【摘 要】
:
分布式蜜网技术能够实现对互联网安全威胁进行有效的监测,为安全应急部门提供前期预警、应急响应以及事后追查提供支持。随着分布式蜜网规模的扩大,捕获的互联网安全威胁数据
【机 构】
:
北京大学 计算机科学技术研究所,北京,100871 网络与软件安全保障教育部重点实验室[北京大学]
论文部分内容阅读
分布式蜜网技术能够实现对互联网安全威胁进行有效的监测,为安全应急部门提供前期预警、应急响应以及事后追查提供支持。随着分布式蜜网规模的扩大,捕获的互联网安全威胁数据量远远超出了手工分析的能力,安全分析人员很难从海量的数据中挖掘出有意义的攻击信息。因此,需要一种辅助安全分析人员快速发现和掌握监测到的安全事件的方法。现有的蜜网数据分析技术方法包括摘要分析、统计分析、数据可视化方法等,这些方法能够帮助安全分析人员发现网络中的恶意行为。但是这些蜜网数据分析技术面对超大规模的安全威胁数据集时不能有效地为安全分析人员提供有效的特殊安全事件检测机制。本文提出了基于蜜网数据基线分析的互联网安全事件检测方法,对Matrix分布式蜜网系统的捕获数据进行特殊安全事件感知。基线分析方法通过概率统计的理论选取上下线,并对偏离上下线的部分提供向下钻取和底层数据分析,帮助安全分析人员逐层深入地了解攻击细节。最后通过攻击案例分析验证了基线分析方法能够有效地对明显偏离基线的安全威胁事件进行感知,帮助安全分析人员发现特殊事件并进行快速反应。
其他文献
JMS(Java Message service)是SUN公司提出的旨在统一各种消息中间件系统接口的规范,它包含点对点(PTP)和发布/订阅(Pub/SUb)两种消息模型,提供可靠消息传输、事务和消息过滤等
分析认为布置在不可照料环境下的无线传感器网络拓扑面临着两个关键问题,分别是面对入侵时如何生成一个具有较高容侵能力的拓扑,在节点能源都会耗尽时如何维持一个可用的网络
把拓扑控制中的功率控制的思想引入到覆盖中,建立感知半径之和最小的数学模型,用遗传算法求解该模型,获得最优覆盖解。以一种实际地理环境下的生态监测问题作为方案的具体实
讨论了移动自组网的脆弱性,分析了传统入侵检测技术应用于移动自组网时所面临的问题,提出了一种基于簇的层次式移动自组网协同入侵检测模型,并给出了协同检测算法。该模型基
被测进程的状态可控和可监测是软件漏洞测试的难点之一。本文提出一种基于广义EAI模型(Extended Environment Application InteractionModeI)的软件漏洞测试方法。该方法针对
本文利用BGP路由协议仿真和虚拟接口技术设计并实现了一个网络协议计算机教学辅助系统,并通过局域网实现了对现实中的网络环境的仿真。本系统对XORP(可扩展开放路由器平台)BG
在分析现有基于阈值比率的适应性聚集突发检测算法的基础上,针对其对变化缓慢且持续时间较长的突发没有检测能力的不足,提出改进算法——AABD算法,AABD算法能够检测多种类型
安全协议建模是安全协议分析与验证的基础,针对目前安全协议建模方法中存在的一些缺点,如建模复杂、重用性差等,本文建立了类型化的π演算,即πt演算,并基于该演算提出了一种
针对C语言代码中的缓冲区溢出,提出一种基于程序切片方法来检测C程序中可能存在的缓冲区溢出漏洞。先对C源代码可能产生缓冲区溢出的变量进行相应程序切片分析,取出存在安全
提出一种基于sketch概要数据结构的异常检测方法。该方法实时记录网络数据流信息到sketch数据结构,然后每隔一定周期进行异常检测。采用EWMA预测模型预测每一周期的预测值,计