种基于XML进行异构Sensor事件一致描述的方法,有效地解决了IDS之间数据共享的问题。针对IDS控制台和检测传感器之间安全数据交换的问题,提出了一种基于SSL和RSA算法相结合的安全通信解决方法。对本通信机制的性能进行了量化分析。
- 郑庆华刘君杰范林涛
- 关键词:入侵检测入侵检测消息交换格式安全套接层XML
- 基于实时击键序列的主机入侵检测被引量:33
- 2004年
- 基于主机的入侵检测是保障计算机网络信息安全的重要手段之一 .该文在介绍击键特性及其识别算法的基础上 ,根据大量试验结果 ,确定将具体键的击键序列作为信息源 ,提出了一种改进的贝叶斯统计方法 ,实现了主机入侵检测 .该方法既能独立于用户名和口令之外对用户进行身份认证 ,又能动态监控用户击键的整个过程 .文中对系统实现的关键问题和检测结果进行了详细的分析和讨论 .
- 高艳管晓宏孙国基冯力
- 关键词:计算机网络信息安全主机入侵检测系统网络安全防火墙
- 一种基于主机实时流量的安全评估方法被引量:9
- 2006年
- 在分析影响服务可用性网络攻击导致网络流量异常改变的基础上,提出了一种主机网络实时流量的安全状况评估方法.首先,在固定时间窗口内选择一组能够体现网络流量统计特征的统计量作为评估测度,在大样本的基础上运用信息增益方法确定不同测度对评估结果影响的重要性.其次,采用层次加权方法,并将评估结果作为归一化异常度值,对主机网络的实时流量进行评估.实验结果表明,这种方法能够对蠕虫、DDoS、DoS攻击引发的异常流量进行合理评估,并且对引起网络流量异常改变的新攻击有良好的评估效果.
- 姚婷婷郑庆华管晓宏陈秀真
- 关键词:安全评估网络攻击
- 一种主机和网络相结合的安全评估系统被引量:7
- 2003年
- 提出了一种主机和网络相结合的安全评估系统模型,讨论了安全评估系统中的关键技术及其原理,并分析了评估系统所采用的控制台 代理的体系结构。最后给出了安全评估的一种模糊数学综合评价方法,可以对目标安全状况进行分析评估。
- 孙小妹王拓
- 关键词:网络安全安全评估
- 基于粗糙集理论的入侵检测新方法被引量:89
- 2003年
- 提出了一种高效低负荷的异常检测方法 ,用于监控进程的非正常行为 .该方法借助于粗糙集理论从进程正常运行情况下产生的系统调用序列中提取出一个简单的预测规则模型 ,能有效地检测出进程的异常运行状态 .同其它方法相比 ,用粗糙集建立正常模型要求的训练数据获取简单 ,而且得到的模型更适用于在线检测 .实验结果表明 ,该方法的检测效果优于同类的其它方法 .
- 蔡忠闽管晓宏邵萍彭勤科孙国基
- 关键词:粗糙集理论入侵检测异常检测防火墙信息安全
