一、动态IP地址的捕获(论文文献综述)
苏雪[1](2021)在《基于强化学习的蜜网主动防御系统的设计与实现》文中研究指明在互联网快速发展的同时,网络安全问题变得日益严峻,诸如防火墙、入侵检测系统等传统的安全防御机制已很难应对高隐蔽、持续性以及智能化的新型网络威胁。而蜜罐和蜜网等主动防御技术发挥着越来越重要的作用。然而,现有的蜜罐蜜网防护体系主要采用静态部署的方式,难以随着攻击手段的变化而动态响应,很容易被经验丰富的攻击者识别并绕过。随着人工智能的发展,强化学习、博弈论、案例推理等相关技术在智能决策、动态交互、反识别等方面具有良好的表现,因此将人工智能技术与蜜网技术相结合成为当前主动欺骗防御领域的研究热点。本文重点研究基于强化学习的蜜网主动防御技术,主要工作如下:(1)对于不同攻击的分类响应,本文提出了一种基于可信度推理的攻击连接分类机制。本文将攻击连接分为两类,自动化攻击和人为攻击。首先,根据攻击连接的特性建立不同结论的推理知识库,然后评估知识库中每条知识的可信度和信任增长度。鉴于基于可信度的不确定性推理在模糊信息处理上的优势,本文基于建立的推理知识库,通过组合证据的不确定性算法计算不同结论的总体联合可信度。最后根据比较可信度值的大小,得到攻击连接分类结果。(2)本文设计并提出了一种基于Q-learning算法的自适应蜜罐模型。本文首先基于马尔可夫决策过程对自适应蜜罐响应攻击的过程进行建模,将攻击者的命令集以及蜜罐采取的响应动作集分别映射到蜜罐模型的状态空间和动作空间,并设计了一种能够最大程度收集自动化攻击命令的奖励函数。在此基础上,自适应蜜罐通过与攻击者交互进行学习,生成使得攻击者暴露更多有价值的攻击数据的最佳交互策略。(3)本文设计了基于分阶段响应式蜜网架构,在此基础上实现了基于强化学习的蜜网主动防御系统。系统由静态请求响应模块、攻击连接分类模块、攻击行为捕获模块和日志管理模块组成。最后,对蜜网主动防御系统进行了测试,证明系统的可用性及优越性。实验证明,本系统能够分阶段对网络攻击进行响应,对当前网络环境进行模拟、控制攻击者流量、监控和记录攻击者扫描、探测、攻击蜜网的行为并对蜜网日志进行有效展示。本文提出的自适应蜜罐相较于传统中交互蜜罐能够捕获命令总数高达3倍的攻击命令,对比于其他应用了强化学习的蜜罐,其在学习过程中能够以更快的的速度收敛,在第150次攻击学习后呈现出收敛趋势并且蜜罐的响应行为具备明确的优先级,证明了本文提出的自适应蜜罐的优越性。
吕浩[2](2021)在《物联网设备识别信息提取系统的设计与实现》文中研究说明随着物联网技术的飞速发展,物联网安全问题也日益突出,其中最主要的问题之一就是物联网资产的暴露问题。暴露在公网上的物联网设备,一旦存在安全漏洞就很容易被攻击者利用,造成严重的后果。研究发现,同一品牌、系列或型号的物联网设备往往具有相同的安全漏洞。因此,对网络空间中的物联网设备进行品牌、类型和型号等信息的细粒度识别对于确保物联网安全至关重要。本文设计并实现了一个基于规则的物联网设备识别信息提取系统,相比现有的物联网设备细粒度识别研究,该系统在识别效果上有所提升。该系统从物联网设备的HTTP和HTTPS响应数据出发,结合搜索引擎的辅助,进行细粒度的设备识别,提取设备的品牌、类型和型号信息。本文的具体工作主要包括:首先,本文对现有的物联网设备识别研究进行了分析,总结了现有研究在识别效果上的缺点和不足,提出了本文的部分优化点。其次,本文设计并实现了基于规则的物联网设备识别信息提取系统。其核心模块包括:1.数据预处理模块。该模块首先过滤掉非物联网设备的HTTP(S)响应,然后综合多维度特征从余下的HTTP(S)响应中提取可能包含设备信息的文本,最后过滤掉文本中的无关字符串。2.候选设备关键词提取模块。该模块基于规则库从数据预处理模块得到的文本中提取候选的设备品牌、类型和型号关键词。在提取过程中考虑到了特殊设备指纹字段蕴含的设备信息,同时基于FlashText算法实现了 O(N)时间复杂度的高效提取。3.基于搜索引擎的设备信息提取模块。单凭HTTP(S)响应中提取出的候选设备关键词可能无法确定最终的设备信息,该模块借助搜索引擎来辅助确定最终的设备信息。现有研究在搜索策略、从搜索结果中提取设备信息的方法等方面存在缺陷,本文对此进行了改进和创新,提出了一套新的结合搜索引擎辅助确定设备信息的方法,实现了更好的识别效果。4.重定向和动态HTML响应处理模块。相当一部分物联网设备的HTTP(S)响应存在重定向和动态HTML现象,本文对这两种现象进行了全面的分析和处理,相比现有研究可识别出更多的物联网设备。最后,设计了针对本文物联网设备识别信息提取系统的功能和性能验证实验。验证了本文设备识别方法的可行性和有效性,也验证了本文设备识别方法相比现有方法可以实现更好的识别效果。
周琨[3](2021)在《网络流量模型及异常检测技术研究》文中认为网络流量海量化、复杂化已成为常态,如何识别、监测、分析网络流量已成为重要研究方向和热点。特别是基于深度学习的异常检测方法的研究,受到产学研界广泛关注,异常检测与机器学习、深度学习等人工智能技术领域相结合是网络安全领域研究的一个重要分支。作为检测高级威胁手段的流量分析技术结合人工智能、大数据等技术对流量建模,分析流量行为,识别检测异常流量,为网络规划、网络优化、网络监控等提供重要的技术支撑。本论文的研究内容是将传统的统计方法、深度学习及强化学习的方法用于网络流量建模和异常检测,流量模型是基于流量的异常检测的基础性研究工作,掌握流量特征是建设健壮、安全可靠网络的前提条件。可在流量模型上开展流量预测、分类,以及在此基础上进行异常检测研究。本文主要研究内容和贡献包括:(1)研究了移动平均自回归模型在以流量为代表的时间序列建模领域的应用,总结了一套建模流程,可用于指导模型设计、指标选择及模型评估;提出了一个ARIMA+SVR的混合模型,时间序列的预测准确度提高了10%以上。设计了一个加密视频流识别方案,提出了视频流最近邻、动态时间规整算法;基于加密后流量不确定性增加、熵值加大的特点,结合分类算法提出了一个加密流量识别方法,该方法与传统方法相比,识别准确率提高了10%以上。(2)在分析和实验长短期记忆网络性能存在的问题后,提出了基于注意力机制和自编解码融合的流量模型,训练时间与现有的模型相比缩短了约80%左右,在流量模型的基础上设计了异常评分机制,提出了基于注意力的异常检测模型,实验结果表明异常检测准确率达到或超过现有模型,模型训练时间效率提升明显。(3)通过将生成式对抗神经网络(GAN)应用于流量建模和异常检测的研究,提出了基于GAN的流量模型,该模型克服了GAN训练易出现不稳定等问题,生成了“高仿真度”的网络流量,在此基础上进一步设计了异常评分机制,进行流量异常检测。实验测试表明模型的有效性,其识别准确率达到或超过现有模型。(4)通过对异步强化学习(A3C)应用于网络流量的研究,提出了一个对网络攻击行为建模的异常检测模型,对四个基准数据集的实验测试表明,检测准确率、召回率及F1分数等评价指标达到或超过现有的模型。
廖佳[4](2021)在《计算密集型大流量数据的接力计算与动态分流研究及工程实践》文中提出大流量数据处理与研究方面,相较于成熟而先进的I/O密集型应用(如抢购火车票、“双十一”抢购商品等),我国计算密集型数据的处理仍然处于发展阶段,许多情况下已成为性能瓶颈,也是一个亟待解决的问题。典型的密集计算应用场景如大型科学计算、省市级的社保医保数据的计算与服务、大数据的AI计算与分析、税务数据的计算与优化、图像数据的分析与甄别等。本文研究一套计算密集型大流量数据的接力计算与动态分流处理模型,实现大流量数据的动态分流与接力计算模式,使复杂计算通过拆分和接续计算,充分利用系统的存储资源和计算资源,快速完成大流量和复杂的计算任务。主要研究内容及工作如下:首先,动态分流算法研究与实现。采用微服务架构搭建整体框架,对数据存储模块中的热点数据或使用频繁数据进行一体化转换,预存储在内存型数据存储模块以供快速读取,研究并实现动态分流算法将大流量数据分布在不同计算节点并行计算,缓解单节点大流量数据的计算压力,并对数据整合机制进行研究,最终将分布在不同计算节点的运行结果统一汇总。其次,接力计算模型研究与实现。将内存型数据存储技术作为过渡,数据存储模块的读写分离技术为基础,将复杂计算任务分解至多层接力计算节点上,并且利用计算节点的资源信息作为判定标准,将计算任务分配在指定节点上并行完成,有效减轻了单计算端的运算压力。再次,异步非阻塞中间件研究与实现。通过技术研发及整合,使计算过程的数据读写、计算分配、计算调度等环节,实现了纯粹的异步非阻塞和流式数据处理模式,充分提高了系统并发性并节省系统资源,消除内部瓶颈。最后,克隆数据存储集群研究与部署。通过执行自研SQL捕获器结果和对数据存储模块中同步失败的服务节点进行移除熔断操作,有效保障数据同步的可靠性。在研究过程中,通过一个完整的工程实践,构建了通过以上研究实现的工程平台。该微服务构架的平台及部分研究成果已经在工程实践中得以应用。通过不同数量级计算数据的测试,记录了其运行时间、资源利用率、计算准确度、完整度等指标,以及对指标数据的整理分析,证明了该模型能够显着提升数据计算的效率,对超高并发数据的处理和计算密集性数据的计算方法及类似应用场景,具有借鉴与参考性的价值。
胡一名[5](2021)在《工控网络异常检测系统的设计与实现》文中提出科技的迅速发展在给人们享受生活上的便利同时,同样推动了物联网技术的蓬勃发展。尤其伴随着新一代的5G通信技术的应用及数字孪生时代的到来,工业互联网迎来了更多颠覆性的机遇,目前全球疫情大环境下,自动化控制系统凭借其独特的优势和顽强的生命力,加速了企业的复工复产,从而为疫情防控做出了卓越贡献。与此同时,工业互联网的安全问题面临着严峻的挑战,工控网络大规模沦陷会影响到人们的日常生活,严重时社会的正常运转造成威胁。本文设计并实现了工控网络异常检测系统,为工业互联网的安全提供保障。本文首先对工业互联网中的工业控制系统结构和特点进行分析和总结,指出工业控制系统中面临的安全问题,研究了工控系统中常见的安全防护手段,分析它们的优缺点。基于工业控制系统的通信流量特点,对工控网络入侵检测系统进行从整体到局部的全面分析,设计并实现了工控网络的异常检测系统。系统主要包含以下模块,流量的采集与解析模块,采用端口镜像技术,在不影响生产的情况下采集原始工控流量,在捕获时间内对流量的特征值进行提取,将采集到的流量特征值保存到数据库中。检测模块,对异常流量的检测,采用机器学习以及深度学习算法,分别从流量基线与操作序列两个方面学习工业控制系统的正常模式,根据学习到的正常模式实现在工业控制系统中检测异常流量、异常行为的能力。评估模块,根据检测模块的结果对当前工控网络的安全性做出评估。可视化界面,用于检测结果的可视化展示,便于用户了解当前工控系统网络的安全性,同时配置用户与角色及权限三者之间的关联管理关系,以及操作日志记录,进一步提高系统的安全性。
李鹏宇[6](2021)在《面向Cisco路由器的蜜罐系统关键技术研究》文中指出路由器作为互联网基础设施,主要提供数据转发,网络寻址等重要任务,其安全状况对所在网络具有举足轻重的影响。Cisco作为全球最大的互联网设备厂商为全球骨干网络提供着最广泛的服务。虽然Cisco公司一直致力于提高其路由器的安防水平,但由于Cisco路由器型号和IOS版本众多,给安全研究带来困难。一些IOS漏洞和针对性攻击方式只有在安全事件爆发时才会被发现,造成大量经济损失。本文希望借鉴蜜罐思想主动发现针对Cisco路由器的攻击行为,并提前感知未知威胁。当前蜜罐研究多针对于PC端服务,路由器作为蜜罐场景构建的一部分,通常不被重视。有的蜜罐系统仅仅虚拟了路由功能而并没有采用高交互路由器,起不到对路由器安全研究的效果。本文设计了基于硬件仿真的高交互虚拟蜜罐,同时为了弥补虚拟化能力的不足,采用实体路由器作为补充蜜罐。提出了一种基于虚实结合的Cisco路由器蜜罐构建方法,并给出Cisco路由器蜜罐信息捕获和攻击判定条件。本文的主要工作包括:1.构建了Cisco IOS攻击链模型,对照攻击模型分析了路由器攻击的各个阶段特点。能够直观的反映出不同阶段的攻击目标、所使用的技术方法以及取得的效果和影响。攻击模型对路由器安全防护及蜜罐的配置策略有指导作用。2.提出了虚实结合的Cisco路由器蜜罐构建和部署方法。当前路由器平台蜜罐研究资料较少,在高交互蜜罐领域并没有形成一款专门针对路由器的蜜罐。通过对固件模拟执行的方式生成虚拟路由器,同时搭配实体路由器组成了高交互路由器蜜罐的硬件基础。针对虚实两种路由器的特点分别设计了相应的蜜罐路由器生成和控制技术,能够获取攻击行为的原始数据。3.提出了Cisco路由器蜜罐攻击行为判定方法。明确了路由器蜜罐的信息采集的内容并给出了相关信息的收集的方法手段。分别针对不同来源的信息给出了攻击判定方法,提出了基于告警信息的攻击行为分析流程。4.提出了基于返回地址内存哈希的ROP攻击定位分析方法。在Cisco路由器虚拟蜜罐指令监控的基础上,针对传统的ROP防护技术在解决Cisco IOS防护上存在的缺陷,提出了一种基于返回地址内存哈希验证的方法,能够在路由器遭受ROP攻击时有效定位出攻击发生位置,并截获关键shellcode代码。
王鹏堃[7](2021)在《MiANet的防入侵算法的设计与实现》文中研究指明移动自组织网络(Mobile Ad-hoc Network,MANET)具有无基础结构、自组织和多跳能力的特性,在军事任务或紧急救援中具有巨大的潜在应用。对于军事场景而言,在MANET中实现低成本、高效的反入侵、反窃听和反攻击机制非常重要。入侵MANET或攻击MANET的目的通常与有线Internet的目的不同,有线Internet的安全性机制如集中认证和授权已得到广泛探索和实施。而对于MANET,移动目标防御(MTD)则是增强网络安全性的合适机制,其基本思想是连续不断地随机更改系统参数或配置,以使入侵者和攻击者无法访问。本文提出了一种基于两层IP跳变的MTD方法,其中设备IP地址或虚拟IP地址根据网络安全状态和要求进行更改或跳变。提出的基于两层IP跳变的MTD方案在网络安全性方面具有两个主要优点。首先,每个设备的设备IP地址根本不会暴露给无线物理信道;其次,具有独立间隔和规则的两层IP跳变机制增强的MANET安全性,同时保持相对较低的计算负荷以及网络控制和同步的通信成本。MTD方案在本文开发的MANET终端中(Military Ad-hoc Network,MiANet)进行实施,通过结合数据加密技术,提供了三个级别的网络安全性:正常环境中的防入侵、攻击性环境中的入侵检测以及在敌对环境中的反窃听。论文主要工作如下:1)对MiANet V3.0存在的安全问题进行分析,提出了一种基于两层IP跳变的MTD方法,其中设备IP地址或虚拟IP地址根据网络安全状态和要求进行按时跳动或按需跳变,使用VPN技术进行虚拟IP的数据包传输,使用AES对称加密技术来进行种子的分发。实验表明,因为攻击者通过破解数据包获取IP的时间大于IP的有效时间七倍以上,因此攻击者很难在IP跳变的有效时间内发送伪装成合法节点的包。2)完善并增强此前设计与实现的MiANet V2.0,不仅对MiANet V2.0的功能进行了完善,而且通过X.264和Speex技术解决了音视频无法同步的问题,并对数据采集模块、流数据处理模块、页面显示三大模块的实现进行了系统的分析和阐述。3)对MiANet V2.5战场态势进行分析,通过引入百度地图实现了MiANet态势感知系统,通过在地图上绘制敌我方兵力部署情况来实现第一层数据获取,通过敌方和我方的轨迹分析实现第二层态势理解,通过路径规划与导航来实现第三层态势预测。
孙伟[8](2021)在《内部网络测绘关键技术研究》文中研究表明内部网络在网络空间中普遍存在,与互联网物理隔离或逻辑隔离,已经融入到人类社会治理和社会活动的各个领域,承载有高价值私有数据,属于信息“富矿”类网络。虽然,这些网络受到法律和制度保护,但遭受攻击的情况层出不穷,而且是内部攻击和APT攻击的重点目标,如何及时发现内部网络中存在的漏洞和隐患,如何准确识别网络中的攻击事件,如何有效判断网络中的异常行为,进而提升网络的主动防御能力,已成为当前网络安全亟待解决的重要问题之一。本论文通过引入网络测绘概念,重点研究基于流挖掘和图挖掘的网络测绘技术和安全检测方法,以提升内部网络的安全保密防御能力,具体研究内容包括被动引导主动的“靶向”测量方法、基于通联图谱的设备识别方法、基于流挖掘和图挖掘集成的异常检测方法、基于时空事件关联的攻击检测方法等,主要创新点包括:1.面向受限内部网络存在的IP地址分布稀疏性、网络负载受限等问题,提出被动测量引导主动测量的测绘的模型,为传统测绘方法向内网迁移提供支撑。该模型中,被动测量通过获取流量数据中的元组数据,建立不同时序的IP地址数据集、端口数据集和通联关系集,为主动测量提供策略依据。在这一模型的指引下,以组件测量为例,基于源伪造对流量数据进行预处理、基于正则匹配对元组数据进行筛选和提取、基于差异度计算模型对IP地址及端口的重要性进行评估,形成初次遍历测量、增量测量、实时测量的目标,再根据测量目标进行“靶向”主动探测。结果表明:在不降低测量全面性的基础上,“靶向”测量方法与传统遍历测量方法相比,产生的探测数据报文大幅减少,有效降低了网络负载,同时,可以克服IP地址分布的稀疏性,实现增量测量和实时测量,提高测量时效。2.面向受限内部网络存在主动探测数据报文召回率不高、流量数据深度解析受限等问题,提出基于流分析和图分析的内部网络设备识别方法,为有效补充主动测量的探测“盲点”提供支撑。论文基于内部网络IP地址的通联关系,以IP地址为节点、IP通联为边,计算每个节点的关联度、邻域平均度和要塞指数,使用DBSCAN密度聚类算法进行聚类,通过节点关联度、邻域平均度、要塞指数等,判断IP地址对应设备为服务器类设备或者终端类设备;在此基础上,再次使用DBSCAN算法进行二次聚类,通过通联频次、数据包数量、数据总量等,判断终端类设备为主机类设备或者NAT设备;最后,根据专家知识和通联图谱,判断NAT设备后是否有服务器。结果表明,基于通联图谱,使用DBSCAN算法的被动测量方法,识别内网组件非常有效,可以弥补主动测量的探测“盲点”,提高测量的全面性;通过调优定点邻域半径(Eps)、邻域内最少点数(Min Pts)、阈值等参数,可以提升设备识别准确率、降低误报率。3.面向受限内部网络存在检测模型和检测策略孤立、异常行为隐蔽性和特征难以提取的问题,提出测绘指导下图挖掘和流挖掘集成检测的优化方法,为提升异常行为的检测能力提供支撑。论文利用图挖掘的无监督优势,融入了流挖掘的良好自适应能力,并且采用集成的方法,通过集成K模型进行分类和更新,在概念出现漂移时,不断演进检测K模型,保证集成适应当前概念;在此基础上,引入已知的林肯数据集日志数据流,通过实验验证,评估了模型数量K、规范子结构数量q、衰落因子λ等参数对提升检测效果所发挥的作用;最后,引入测绘成果和专家知识,进行流挖掘和图挖掘映射,对检测方法进行再优化。实验表明,在测绘指引下,集成检测方法的分析能力进一步提升,可以有效识别出APT攻击的横向移动攻击。4.面向受限内部网络存在海量报警信息难以融合、误报过多的问题,提出基于时空事件关联的异常检测方法,为提升空间和时间联合场景攻击事件信息融合提供支撑。论文基于主客体分析和因果分析,构建分散攻击场景,形成时间序列和空间序列攻击事件的多维表征方法;以此为基础,提出利用贝叶斯网络模型进行跨空间的事件关联方法和隐马尔可夫模型进行跨时间的事件关联方法,以提升检测模型对网络环境噪声的自适应性;最后基于测绘成果,形成时空关联的内网攻击检测方法。实验表明,在测绘指引下,使用时空关联分析模型,可有效识别DDos反射攻击,与传统的专家系统算法和经典的BP神经网络模型相比,准确率更高、误报率和漏报率更低。本论文共有图56幅,表16个,引用参考文献154篇。
贾卓生[9](2021)在《基于域名服务日志分析的主动防御架构及关键技术研究》文中指出随着互联网技术的普及和迅速发展,网络安全问题越来越突出,从个人信息盗取、隐私泄露,到危害社会和国家安全,无处不在。为此,政府和相关单位投入巨大的人力和财力开展网络安全检测与防御方面的研究。如何通过检测分析自动感知网络中存在的安全隐患,对网络信息系统进行研判,准确定位故障点,精准反映各个系统的安全风险值,形成网络安全主动防御体系,成为研究的热点问题。网络安全的研究虽然已经取得了一定的阶段性进展,但在关键技术手段和准确度上仍需要不断完善。目前在企业网中通过安装入侵防御、漏洞扫描、用户行为管理、数据安全审计等设备进行安全分析和防御,但因处理量大、误报率高,在实际环境中往往旁路部署,难以提高防御能力。在面对越来越大的网络流量和分布式内容分发网络以及加密协议的普遍采用,全流量网络安全检测方法难以有效地识别网络攻击行为,也增加了企业和用户隐私数据被窃取的风险。基于日志数据进行安全攻击检测方法往往采用单个设备或系统的日志,数据粒度不够精细,分析滞后,检测效果难以保证,也缺乏与现有网络安全防御设备的反馈和联动机制,且随着数据的不断累积,需要关联分析的数据量越来越大,极大地影响分析效率。针对这些问题,本文提出利用互联网中最基础的域名服务日志数据进行分析挖掘,构建基于知识图谱的网络行为指纹特征库模型,通过聚类分析研究网络攻击行为特征检测算法,检测网络安全风险和网络攻击隐患。并采用网络计费日志作为辅助的细粒度分析和验证手段,进一步提高检测精确度。提出利用域名服务器构建具有主动防御功能的智能域名体系架构,建立事前干预的安全防护体系,在用户和系统无感知的情况下,主动阻止危害网络安全的攻击行为,增强网络安全管理和防御能力。论文主要内容如下:1、构建基于域名服务的主动防御体系架构。在分析网络日志的采集方式、格式类型、数据映射与清洗基础上,研究了域名数据的统计分类方法,以及域名服务面临的解析过程安全、体系安全和网络威胁。对域名集进行统计聚类挖掘,分析域名解析过程中分布式内容分发网络加速和动态地址带来的安全检测问题,在此基础上,提出了一个基于智能域名服务的主动防御体系架构。2、提出一种构建域名指纹图谱的方法。建立基于知识图谱的域名指纹图谱特征库模型,对生成的指纹模型数据特征值进行关联和聚类分析。定义了安全检测分析中各种域名指纹标准数据集合,包括:可供智能域名系统进行安全防御的动态黑白名单集;基于知识图谱的用户访问行为指纹集;采用图神经网络有向图和无向图生成的域名解析指纹集。给出了指纹集建立、生成、存储、比对和可视化分析的方法,并对指纹检测算法进行了实验验证和分析。针对域名服务日志数据粒度不够精细的问题,采用网络计费日志作为辅助的细粒度分析和验证手段,提高检测准确度。3、提出一种网站、用户、操作系统和常用应用软件的正常域名访问行为指纹检测分析方法。通过用户查询行为的合集还原网站所有活跃域名链接,形成网站活跃域名指纹图谱,提出了基于C4.5决策树算法的网站域名指纹特征检测分析方法。通过用户网络访问行为形成用户访问域名特征指纹图谱,在分析用户的固定、变化、异常三种行为模式的基础上,提出了基于粗糙聚类算法FCM的用户访问行为检测分析方法。通过操作系统和常用应用软件域名请求形成特征指纹图谱,提出了操作系统和常用应用软件行为的检测分析方法。实验验证了方法的可行性和有效性。4、提出一种网络攻击行为指纹图谱的检测分析方法。在分析网络攻击行为的基础上,针对典型攻击行为指纹特征,采用隐狄利克雷LDA概率图模型方法进行估值计算,提出了一种基于一阶同质马尔科夫链FHM行为转移概率算法的改进方法,来检测网络攻击行为,提高了对攻击行为的预测和预防能力。以挖矿病毒攻击和网页暗链攻击为例,对该检测分析方法进行了验证。5、实现了一个基于域名服务的网络安全主动防御系统。通过域名日志安全分析系统与智能域名服务器联动,实现网络主动防御。并通过网络代理服务器把可能产生安全问题的流量导向蜜罐系统进行分析和阻断。通过与动态主机配置协议服务器日志的综合分析,实现适应动态地址变化的域名分析系统,满足物联网和IPv6等动态IP地址网络环境下的安全分析和防御。在系统间建立相互反馈机制,验证了检测和预防效果。本文通过对域名服务日志的分析,提出基于域名访问行为指纹图谱的安全检测分析方法,设计并实现了一个网络安全检测与主动防御系统,能够实施闭环控制和统一的威胁管控,并在实际网络环境中得到应用。
陈玉[10](2020)在《面向物联网终端设备的蜜罐捕获系统设计与实现》文中研究说明随着物联网技术的不断发展,物联网应用日趋成熟且不断拓宽,对应物联网设备数量急剧增加。然而,物联网快速发展为生活带来便利的同时,也使得人们面临日渐严重的安全问题。入侵者利用物联网设备的缺陷肆意发起大规模网络攻击,导致众多物联网设备无法正常使用,对网络的稳定性和安全性造成严重的影响,并直接威胁到人们的生命财产安全。物联网设备存在的安全威胁造成的后果极为严重,提高物联网设备的安全性尤为重要。本文首先调研分析了物联网终端设备的安全防护技术发展现状,再从物联网终端系统的特征出发,结合用于网络防御的蜜罐技术,设计并实现了面向物联网终端设备的蜜罐捕获系统。该系统主要包括四个核心模块:系统配置模块、远程登陆模块、攻击操作模块和反向渗透模块。其中,系统配置模块的功能是完成和更新蜜罐系统的必要配置,远程登陆模块的功能是对攻击者的远程登陆过程进行登陆验证,攻击操作模块的功能是攻击者对蜜罐执行命令以实施其攻击意图,反向渗透模块的功能是完成对攻击者主机的反向渗透过程。进一步,本文基于不同通信协议实现了蜜罐系统,包括基于Telnet协议的物联网终端蜜罐系统和基于SSH协议的物联网终端蜜罐系统。两种不同协议的蜜罐都运用Socket网络编程的方式实现网络通信,建立攻击者与蜜罐的正常连接。该蜜罐系统通过模拟物联网终端环境,开放常用端口并运行对应服务,引诱攻击者主动建立与蜜罐的端口连接,欺骗攻击者远程弱口令登陆蜜罐系统,对蜜罐实施攻击意图。同时,蜜罐可利用自带的扫描工具反向扫描入侵者主机,获取入侵者主机正在运行的服务和端口后尝试反向登陆入侵者主机,登陆成功后下载并执行后门程序,控制入侵者主机。该蜜罐系统能够完整地记录攻击者的行为,例如攻击者的IP地址、MAC地址以及执行的命令。基于不同协议的蜜罐为攻击者提供了多种建立连接的通信方式,增强了系统的诱骗能力,有利于捕获丰富的攻击样本。本文设计实现的蜜罐系统不仅能够为安全人员提供更多可利用的攻击样本数据,而且将传统蜜罐的被动防御模式升级为主动防御,实现了对攻击者主机的反向渗透,提升了物联网终端的安全防护能力。
二、动态IP地址的捕获(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、动态IP地址的捕获(论文提纲范文)
(1)基于强化学习的蜜网主动防御系统的设计与实现(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景与意义 |
1.2 国内外研究现状 |
1.2.1 传统蜜网的相关研究 |
1.2.2 强化学习应用于蜜网的相关研究 |
1.3 研究内容 |
1.4 论文组织结构 |
第二章 相关技术 |
2.1 蜜罐技术 |
2.1.1 蜜罐概述 |
2.1.2 蜜罐的分类 |
2.1.3 蜜罐的关键技术 |
2.2 蜜网技术 |
2.2.1 蜜网概述 |
2.2.2 蜜网基本架构 |
2.3 强化学习 |
2.3.1 马尔可夫决策过程 |
2.3.2 强化学习基本要素 |
2.3.3 强化学习基本算法 |
2.4 可信度推理 |
2.4.1 可信度推理概述 |
2.4.2 可信度推理的推理机制 |
2.5 本章小结 |
第三章 基于强化学习的蜜网架构 |
3.1 分阶段响应式蜜网整体架构 |
3.2 基于可信度推理的攻击连接分类 |
3.2.1 攻击连接分类的知识库建立 |
3.2.2 攻击连接分类的推理机制 |
3.3 基于Q-learning的自适应蜜罐 |
3.3.1 自适应蜜罐决策模型的建立 |
3.3.2 基于强化学习的自适应蜜罐决策算法 |
3.4 本章小结 |
第四章 蜜网主动防御系统设计与实现 |
4.1 系统需求概述 |
4.1.1 功能性需求分析 |
4.1.2 非功能性需求分析 |
4.2 系统总体设计 |
4.3 静态请求响应模块的设计与实现 |
4.4 攻击连接分类模块的设计与实现 |
4.5 攻击行为捕获模块的设计与实现 |
4.6 日志管理模块的设计与实现 |
4.7 本章小结 |
第五章 系统测试与结果分析 |
5.1 系统测试环境 |
5.2 系统页面展示 |
5.3 系统功能测试 |
5.3.1 静态请求响应模块测试 |
5.3.2 攻击连接分类模块测试 |
5.3.3 攻击行为捕获模块测试 |
5.3.4 日志管理模块测试 |
5.4 系统性能测试 |
5.4.1 实验环境 |
5.4.2 自适应蜜罐的自适应验证 |
5.4.3 自适应蜜罐学习效率的对比分析 |
5.5 本章小结 |
第六章 总结与展望 |
6.1 总结 |
6.2 未来展望 |
参考文献 |
致谢 |
(2)物联网设备识别信息提取系统的设计与实现(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景和意义 |
1.2 研究现状 |
1.2.1 基于流量特征的设备识别方法 |
1.2.2 基于协议标语的设备识别方法 |
1.3 主要工作 |
1.4 论文组织结构 |
第二章 相关技术介绍 |
2.1 物联网设备的协议栈 |
2.2 网络扫描技术 |
2.2.1 网络扫描工具 |
2.2.2 网络空间搜索引擎 |
2.3 HTTP(S)响应的处理 |
2.3.1 HTTP身份认证的方式 |
2.3.2 动态HTML |
2.3.3 网页重定向 |
2.4 文本处理相关技术 |
2.4.1 命名实体识别 |
2.4.2 字符串匹配算法 |
2.5 本章小结 |
第三章 物联网设备识别信息提取系统的设计与实现 |
3.1 数据收集模块 |
3.1.1 规则库的建立 |
3.1.2 HTTP和HTTPS响应数据的收集 |
3.2 数据预处理模块 |
3.2.1 数据过滤 |
3.2.2 文本提取 |
3.2.3 文本过滤 |
3.3 设备关键词提取模块 |
3.3.1 设备品牌和类型的提取 |
3.3.2 设备型号的提取 |
3.3.3 特殊设备指纹的分析与总结 |
3.3.4 设备关键词提取结果分析 |
3.4 基于搜索引擎的设备识别信息提取模块 |
3.4.1 搜索策略的设计 |
3.4.2 搜索结果的提取 |
3.4.3 设备识别信息的提取 |
3.5 重定向和动态HTML响应处理模块 |
3.6 本章小结 |
第四章 系统测试与分析 |
4.1 实验环境 |
4.2 系统功能测试 |
4.2.1 设备识别信息提取功能测试 |
4.2.2 设备品牌和类型发现功能测试 |
4.2.3 设备识别系统功能对比 |
4.3 系统性能测试 |
4.3.1 数据集说明 |
4.3.2 特征选择对比实验 |
4.3.3 设备发现实验 |
4.3.4 性能指标测试 |
4.4 本章小结 |
第五章 总结与未来工作 |
5.1 论文工作总结 |
5.2 未来工作 |
参考文献 |
致谢 |
(3)网络流量模型及异常检测技术研究(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 研究工作的背景与意义 |
1.2 异常检测的定义分类及应用 |
1.3 异常检测研究方法 |
1.3.1 传统异常检测方法 |
1.3.2 基于机器学习方法 |
1.3.3 基于信息熵和小波的异常检测 |
1.4 异常检测面临的问题挑战 |
1.4.1 传统模型存在的问题 |
1.4.2 监督、半监督学习面临的挑战 |
1.5 论文主要贡献及创新点 |
1.6 本论文的结构安排 |
第二章 网络流量模型及异常检测研究综述 |
2.1 网络流量模型及异常检测 |
2.1.1 网络流量模型 |
2.1.2 网络流量异常检测 |
2.1.3 加密网络流量识别检测 |
2.2 基于深度学习的异常检测 |
2.3 基于强化学习的异常检测 |
2.4 本章小结 |
第三章 基于熵和统计机器学习的流量研究 |
3.1 背景 |
3.2 基于统计的流量模型 |
3.3 模型详细设计 |
3.3.1 园区流量模型 |
3.3.2 Web流量模型 |
3.3.3 混合模型 |
3.3.4 分析与小结 |
3.4 基于近邻和DTW的视频检测识别方法 |
3.4.1 视频检测背景技术 |
3.4.2 设计方法 |
3.5 机器学习和信息熵融合的检测识别 |
3.5.1 信息熵平衡估计 |
3.5.2 流量数据平衡信息熵评估 |
3.5.3 熵和机器学习融合算法 |
3.6 本章小结 |
第四章 基于深度学习的流量及异常检测 |
4.1 深度神经网络基本理论 |
4.2 网络流量模型基本原理 |
4.2.1 卷积神经网络基本原理 |
4.2.2 LSTM基本原理 |
4.3 基于自编解码的流量模型 |
4.3.1 自编解码基本原理 |
4.3.2 模型设计 |
4.4 基于注意力机制的流量模型 |
4.4.1 基本原理 |
4.4.2 模型设计 |
4.4.3 实验结果 |
4.5 基于TCNatt-VAE的异常检测方法 |
4.5.1 模型基本原理 |
4.5.2 异常检测模型 |
4.5.3 实验结果 |
4.6 本章小结 |
第五章 基于生成式对抗神经网络的流量及异常检测 |
5.1 背景 |
5.2 模型基本原理 |
5.3 基于GAN的网络流量模型 |
5.3.1 问题描述 |
5.3.2 流量模型设计 |
5.4 基于GAN的流量异常检测 |
5.4.1 模型设计 |
5.5 实验结果及分析 |
5.5.1 流量模型 |
5.5.2 异常检测模型 |
5.6 本章小结 |
第六章 基于强化学习的网络异常检测研究 |
6.1 背景及基本原理 |
6.1.1 背景 |
6.1.2 基本原理 |
6.2 基于强化学习的异常检测 |
6.2.1 问题建模 |
6.2.2 模型设计方法 |
6.3 实验过程 |
6.3.1 三种数据集上的实验 |
6.3.2 实验结果分析 |
6.4 本章小结 |
第七章 全文总结与展望 |
7.1 全文总结 |
7.2 后续工作展望 |
致谢 |
参考文献 |
攻读博士学位期间取得的成果 |
(4)计算密集型大流量数据的接力计算与动态分流研究及工程实践(论文提纲范文)
摘要 |
ABSTRACT |
1 绪论 |
1.1 研究背景与意义 |
1.2 国内外研究现状 |
1.3 论文研究内容 |
1.4 论文组织结构 |
2 相关技术介绍分析 |
2.1 微服务架构 |
2.2 微服务框架Spring Cloud |
2.3 响应式异步非阻塞框架WebFlux |
2.4 非阻塞客户端WebClient |
2.5 内存型数据存储技术 |
2.6 响应式关系型数据库访问技术R2DBC |
2.7 本章小结 |
3 接力计算与动态分流处理的技术路线及框架 |
3.1 系统总体框架 |
3.2 计算节点状态监测研究 |
3.3 动态分流算法模型 |
3.4 接力计算模型设计 |
3.5 异步非阻塞中间件研究 |
3.6 克隆数据存储集群设计 |
3.7 本章小结 |
4 接力计算与动态分流处理模型实现 |
4.1 计算节点状态监测实现 |
4.2 数据分流模块实现 |
4.3 接力计算模块实现 |
4.4 异步非阻塞中间件实现 |
4.5 克隆数据存储集群实现 |
4.6 本章小结 |
5 系统功能测试与结果分析 |
5.1 系统架构集成 |
5.2 测试环境 |
5.3 测试结果分析 |
5.4 测试平台展示 |
5.5 本章小结 |
6 总结与展望 |
6.1 总结 |
6.2 展望 |
参考文献 |
致谢 |
在校期间的科研成果 |
在校期间的工程开发与实践 |
(5)工控网络异常检测系统的设计与实现(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景与意义 |
1.2 国内外研究现状 |
1.3 论文主要研究内容 |
1.4 论文组织结构 |
第二章 相关知识和技术介绍 |
2.1 工控系统架构与特点 |
2.2 工控网络流量特点 |
2.3 Mobus/TCP协议研究 |
2.4 Gopacket数据包解析技术 |
2.5 防火墙技术 |
2.6 通用入侵检测技术 |
2.6.1 入侵检测技术的分类 |
2.6.2 基于Markov的状态码检测 |
2.6.3 基于LSTM的动态基线检测 |
2.7 本章小结 |
第三章 异常检测系统的需求分析 |
3.1 系统总体需求 |
3.2 系统功能需求 |
3.3 系统非功能性需求 |
3.4 本章小结 |
第四章 异常检测系统设计与实现 |
4.1 系统架构设计 |
4.1.1 系统整体架构设计 |
4.1.2 系统功能模块设计 |
4.1.3 系统技术架构设计 |
4.2 流量捕获与解析模块 |
4.2.1 流量捕获与解析模块的设计 |
4.2.2 流量的捕获实现 |
4.2.3 流量解析实现 |
4.3 检测模块 |
4.3.1 检测模块的设计 |
4.3.2 基于Markov状态码检测实现 |
4.3.3 基于LSTM动态基线预测实现 |
4.4 评估模块 |
4.4.1 评估模块的设计 |
4.4.2 评估模块的实现 |
4.4.3 异常情况处理 |
4.5 用户与角色及权限模块 |
4.5.1 模块设计 |
4.5.2 模块实现 |
4.6 数据展示模块 |
4.6.1 数据展示模块设计 |
4.6.2 数据展示模块实现 |
4.7 数据存储模块 |
4.8 本章小结 |
第五章 异常检测系统测试 |
5.1 测试环境和配置 |
5.1.1 测试环境介绍 |
5.1.2 软硬件配置 |
5.2 系统功能性测试 |
5.2.1 仿真工控网络环境 |
5.2.2 功能性测试 |
5.3 系统非功能性测试 |
5.3.1 丢包率测试 |
5.3.2 稳定性测试 |
5.4 本章小结 |
第六章 工作总结与展望 |
6.1 工作总结 |
6.2 研究展望 |
参考文献 |
致谢 |
(6)面向Cisco路由器的蜜罐系统关键技术研究(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 研究背景及意义 |
1.1.1 选题背景 |
1.1.2 研究意义 |
1.2 国内外研究现状 |
1.2.1 蜜罐技术发展 |
1.2.2 蜜罐技术研究分类 |
1.2.3 路由器蜜罐研究 |
1.3 研究内容 |
1.4 论文组织结构 |
第二章 Cisco路由器攻击链模型建立 |
2.1 Cisco路由器攻击链模型 |
2.2 各攻击阶段分析 |
2.2.1 网络探测发现阶段 |
2.2.2 设备信息收集阶段 |
2.2.3 初始访问阶段 |
2.2.4 权限提升阶段 |
2.2.5 持续驻留阶段 |
2.2.6 深度利用阶段 |
2.2.7 痕迹清除阶段 |
2.3 本章小结 |
第三章 虚实结合的路由器蜜罐环境构建 |
3.1 蜜罐构建框架结构 |
3.1.1 系统概述 |
3.1.2 总体功能设计 |
3.2 Cisco路由器虚拟化蜜罐的构建 |
3.2.1 Cisco路由器硬件结构 |
3.2.2 Cisco IOS体系结构及特点 |
3.2.3 虚拟路由器的仿真技术 |
3.2.4 虚拟路由器蜜罐生成和控制 |
3.3 实体路由器蜜罐构建 |
3.3.1 外置监控的实体路由器蜜罐结构 |
3.3.2 内置监控的实体路由器蜜罐结构 |
3.3.3 路由器蜜罐控制方法 |
3.4 本章小结 |
第四章 基于路由器蜜罐的攻击行为检测 |
4.1 蜜罐数据的采集内容及方法 |
4.1.1 攻击流量采集 |
4.1.2 日志行为记录 |
4.1.3 路由器状态信息收集 |
4.1.4 内存及指令执行记录 |
4.2 基于流量特征的攻击行为判定 |
4.3 基于路由器状态信息的攻击行为判定 |
4.4 基于内存和指令监控的攻击行为判定 |
4.5 基于告警的攻击行为分析流程 |
4.6 本章小结 |
第五章 基于返回地址内存哈希的ROP攻击定位分析方法 |
5.1 相关研究 |
5.1.1 ROP防护与检测 |
5.1.2 Cisco IOS机制 |
5.2 基于内存哈希验证的动态检测方法 |
5.2.1 基本定义 |
5.2.2 ROP攻击定位方法 |
5.2.3 攻击代码捕获方法 |
5.3 方法讨论 |
5.3.1 返回地址副本的安全性 |
5.3.2 查找速度分析 |
5.3.3 通用性分析 |
5.3.4 代码捕获能力 |
5.4 方法验证 |
5.4.1 验证环境构建 |
5.4.2 可行性验证 |
5.4.3 通用性和性能验证 |
5.5 本章小结 |
第六章 实验验证 |
6.1 实验环境 |
6.2 路由器蜜罐功能验证 |
6.2.1 路由器生成能力验证 |
6.2.2 路由器信息收集和告警能力验证 |
6.2.3 实网攻击捕获结果分析 |
6.3 本章小结 |
第七章 总结与展望 |
7.1 工作总结 |
7.2 研究展望 |
致谢 |
参考文献 |
作者简历 |
(7)MiANet的防入侵算法的设计与实现(论文提纲范文)
致谢 |
摘要 |
abstract |
第一章 引言 |
1.1 研究背景及意义 |
1.2 移动Ad-hoc技术及产品的研究现状 |
1.3 移动Ad-hoc网络安全的研究现状 |
1.4 论文的主要工作 |
1.5 论文的整体结构 |
第二章 系统架构及关键技术概述 |
2.1 MiANet V3.0 系统软件架构 |
2.1.1 MiANet V3.0 系统功能分析 |
2.1.2 MiANet V3.0 整体架构设计 |
2.2 网络安全关键技术 |
2.2.1 MANET(移动Ad-hoc网络) |
2.2.2 MTD(移动目标防御) |
2.2.3 VPN(虚拟专用网络) |
2.2.4 X.264 视频编码技术 |
2.2.5 AES对称加密技术 |
2.3 本章小结 |
第三章 网络安全机制的设计与实现 |
3.1 MiANet安全机制软件架构设计 |
3.2 两层IP跳变的防御机制设计 |
3.3 AES加密 |
3.4 虚拟IP跳变 |
3.5 真实IP地址的跳变-跳变表 |
3.6 IP跳频的分析 |
3.7 安全性分析 |
3.8 同步开销的分析 |
3.9 本章小结 |
第四章 态势感知的设计与实现 |
4.1 MiANet V 3.0 态势感知背景介绍 |
4.2 MiANet V 3.0 态势感知软件架构设计 |
4.3 网络战场态势分析 |
4.4 基于百度地图实现防御态势感知(CDSA) |
4.5 Level1:绘制敌我方态势-数据获取 |
4.6 Level2:轨迹分析与检索-态势理解 |
4.7 Level 3:路径规划与导航-态势预测 |
4.8 本章小结 |
第五章 MiANet V3.0 软件设计与实现 |
5.1 MiANet V 3.0 背景 |
5.2 音视频同步的需求分析 |
5.3 音视频同步的架构设计 |
5.4 音视频同步的详细设计 |
5.4.1 实时视频数据采集模块 |
5.4.2 实时视频流数据处理模块 |
5.4.3 实时视频页面显示模块 |
5.5 本章小结 |
第六章 软件功能测试 |
6.1 MiANet全功能稳定性测试 |
6.2 MiANet音视频同步的实时视频功能测试 |
6.3 MiANet三级态势感知功能测试 |
6.4 MiANet防入侵安全测试 |
6.5 本章小结 |
第七章 总结与展望 |
7.1 工作总结 |
7.2 研究展望 |
参考文献 |
攻读硕士学位期间的学术活动及成果情况 |
(8)内部网络测绘关键技术研究(论文提纲范文)
致谢 |
摘要 |
ABSTRACT |
1 绪论 |
1.1 研究背景 |
1.2 研究现状 |
1.2.1 内部网络安全问题 |
1.2.2 网络空间测绘 |
1.2.3 网络空间测绘体系研究 |
1.2.4 网络测绘技术研究 |
1.2.5 网络测绘技术应用 |
1.3 选题的目的和意义 |
1.4 研究内容和创新点 |
1.5 论文组织结构 |
2 被动测量引导下的树形网络测绘模型 |
2.1 引言 |
2.2 研究背景和动机 |
2.3 模型构建 |
2.3.1 设计思路 |
2.3.2 被动测量模块 |
2.3.3 关联控制模块 |
2.3.4 主动测量模块 |
2.4 组件测量算法 |
2.4.1 基于源伪造流量过滤的数据预处理 |
2.4.2 基于正则匹配的数据筛选和提取 |
2.4.3 差异度计算模型下的IP地址及端口重要性评估算法 |
2.4.4 基于被动测量的组件探测 |
2.4.5 算法描述 |
2.4.6 算法分析与比较 |
2.5 组件测量实验 |
2.5.1 组件测量的单项实验 |
2.5.2 组件测量负载对比实验结果分析 |
2.6 本章小结 |
3 基于通联图谱的设备识别方法 |
3.1 引言 |
3.2 研究背景和动机 |
3.3 流量识别模型和DBSCAN算法 |
3.3.1 问题梳理和设计思路 |
3.3.2 基于聚类分析的流量识别模型 |
3.3.3 基于密度的聚类算法—DBSCAN |
3.3.4 算法分析与比较 |
3.4 基于通联图谱的识别方法 |
3.4.1 识别服务器设备 |
3.4.2 区分NAT设备与主机 |
3.4.3 判断NAT设备后面是否存在服务器 |
3.5 实验验证 |
3.5.1 识别服务器设备 |
3.5.2 识别NAT设备和主机 |
3.5.3 判断NAT设备后是否有服务器 |
3.5.4 被动测量全面性评估 |
3.6 本章小结 |
4 基于流挖掘和图挖掘的内网异常检测 |
4.1 引言 |
4.2 研究背景和动机 |
4.3 基于图挖掘和流挖掘的异常检测 |
4.3.1 基于流挖掘的异常检测 |
4.3.2 基于图挖掘的异常检测 |
4.4 基于集成的内网异常检测 |
4.5 实验验证 |
4.5.1 验证检测方法 |
4.5.2 APT横向攻击检测 |
4.6 本章小结 |
5 基于时空事件关联的攻击检测方法 |
5.1 引言 |
5.2 研究背景和方法分析 |
5.2.1 研究背景 |
5.2.2 方法分析 |
5.3 空间序列和时间序列事件关联方法 |
5.3.1 空间序列事件关联方法 |
5.3.2 时间序列事件关联方法 |
5.4 基于时空序列事件关联方法 |
5.4.1 确定性方法 |
5.4.2 概率方法 |
5.5 实验分析 |
5.5.1 实验环境 |
5.5.2 算法结果 |
5.6 本章小结 |
6 总结与展望 |
6.1 工作总结 |
6.2 研究展望 |
参考文献 |
作者简历及攻读博士学位期间取得的研究成果 |
学位论文数据集 |
(9)基于域名服务日志分析的主动防御架构及关键技术研究(论文提纲范文)
致谢 |
摘要 |
ABSTRACT |
1 绪论 |
1.1 研究背景意义 |
1.1.1 研究背景 |
1.1.2 研究意义 |
1.2 研究现状及进展 |
1.3 研究内容与论文结构 |
1.3.1 研究方法 |
1.3.2 研究内容 |
1.3.3 研究成果 |
1.3.4 论文结构安排 |
2 基于域名服务日志分析的主动防御架构 |
2.1 引言 |
2.2 域名服务 |
2.2.1 域名系统 |
2.2.2 域名解析过程的安全分析 |
2.2.3 智能域名服务 |
2.2.4 域名服务面临的安全威胁 |
2.2.5 域名服务器体系安全 |
2.3 域名服务日志分析主动防御架构 |
2.3.1 域名服务日志采集 |
2.3.2 域名服务和计费日志格式 |
2.3.3 数据清洗与映射 |
2.4 基于知识图谱的域名服务日志主动防御检测 |
2.5 本章小结 |
3 域名指纹图谱生成与分析 |
3.1 引言 |
3.2 域名名单数据集合 |
3.3 域名指纹标准库生成 |
3.3.1 数据集合定义 |
3.3.2 指纹数据集合建立 |
3.3.3 指纹图谱的生成 |
3.3.4 指纹图谱的存储 |
3.3.5 指纹图谱的比对 |
3.3.6 指纹图谱的可视化 |
3.4 域名指纹图谱的分析 |
3.5 实验与结果分析 |
3.6 本章小结 |
4 正常访问行为的域名指纹图谱检测分析 |
4.1 引言 |
4.2 网站域名特征指纹分析 |
4.2.1 网站域名指纹特征 |
4.2.2 基于决策树的网页域名指纹检测分析 |
4.3 用户行为特征指纹分析 |
4.3.1 用户域名解析行为指纹特征 |
4.3.2 基于粗糙聚类的用户访问行为指纹检测分析 |
4.4 操作系统和常用应用软件特征指纹分析 |
4.5 实验与结果分析 |
4.6 本章小结 |
5 网络攻击行为域名指纹图谱检测分析 |
5.1 引言 |
5.2 网络攻击行为分析方法 |
5.2.1 网络攻击典型方法 |
5.2.2 网络攻击行为检测 |
5.3 基于马尔科夫链的网络攻击行为转移概率指纹分类算法 |
5.4 算法实验与结果分析 |
5.4.1 网络攻击行为检测分析 |
5.4.2 常见攻击行为指纹检测分析 |
5.5 网络攻击行为检测实例 |
5.6 本章小结 |
6 基于域名服务的主动防御系统的实现 |
6.1 引言 |
6.2 网络攻击行为防御 |
6.3 代理服务器和蜜罐分析与阻断 |
6.4 动态地址联动防御 |
6.5 本章小结 |
7 总结与展望 |
7.1 工作总结 |
7.2 未来工作展望 |
参考文献 |
作者简历及攻读博士学位期间取得的研究成果 |
学位论文数据集 |
(10)面向物联网终端设备的蜜罐捕获系统设计与实现(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 研究背景与意义 |
1.2 国内外研究现状 |
1.2.1 物联网终端设备安全的研究现状 |
1.2.2 蜜罐技术的研究现状 |
1.3 论文研究目的 |
1.4 主要研究内容 |
1.5 论文结构安排 |
第二章 物联网终端设备相关介绍 |
2.1 物联网系统 |
2.1.1 物联网系统简介 |
2.1.2 物联网系统架构 |
2.2 物联网终端 |
2.2.1 物联网终端简介 |
2.2.2 物联网终端类型 |
2.2.3 物联网终端设备 |
2.3 物联网终端设备安全威胁分析 |
2.3.1 物联网终端设备存在的安全威胁 |
2.3.2 物联网终端设备的常用攻击手段 |
2.4 本章小结 |
第三章 蜜罐技术知识概述 |
3.1 蜜罐的基本介绍 |
3.1.1 蜜罐的概念 |
3.1.2 蜜罐技术的发展历程 |
3.1.3 蜜罐的特点 |
3.2 蜜罐的分类 |
3.2.1 按蜜罐的交互程度分类 |
3.2.2 按蜜罐的具体用途分类 |
3.3 面向物联网终端设备的蜜罐 |
3.3.1 物联网终端蜜罐的出现 |
3.3.2 物联网终端蜜罐的实现原理 |
3.3.3 物联网终端蜜罐的应用价值 |
3.4 本章小结 |
第四章 面向物联网终端设备的蜜罐捕获系统分析和设计 |
4.1 系统需求分析 |
4.1.1 系统功能需求 |
4.1.2 系统特性 |
4.2 系统设计思想与意义 |
4.3 系统整体设计与布局 |
4.3.1 系统架构 |
4.3.2 网络架构 |
4.3.3 系统主要工作流程 |
4.4 系统的核心组成模块详细设计 |
4.4.1 系统配置模块 |
4.4.2 远程登陆模块 |
4.4.3 攻击操作模块 |
4.4.4 反向渗透模块 |
4.5 不同协议的物联网终端蜜罐系统 |
4.5.1 Telnet协议终端蜜罐 |
4.5.2 SSH协议终端蜜罐 |
4.6 本章小结 |
第五章 面向物联网终端设备的蜜罐捕获系统的实现 |
5.1 系统开发环境和工具 |
5.2 Telnet/SSH终端蜜罐系统的实现原理 |
5.2.1 Socket通信原理 |
5.2.2 Nmap扫描工具 |
5.3 Telnet/SSH终端蜜罐系统的实现 |
5.3.1 系统配置模块的实现 |
5.3.2 远程登陆模块的实现 |
5.3.3 攻击操作模块的实现 |
5.3.4 反向渗透模块的实现 |
5.4 系统功能测试 |
5.4.1 攻击者远程登陆阶段 |
5.4.2 攻击者实施攻击阶段 |
5.4.3 蜜罐反向渗透阶段 |
5.5 系统测试结论 |
5.6 本章小结 |
第六章 总结与展望 |
6.1 总结 |
6.2 展望 |
参考文献 |
附录1 攻读硕士学位期间申请的专利 |
致谢 |
四、动态IP地址的捕获(论文参考文献)
- [1]基于强化学习的蜜网主动防御系统的设计与实现[D]. 苏雪. 北京邮电大学, 2021(01)
- [2]物联网设备识别信息提取系统的设计与实现[D]. 吕浩. 北京邮电大学, 2021(01)
- [3]网络流量模型及异常检测技术研究[D]. 周琨. 电子科技大学, 2021(01)
- [4]计算密集型大流量数据的接力计算与动态分流研究及工程实践[D]. 廖佳. 四川师范大学, 2021(12)
- [5]工控网络异常检测系统的设计与实现[D]. 胡一名. 北京邮电大学, 2021(01)
- [6]面向Cisco路由器的蜜罐系统关键技术研究[D]. 李鹏宇. 战略支援部队信息工程大学, 2021(01)
- [7]MiANet的防入侵算法的设计与实现[D]. 王鹏堃. 合肥工业大学, 2021(02)
- [8]内部网络测绘关键技术研究[D]. 孙伟. 北京交通大学, 2021
- [9]基于域名服务日志分析的主动防御架构及关键技术研究[D]. 贾卓生. 北京交通大学, 2021(02)
- [10]面向物联网终端设备的蜜罐捕获系统设计与实现[D]. 陈玉. 南京邮电大学, 2020(02)