公共文化服务平台

国家242信息安全计划(2005C39): 作品数：13 被引量：50H指数：5; 相关作者：田新广段洣毅李文法孙春来程学旗更多>>; 相关机构：中国科学院中国科学院研究生院北京交通大学更多>>; 发文基金：国家242信息安全计划国家高技术研究发展计划国家重点基础研究发展计划更多>>; 相关领域：自动化与计算机技术经济管理化学工程电子电信更多>>

基于shell命令和多重行为模式挖掘的用户伪装攻击检测被引量：20: 2010年; 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能.; 田新广段洣毅程学旗; 关键词：网络安全伪装攻击入侵检测 SHELL命令异常检测

采用shell命令和隐Markov模型进行网络用户行为异常检测被引量：1: 2008年; 异常检测是目前网络入侵检测领域研究的热点内容.提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常行为轮廓.HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch训练算法相比,训练时间有较大幅度的降低.在检测阶段,基于状态序列出现概率对被监测用户当前行为的异常程度进行分析,并考虑到审计数据和用户行为的特点,采用了较为特殊的判决准则.同现有的基于HMM和基于实例学习的检测方法相比,文中提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.; 田新广段洣毅孙春来李文法; 关键词：入侵检测隐MARKOV模型异常检测 SHELL命令

布尔表达式匹配问题研究被引量：7: 2007年; 提出了布尔表达式匹配问题,并给出了它的形式化定义;提出了一个解决布尔表达式匹配问题的通用算法框架,并在此框架上给出了一种算法及其改进;通过理论分析和实验数据给出了影响布尔表达式匹配算法性能的因素和它们之间的关系。; 曹京谭建龙刘萍郭莉; 关键词：计数算法

基于MRMHC-LSVM的IP流分类被引量：1: 2009年; 提出了一种构建轻量级的IP流分类器的wrapper型特征选择算法MRMHCLSVM。该算法采用改进的随机变异爬山(MRMHC)搜索策略对特征子集空间进行随机搜索,然后利用提供的数据在无约束优化线性支持向量机(LSVM)上的分类错误率作为特征子集的评价标准来获取最优特征子集。在IP流数据集上进行了大量的实验,实验结果表明基于MRMHC-LSVM的流分类器在不影响分类准确度的情况下能够提高检测速度,与当前典型的流分类器NBK-FCBF相比,基于MRMHC-LSVM的IP流分类器具有更小的计算复杂度与更高的检测率。; 李文法段洣毅陈友程学旗; 关键词：流分类

基于数据挖掘和变长序列模式匹配的程序行为异常检测被引量：2: 2008年; 异常检测是目前入侵检测领域研究的热点内容。提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓。在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性。文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能。; 田新广李文法段洣毅孙春来邱志明; 关键词：入侵检测数据挖掘异常检测

大规模多串匹配算法的访存行为分析被引量：1: 2007年; 随着网络带宽的日益增长,病毒和非法信息的形式越来越多,网络安全系统处理的压力越来越大。多串匹配算法作为大部分网络安全系统中的核心扫描部分其性能尤为重要。从微处理器体系结构的角度,用模拟的方法分析了SBOM、AC、WM等三种精确多串匹配算法在大规模规则库的情况下,其性能影响的各种因素,特别是其访存行为特征,并从算法原理上解释了访存性为是如何被影响的。指出当规则库规模增到5000时,由Cache失效引起的性能损失占全部开销的近10%,而且比重随着规则库规模增大而继续变大。; 陈小军张志斌刘燕兵郭莉; 关键词：网络安全

基于双向核实机制的移动通信终端防伪验证: 2009年; 针对现有手机防伪方法存在的不足,提出一种新的移动通信手机终端防伪验证方法,并设计实现了基于短信平台和手机数据库的防伪验证系统。系统通过手机预置短信和开机超时自动发送的方式,实现对已售手机信息的主动采集,并利用基于数据加密保护和数据库查询校验的信息双向核实机制进行防伪确认。与传统方法相比,系统大大提高了手机防伪的可靠性,便于对销售信息进行及时、准确地采集和分析。; 田新广程学旗段洣毅廖睿刘悦; 关键词：移动通信短信平台

基于硬件分区和IP报文还原的网络隔离与信息交换被引量：3: 2008年; 网络隔离技术是目前网络安全领域研究的热点内容。针对多网接入应用环境下的安全隔离需求,本文设计了一种网络安全隔离与信息交换系统,采用基于硬件分区的网络隔离技术和基于IP报文还原的内容深度处理技术,实现了多个外部网络接入一个内部网络时外网间的安全隔离和内外网间的安全通信。本文设计的系统已应用于实际网络环境,表现出良好的安全性能。; 田新广邱志明孙春来李文法段洣毅; 关键词：网络隔离信息交换

基于GATS-C4．5的IP流分类被引量：4: 2009年; 流分类技术在网络安全监控、QoS、入侵检测等应用领域起着重要的作用,是当前研究的热点。提出一种新的特征选择算法GATS-C4.5来构建轻量级的IP流分类器。该算法采用遗传算法与禁忌搜索相混合的搜索策略对特征子集空间进行随机搜索,然后利用提供的数据在C4.5上的分类正确率作为特征子集的评价标准来获取最优特征子集。在IP流数据集上进行了大量的实验,实验结果表明基于GATS-C4.5的流分类器在不影响检测准确度的情况下能够提高检测速度,并且基于GATS-C4.5的IP流分类器与NBK-FCBF(Nave Bayes method with Kernel densityesti mation after Correlation-Based Filter)相比具有更小的计算复杂性与更高的检测率。; 李文法陈友段洣毅孙春来; 关键词：流分类遗传算法禁忌搜索决策树

基于Shell命令和多阶Markov链模型的用户伪装攻击检测被引量：6: 2011年; 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的准确性和检测系统的泛化能力,并大幅度减少了存储成本.检测阶段根据实时性需求,采用运算量小的、仅依赖于状态转移概率的分类值计算方法,并通过加窗平滑处理分类值序列得到判决值,进而对被监测用户的行为进行判决.实验表明,同现有的典型检测方法相比,该方法在虚警概率相同的情况下大幅度提高了检测概率,并有效减少了系统计算开销,特别适用于在线检测.; 肖喜翟起滨田新广陈小娟叶润国; 关键词：网络安全伪装攻击入侵检测 SHELL命令异常检测

国家242信息安全计划(2005C39)

文献类型

领域

主题

机构

作者

传媒

年份

用户反馈

国家242信息安全计划(2005C39)

文献类型

领域

主题

机构

作者

传媒

年份

用户登录

用户反馈