一、网络扫描攻击以及拒绝服务攻击的检测方法(论文文献综述)
张雨姗[1](2021)在《面向关键业务网络的流量异常检测系统的设计与实现》文中研究说明近年来,随着科技的飞速发展,关键信息基础设施作为最重要的基础设施,已成为人们日常生活和工作必不可少的组成部分。关键业务网络中传输和存储的信息数据蕴藏着巨大的经济价值,因此许多网络攻击者处心积虑地想获取业务网络中的潜藏利益。关键业务网络正面临着巨大安全威胁,目前迫切需要采用有效的异常流量检测方法实现网络安全事件的告警功能,快速、准确地对网络运行状况进行检测与分析,找到异常发生的根本原因,以防止攻击事件对关键业务网络造成更加严重的危害。面向关键业务网络的流量异常检测系统必须要满足准确率高、误报率低、效率高这三点要求,故本文提出了一种基于信息熵与LSTM相结合的流量异常检测方法。首先通过计算所选取特征的信息熵来对流量进行初步检测,将得到的熵值与设定阈值比较得出粗略判断结果。如果检测到可疑流量,再利用LSTM进行深度检测。通过LSTM对可疑流量序列进行预测,得到预测值后与实际值进行比对,来最终确定可疑流量是否为攻击流量。信息熵可以体现网络的明显变化,迅速发现并定位网络异常,而LSTM则非常适合用于对具有固定工作序列的网络行为进行建模与预测,二者相互补足,很大程度上克服了误报率高和检测效率低的弊端。使用CICIDS2017数据集对该流量异常检测方法进行评估,实验表明,该方法可在极大程度上满足对流量异常的高效检测,印证了其可行性和准确性。基于对上述流量异常检测方法的验证结果,本文设计并实现了一个面向关键业务网络的流量异常检测系统。通过对该系统的总体架构设计、功能模块组成、各模块实现流程的详尽介绍,从整体到局部来展现整个系统的设计思想与实现过程。在此基础上,通过仿真实验对系统的各项功能展开验证,并对检测性能进行评估。仿真实验结果显示,本系统在针对关键业务网络的流量异常检测方面,很大程度上满足了准确率高、误报率低、效率高的流量异常检测要求。
宋玉言[2](2021)在《针对Android平台的渗透测试技术研究》文中提出随着全世界移动互联网技术飞速发展,智能手机开始占据手机消费的主要市场,传统的互联网也有被移动互联网取代的趋势。在众多的移动操作系统中,Android系统由于其开源等特性,被消费者广泛认可,逐渐成为目前占有量最高的手机智能操作系统。移动智能设备中存在大量个人隐私信息及重要数据,其安全性也备受关注。通过使用渗透测试技术,就可尽早地发现系统存在的漏洞,达到保护个人隐私的效果。一般的渗透测试大多针对传统的网络和设备,很少存在针对移动互联网和Android系统的渗透测试技术。随着搭载Android系统的设备越来越多,Android系统的安全问题也日渐突出,急需针对Android系统安全的新的渗透测试技术和方法出现。本文提出一种针对Android平台网络和应用程序的渗透测试实验方法,使用拒绝服务攻击技术对Android系统网络和应用程序进行渗透测试实验。论文的主要研究工作具如下:(1)分析Android移动设备特点和现有渗透测试技术,针对Android系统网络所使用的TCP协议存在的三次握手漏洞,设计针对Android系统网络的Syn Flood攻击程序,基于此程序对两台Android手机进行拒绝服务攻击实验,对实验数据进行分析,验证此漏洞对Android系统在实际使用中造成的影响。(2)针对Android系统网络所使用的ARP协议存在的漏洞,使用ARP欺骗技术对两台Android手机进行ARP攻击实验,对实验结果进行分析,验证此漏洞对Android系统造成的影响。(3)分析Android系统应用程序所使用的通信机制,针对Android应用程序存在的四种本地拒绝服务漏洞,设计针对Android系统应用程序的java攻击程序,基于此程序在Android虚拟机系统中对选取的50款应用程序进行拒绝服务攻击实验,对实验结果进行分析,验证此漏洞对Android应用程序造成的影响。本文经过对两台Android手机和Android虚拟机系统进行多次渗透测试实验,检验本文提出的针对Android系统网络和应用程序的拒绝服务攻击实验方案的有效性,实验结果表明:针对Android系统网络的Syn Flood拒绝服务攻击能够影响搭载Android系统设备的CPU使用率、能耗、网速、读取网页时间等指标,导致设备无法正常使用,实验成功率约为82.5%;针对Android系统网络的ARP欺骗实验能够成功窃取搭载Android系统设备的部分信息,造成Android用户的信息泄露,实验成功率约为85%;针对Android系统应用程序的拒绝服务攻击实验能够使部分应用程序发生崩溃,对Android系统用户的正常使用造成一定影响。实验中应用程序崩溃率约为17.5%。
陈怡欣[3](2021)在《SDN环境下的流量异常检测技术研究》文中进行了进一步梳理互联网的高速发展为人们的生活带来了许多便利,但也导致了许多安全问题,其中,如何准确识别异常网络流量是网络安全研究的焦点之一。软件定义网络作为一种新型网络架构,它实现了转发控制分离,具有可编程性和高度的灵活性,为网络流量异常检测提供了新的方法和手段。机器学习方法是流量异常检测中一类重要方法,其优势在于它有标准的学习流程,有众多基于统计学数学证明的高效学习算法,有活跃的问答社区,有丰富的工具箱和可供参考的评价基准。尽管如此,机器学习模型的训练和部署依然面临着一些困难。首先,机器学习方法的性能高度依赖特征设计,异常流量中包含着各种非标准的、复杂的流量模式,需要研究者用丰富的经验选择刻画流量的特征集合;其次,对网络流量的异常检测任务往往是在线任务,批处理算法处理大规模数据需要额外的设计,训练得到的静态模型也无法应对数据流场景下的流量模式变化。基于以上分析,本文选用机器学习中的决策树及其衍生方法作为主要的异常流量检测手段,针对如何借助SDN控制转发分离和集中管控的优势实现异常检测任务并提高异常检测准确性展开研究。主要研究工作如下:1.为了对软件定义网络中的分布式拒绝服务攻击流量进行快速、准确的检测,提出了基于C4.5决策树进行改良的MODET算法,其引入不精确狄利克雷模型中的不精确概率,根据节点样本数量和被划分特征的取值规模大小,选择使用信息增益率还是不精确信息增益进行特征划分,并额外约束了分裂出的子节点数量。这些改进使得MODET算法既能对取值分散的特征进行快速划分,又保持了很高的分类预测准确率。2.为了提取出进行在线流量异常检测的合适特征,本文参考KDD CUP99数据集提取统计特征的思路,从软件定义网络中OVS交换机以及流量监控和采集软件sFlow接口提取了 10个关键统计特征,并使用MODET算法对分布式拒绝服务攻击进行检测。此外还添加了攻击缓解模块,通过启动白名单来过滤SDN网络承受的恶意攻击流量,保障一定限度的网络服务供应。3.为了使流量异常检测在数据流场景下有更好的性能表现,克服数据连续不断到达、数据规模无限大、资源有限等困难,本文借鉴数据挖掘领域的霍夫丁树算法提出了异常检测OHT算法。OHT算法生成非静态的决策树模型,在接受了新到达的流信息后,根据信息增益大小判断是进行分裂操作还是进行剪枝操作,实现了异常检测模型的更新。本文还设计了使用多棵二分类OHT树集成的多分类检测器,综合多个二分类器的分类结果进行预测,提高了多分类异常检测任务的类检测率。
黄河[4](2021)在《无线局域网安全监测系统的设计与实现》文中研究表明由于互联网通信技术的高速发展,目前连接互联网的途径也越来越多样化。其中无线局域网作为一种重要的连接互联网途径,改变了曾经只能依靠有线组网技术进行互联网通信的局面。随着无线局域网技术的迅猛发展和无线终端设备大规模的普及,目前无线局域网已经广泛的应用于校园、地铁、大型商场等人流量较大的公共场合。无线局域网在给人们带来便利通信的同时,其中的安全风险也是不容忽视。近年来,针对无线局域网的攻击对用户造成财产损失的事件层出不穷,因此识别无线局域网中的安全威胁就显得尤为重要。本文设计并实现了无线局域网安全监测系统。首先对无线局域网安全监测系统进行设计。然后对该系统具体功能进行实现。最后对该系统安全监测有关功能进行测试,测试结果得知,本系统中无线设备探测、伪AP攻击监测和DOS攻击监测均有较高的准确率,路由器漏洞监测也能准确的识别出具体漏洞信息。本文具体研究内容如下。(1)设计了无线局域网安全监测系统。首先对传统无线局域网安全监测系统的功能不足进行了深入的分析,得出在无线局域网安全监测系统中必须有无线设备探测功能、伪AP攻击监测功能、无线DOS攻击监测功能和路由器漏洞监测功能。然后对无线局域网安全监测系统采集信息的存储位置进行了探讨,得出需将采集的监测信息单独存储到一台机器上,实现信息的异地存储。最后对系统功能模块进行了更详细的设计和对系统的整体架构进行设计。(2)实现了无线局域网安全监测系统。系统依次实现了无线设备探测功能、伪AP监测功能、无线DOS攻击监测功能、路由器漏洞监测功能和信息异地存储功能。在伪AP监测功能的实现方案中,结合了前人的工作经验,本方案以MAC地址、信道、信号强度、序列号和时间戳在内的五大特征综合判断环境是否存在伪AP,判断伪AP效果更为灵敏。在DOS攻击监测功能的实现方案中,此方案通过引入GRU(Gated Recurrent Unit)神经网络生成DOS攻击预测模型,使用该模型对DOS攻击进行监测,相比于传统使用阈值区分DOS攻击的方案,本方案更为新颖。在路由器漏洞监测功能的实现方案中,本方案通过集成RouterSploit漏洞扫描框架从而实现路由器漏洞监测功能,解决了传统无线安全监测系统缺少对路由器安全监测的问题。在信息异地存储功能的实现方案中,本方案使用了 syslog、logstah、kafka技术完成了信息异地存储功能,从而保障了在系统存储大量信息后,系统的正常运行不会受到存储空间不足的影响。(3)进行了无线局域网安全监测系统的测试。搭建无线局域网测试环境,模拟不同类型攻击,对本系统的无线设备探测、伪AP攻击监测、无线DOS攻击监测、路由器漏洞监测等安全监测相关的功能进行测试。测试结果表明,本系统中的无线设备探测、伪AP攻击监测和无线DOS攻击监测都有着较高的准确率,同时也能正确的识别出路由器存在的漏洞信息。
吴春阳[5](2021)在《基于深度学习的网络入侵检测方法研究与实现》文中指出随着互联网技术的高速发展,网络安全问题正日益受到人们的关注。近些年网络攻击事件频发,给社会发展和生产生活带来了极大的影响。入侵检测技术作为网络安全防护的核心技术,其重要性不言而喻。而当前网络入侵检测技术的研究仍然存在两个普遍问题。第一个问题是很多研究忽视虚警率,过度的注重准确率,造成网络入侵检测系统在实际使用过程中告警信息过多,效率低下。第二个问题是检测正常和异常的二分类研究较多,具体到入侵病毒种类的多分类问题的研究却很少。而多分类的入侵检测模型不仅可以提供告警信息,也能提供攻击类型使得系统可以直接采取应对措施。针对上述问题,本论文将注意力机制引入网络入侵检测领域并进行了详细的研究。本文首先将自注意力机制和长短期记忆网络(Long Short Term Memory,LSTM)相结合,提出了一种基于自注意力机制的LSTM入侵检测模型。在CICIDS2017数据集上对该模型进行仿真实验,其十五种流量分类的准确率高达99.591%,而虚警率仅为1.127%。该模型利用自注意力机制来提升LSTM的长距离记忆能力,实现了在提高LSTM入侵检测模型检测准确率的同时降低了虚警率。然后,进一步利用多个注意力相拼接,提出了一种基于多头注意力机制的LSTM入侵检测模型,通过多个注意力关注不同部分实现了对单头注意力机制的性能加强。在仿真实验中,该模型十五种流量分类的准确率为99.629%,虚警率仅为0.991%,相比于自注意力机制具有更高的准确率和更低的虚警率。最后,本论文进一步探究了不同循环神经网络模型与注意力机制相结合时的性能对比,对比发现本文提出的LSTM与注意力机制相结合的模型具有更高的检测能力。其次,还将本文提出的入侵检测模型与入侵检测近期研究常用深度学习模型如卷积神经网络等模型进行对比,发现本文提出的模型具有更强的检测精度和更低的虚警。
林幼玲[6](2021)在《基于布隆过滤器和灰狼优化算法的工控入侵检测研究》文中研究表明随着工业互联网建设的大力推进,工业控制系统网络逐渐从封闭式向开放式转变,但工控安全系统的发展相对而言却有些落后。近年来,工业控制领域的攻击事件逐年上升。由于工业控制系统重点应用于许多与民生紧密相关的领域,一旦这些领域的工业控制系统遭到攻击,将会产生非常恶劣的影响。而入侵检测是一种可以保护系统安全的有效措施,可以有效地发现安全威胁。因此,近年来,针对工业控制系统的入侵检测受到了相关从业人员和研究学者的广泛关注。虽然Web等领域的入侵检测技术较为成熟,大多是基于误用和基于异常的方式实现的,但是工业控制系统中几乎没有基于误用的入侵检测算法,且工业控制系统中基于异常的入侵检测仍存在一些缺陷。首先,现有的基于误用的入侵检测算法的入侵特征库内存占用大、计算复杂,不适用于存储和计算资源受限的工控设备。其次,现有的入侵检测算法检测时间较长,无法满足工业控制系统高实时性的要求。最后,虽然已有不少可应用于工控的基于异常的入侵检测算法,但存在检测率低、误报率和漏报率高的问题。本文分别针上述问题,设计并实现对应的工控入侵检测算法,主要创新工作如下:考虑到基于误用的入侵检测算法具有检测率高、检测速度快的优点,针对工控设备资源受限,没有较多资源可以存储入侵特征库以及进行复杂计算的问题,本文提出基于改进布隆过滤器的工控入侵检测算法(Intrusion Detection Algorithm for Industrial Control System Based on Improved Bloom Filter,IDA-ICS-IBF)。本文使用一次哈希以及多次位运算替代多次哈希运算的方式对布隆过滤器进行改进,以提高检测的速度。并使用改进的布隆过滤器作为入侵特征库,以降低空间占用。通过实验及比较分析,结果表明,该入侵检测算法的内存占用低、检测速度快,适用于工控环境。针对基于误用的入侵检测算法不具有检测未知攻击的能力,且基于异常的入侵检测算法检测率低的问题,本文提出基于改进灰狼优化算法的工控入侵检测算法(Intrusion Detection Algorithm for Industrial Control System based on Improved Grey Wolf Optimizer,IDA-ICS-IBF)。本文使用对立学习策略初始化灰狼种群,并利用Levy Flight对每轮迭代中适应度最优的三只灰狼的位置进行扰动,以加快算法的收敛,同时防止算法陷入局部最优。本文利用改进灰狼优化算法实现特征选择,并使用该算法对SVM的参数进行寻优,以此实现入侵检测。实验结果表明,该工控入侵检测算法具有较优的检测率。最后,本文基于上述算法设计并实现了一个入侵检测系统Intrusion Warn。该系统可以快速有效地检测入侵,且能发现未知攻击,可以满足入侵检测的需求。
李鹏宇[7](2021)在《面向Cisco路由器的蜜罐系统关键技术研究》文中指出路由器作为互联网基础设施,主要提供数据转发,网络寻址等重要任务,其安全状况对所在网络具有举足轻重的影响。Cisco作为全球最大的互联网设备厂商为全球骨干网络提供着最广泛的服务。虽然Cisco公司一直致力于提高其路由器的安防水平,但由于Cisco路由器型号和IOS版本众多,给安全研究带来困难。一些IOS漏洞和针对性攻击方式只有在安全事件爆发时才会被发现,造成大量经济损失。本文希望借鉴蜜罐思想主动发现针对Cisco路由器的攻击行为,并提前感知未知威胁。当前蜜罐研究多针对于PC端服务,路由器作为蜜罐场景构建的一部分,通常不被重视。有的蜜罐系统仅仅虚拟了路由功能而并没有采用高交互路由器,起不到对路由器安全研究的效果。本文设计了基于硬件仿真的高交互虚拟蜜罐,同时为了弥补虚拟化能力的不足,采用实体路由器作为补充蜜罐。提出了一种基于虚实结合的Cisco路由器蜜罐构建方法,并给出Cisco路由器蜜罐信息捕获和攻击判定条件。本文的主要工作包括:1.构建了Cisco IOS攻击链模型,对照攻击模型分析了路由器攻击的各个阶段特点。能够直观的反映出不同阶段的攻击目标、所使用的技术方法以及取得的效果和影响。攻击模型对路由器安全防护及蜜罐的配置策略有指导作用。2.提出了虚实结合的Cisco路由器蜜罐构建和部署方法。当前路由器平台蜜罐研究资料较少,在高交互蜜罐领域并没有形成一款专门针对路由器的蜜罐。通过对固件模拟执行的方式生成虚拟路由器,同时搭配实体路由器组成了高交互路由器蜜罐的硬件基础。针对虚实两种路由器的特点分别设计了相应的蜜罐路由器生成和控制技术,能够获取攻击行为的原始数据。3.提出了Cisco路由器蜜罐攻击行为判定方法。明确了路由器蜜罐的信息采集的内容并给出了相关信息的收集的方法手段。分别针对不同来源的信息给出了攻击判定方法,提出了基于告警信息的攻击行为分析流程。4.提出了基于返回地址内存哈希的ROP攻击定位分析方法。在Cisco路由器虚拟蜜罐指令监控的基础上,针对传统的ROP防护技术在解决Cisco IOS防护上存在的缺陷,提出了一种基于返回地址内存哈希验证的方法,能够在路由器遭受ROP攻击时有效定位出攻击发生位置,并截获关键shellcode代码。
贾卓生[8](2021)在《基于域名服务日志分析的主动防御架构及关键技术研究》文中研究说明随着互联网技术的普及和迅速发展,网络安全问题越来越突出,从个人信息盗取、隐私泄露,到危害社会和国家安全,无处不在。为此,政府和相关单位投入巨大的人力和财力开展网络安全检测与防御方面的研究。如何通过检测分析自动感知网络中存在的安全隐患,对网络信息系统进行研判,准确定位故障点,精准反映各个系统的安全风险值,形成网络安全主动防御体系,成为研究的热点问题。网络安全的研究虽然已经取得了一定的阶段性进展,但在关键技术手段和准确度上仍需要不断完善。目前在企业网中通过安装入侵防御、漏洞扫描、用户行为管理、数据安全审计等设备进行安全分析和防御,但因处理量大、误报率高,在实际环境中往往旁路部署,难以提高防御能力。在面对越来越大的网络流量和分布式内容分发网络以及加密协议的普遍采用,全流量网络安全检测方法难以有效地识别网络攻击行为,也增加了企业和用户隐私数据被窃取的风险。基于日志数据进行安全攻击检测方法往往采用单个设备或系统的日志,数据粒度不够精细,分析滞后,检测效果难以保证,也缺乏与现有网络安全防御设备的反馈和联动机制,且随着数据的不断累积,需要关联分析的数据量越来越大,极大地影响分析效率。针对这些问题,本文提出利用互联网中最基础的域名服务日志数据进行分析挖掘,构建基于知识图谱的网络行为指纹特征库模型,通过聚类分析研究网络攻击行为特征检测算法,检测网络安全风险和网络攻击隐患。并采用网络计费日志作为辅助的细粒度分析和验证手段,进一步提高检测精确度。提出利用域名服务器构建具有主动防御功能的智能域名体系架构,建立事前干预的安全防护体系,在用户和系统无感知的情况下,主动阻止危害网络安全的攻击行为,增强网络安全管理和防御能力。论文主要内容如下:1、构建基于域名服务的主动防御体系架构。在分析网络日志的采集方式、格式类型、数据映射与清洗基础上,研究了域名数据的统计分类方法,以及域名服务面临的解析过程安全、体系安全和网络威胁。对域名集进行统计聚类挖掘,分析域名解析过程中分布式内容分发网络加速和动态地址带来的安全检测问题,在此基础上,提出了一个基于智能域名服务的主动防御体系架构。2、提出一种构建域名指纹图谱的方法。建立基于知识图谱的域名指纹图谱特征库模型,对生成的指纹模型数据特征值进行关联和聚类分析。定义了安全检测分析中各种域名指纹标准数据集合,包括:可供智能域名系统进行安全防御的动态黑白名单集;基于知识图谱的用户访问行为指纹集;采用图神经网络有向图和无向图生成的域名解析指纹集。给出了指纹集建立、生成、存储、比对和可视化分析的方法,并对指纹检测算法进行了实验验证和分析。针对域名服务日志数据粒度不够精细的问题,采用网络计费日志作为辅助的细粒度分析和验证手段,提高检测准确度。3、提出一种网站、用户、操作系统和常用应用软件的正常域名访问行为指纹检测分析方法。通过用户查询行为的合集还原网站所有活跃域名链接,形成网站活跃域名指纹图谱,提出了基于C4.5决策树算法的网站域名指纹特征检测分析方法。通过用户网络访问行为形成用户访问域名特征指纹图谱,在分析用户的固定、变化、异常三种行为模式的基础上,提出了基于粗糙聚类算法FCM的用户访问行为检测分析方法。通过操作系统和常用应用软件域名请求形成特征指纹图谱,提出了操作系统和常用应用软件行为的检测分析方法。实验验证了方法的可行性和有效性。4、提出一种网络攻击行为指纹图谱的检测分析方法。在分析网络攻击行为的基础上,针对典型攻击行为指纹特征,采用隐狄利克雷LDA概率图模型方法进行估值计算,提出了一种基于一阶同质马尔科夫链FHM行为转移概率算法的改进方法,来检测网络攻击行为,提高了对攻击行为的预测和预防能力。以挖矿病毒攻击和网页暗链攻击为例,对该检测分析方法进行了验证。5、实现了一个基于域名服务的网络安全主动防御系统。通过域名日志安全分析系统与智能域名服务器联动,实现网络主动防御。并通过网络代理服务器把可能产生安全问题的流量导向蜜罐系统进行分析和阻断。通过与动态主机配置协议服务器日志的综合分析,实现适应动态地址变化的域名分析系统,满足物联网和IPv6等动态IP地址网络环境下的安全分析和防御。在系统间建立相互反馈机制,验证了检测和预防效果。本文通过对域名服务日志的分析,提出基于域名访问行为指纹图谱的安全检测分析方法,设计并实现了一个网络安全检测与主动防御系统,能够实施闭环控制和统一的威胁管控,并在实际网络环境中得到应用。
申自浩[9](2020)在《基于机器学习的物联网攻击检测关键技术研究》文中研究说明物联网在可穿戴设备、智能传感器和家用电器等领域的快速发展,将影响我们生活的方方面面。物联网设备的数量正在迅速增加,预计到2020年底,将有500亿台设备连接到互联网。物联网设备尤其是感知层节点本身的漏洞很容易受到攻击者的攻击,此外,几乎每个新应用程序附带的代码漏洞都是一个安全威胁,传统的防病毒软件不太可能预防和阻止这种威胁。针对各种物联网设备的网络攻击以各种形式出现,正在成为物联网安全最严重的威胁之一。研究物联网攻击检测技术,对于提高物联网安全具有重要意义。机器学习可以从以往的经验中教机器像人类一样学习,将机器学习算法应用到物联网攻击检测中,为物联网攻击检测技术的发展带来了新的机遇与挑战。机器学习在物联网攻击检测和网络防御中的作用至关重要,机器学习在物联网安全方面的应用尚未充分发挥其潜力。结合机器学习和物联网攻击检测技术,本文对物联网攻击检测关键技术进行了深入的研究,以解决物联网在攻击节点分类,攻击检测方法和攻击检测模型方面的安全技术问题。本文的研究内容包括建立物联网安全威胁模型、基于暗网流量和SVM-RS-Ada Boost算法的物联网攻击节点分类方法、支持零日攻击检测的基于IGAN和PSOKmeans的物联网安全威胁检测方法。最后,本文提出了一个基于DT-DNN的物联网攻击检测模型,并基于该模型实现了一个适用于对等通信的轻量级攻击检测系统。具体说来,本文的主要研究工作和创新之处包括以下几个方面:1、针对物联网面临的安全攻击威胁问题,本文建立了一种多维度的物联网安全威胁模型。物联网面临着多种威胁,本文分析了物联网安全需求以及物联网面临的攻击方法,为做好物联网安全防范指明了方向。物联网面临的攻击方法较多,对其按照不同的视角划分会得到不同的分类结果,本文从多个维度的视角考虑,建立了一个适用于物联网的安全威胁模型,为进一步进行攻击检测奠定了基础。2、针对暗网流量数据在攻击检测中的重要价值,本文结合机器学习技术,提出了一种基于暗网流量与SVM-RS-Ada Boost的物联网攻击节点分类方法。为了对物联网通信中的流量数据所包含的攻击行为进行有效检测,本文采用概率模型对暗网流量数据中配置错误流量进行判定,利用改进的Relieff-S算法进行特征优化提取,利用SVM模型作为弱分类器,进而将其与Ada Boost集成学习模型进行结合,实现了一种新的物联网攻击节点分类方法,最后通过实验验证了SVM-RS-Ada Boost算法的有效性,为识别物联网中攻击节点及其分类提供了依据。3、针对物联网中攻击检测问题尤其是零日攻击检测,本文提出了一种基于IGAN和PSOKmeans的物联网安全威胁检测方法。本文通过分析本地物联网特点,针对数据集中攻击类型不均衡情况,对数据集中少数攻击类型数据利用改进的IGAN训练扩充,选择无监督学习方法K-Means,并利用粒子群优化算法PSO对其进行优化,实现高效的检测。本文设计的基于IGAN和PSOKmeans的攻击检测方法,通过对网络流量数据数据进行预处理和特征提取,对攻击类型不均衡的数据集扩充,分类器参数优化改进,最后基于PSOKmeans实现分类检测。本文通过采用不同数据集进行实验,验证了该方法的可行性和有效性。4、针对采用对等通信灵活接入物联网进行攻击检测的问题,本文提出了一种基于DT-DNN的物联网攻击检测模型,基于此实现了工作在传输层的轻量级攻击检测系统。结合决策树与深度神经网络,本文提出了一个基于DT-DNN的异常攻击检测模型。基于此模型,实现了一个轻量级物联网攻击检测系统,该系统部署在一个智能的便携式设备上,可以保护物联网的安全,同时又不影响其连接性。无线连接有助于设备移动和提高该攻击检测系统的适应性。本文提出的基于决策树与深度学习相结合的异常检测方法,与传统的物联网攻击检测方法不同,克服了基于规则的安全检测方法的缺点,使其能够适应既定和未知的敌对环境。实验结果表明,基于DT-DNN模型的攻击检测系统在多种攻击的检测中取得了良好的检测效果。
孟曈[10](2020)在《基于机器学习与可逆Sketch的DDoS攻击检测》文中认为互联网给人们带来极大便利的同时,各类网络攻击也严重威胁着人们的财产、隐私和安全。其中,DDoS攻击(Distributed Denial of Service)又称分布式拒绝服务攻击,每年给全球的各类互联网系统造成极其严重的危害。面对攻击流量与流速剧增的现代DDoS攻击,如何实现高效、高精度、高实用性的DDoS攻击检测是网络安全领域亟待解决的问题。通过对DDoS的背景知识与现有检测技术调研,我们发现目前缺乏同时具备高精度检测、低资源消耗、低运算复杂度溯源能力的DDoS攻击检测方案。为解决该问题,我们改进已有方案,提出了基于机器学习与可逆Sketch的DDoS攻击检测算法。算法采用可逆Sketch结构基于流数据进行概要统计与特征提取,采用机器学习模型判断当前网络是否发生DDoS攻击,当检测到攻击时,基于中国剩余定理逆运算即可通过简单计算得到异常源IP地址。在所提算法基础上,我们设计实现了一套完整、灵活、高效的DDoS攻击检测系统,该系统由网络流量采集、数据预处理、攻击检测和溯源等模块组成。该系统首先使用SDDL(Security-related Data Description Language,安全参数表达语言)标记检测所需的信息,运用SDDL解析器解析标记文件指导相关数据采集,实现了包含自适应调整在内的多种采样频率设定,基于Jnetpcap嗅探待监控网络的流量,采集网络数据包信息并重组成流,并利用基于机器学习与可逆Sketch的DDoS攻击检测算法实时检测网络中发生的DDoS攻击,并在攻击发生时溯源定位出攻击源IP地址。实验部分展示了系统的交互界面与基本功能,并运用CICIDS2017与UNSWNB15数据集进行了攻击检测算法性能的测试。测试结果表明,系统可以正常运行,实现预期的数据采集、数据处理分析与攻击检测的设计目标。面向两个数据集检测精度佳,展示了我们的系统和所提出的DDoS检测算法的有效性与稳定性。与同类算法对比结果证明,所提算法在检测精度与效率上均有提升。
二、网络扫描攻击以及拒绝服务攻击的检测方法(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、网络扫描攻击以及拒绝服务攻击的检测方法(论文提纲范文)
(1)面向关键业务网络的流量异常检测系统的设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 网络流量异常检测方法研究现状 |
| 1.2.2 网络流量异常检测系统应用现状 |
| 1.3 论文主要工作 |
| 1.4 论文组织结构 |
| 第二章 相关理论与技术准备 |
| 2.1 关键业务网络 |
| 2.1.1 关键业务网络概述 |
| 2.1.2 关键业务网络流量研究与分析 |
| 2.2 异常流量 |
| 2.2.1 DoS/DDoS攻击类异常流量 |
| 2.2.2 端口扫描类异常流量 |
| 2.2.3 Web应用攻击类异常流量 |
| 2.2.4 僵尸网络类异常流量 |
| 2.3 流量异常检测技术 |
| 2.3.1 基于统计分析的异常检测方法 |
| 2.3.2 基于特征工程的异常检测方法 |
| 2.3.3 基于机器学习的异常检测方法 |
| 2.4 信息熵 |
| 2.5 神经网络 |
| 2.5.1 理论基础 |
| 2.5.2 激活函数 |
| 2.5.3 损失函数 |
| 2.5.4 卷积神经网络 |
| 2.5.5 循环神经网络 |
| 2.6 本章小结 |
| 第三章 基于信息熵与LSTM相结合的流量异常检测 |
| 3.1 模型总体架构 |
| 3.2 流量特征选择 |
| 3.3 基于信息熵与LSTM相结合的流量异常检测模型 |
| 3.3.1 基于信息熵的流量异常检测模型 |
| 3.3.2 基于LSTM的流量异常检测模型 |
| 3.3.3 基于信息熵与LSTM相结合的流量异常检测模型 |
| 3.4 异常检测模型性能评估 |
| 3.4.1 数据集介绍 |
| 3.4.2 选取特征分析 |
| 3.4.3 基于信息熵的异常检测模型性能评估 |
| 3.4.4 基于LSTM的异常检测模型性能评估 |
| 3.5 本章小结 |
| 第四章 流量异常检测系统设计与实现 |
| 4.1 系统设计目标 |
| 4.2 系统总体架构设计 |
| 4.3 系统各个模块的设计与实现 |
| 4.3.1 流量采集模块 |
| 4.3.2 数据预处理模块 |
| 4.3.3 流量异常检测模块 |
| 4.3.4 数据存储模块 |
| 4.4 本章小结 |
| 第五章 系统结果展示与性能分析 |
| 5.1 测试环境搭建与部署 |
| 5.2 系统功能测试 |
| 5.2.1 流量采集 |
| 5.2.2 数据预处理 |
| 5.2.3 流量异常检测 |
| 5.2.4 数据存储 |
| 5.3 系统性能测试与分析 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 致谢 |
| 参考文献 |
(2)针对Android平台的渗透测试技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 引言 |
| 1.2 研究背景 |
| 1.2.1 国内外研究现状 |
| 1.3 论文主要工作 |
| 1.4 论文结构安排 |
| 第二章 Android系统和渗透测试研究 |
| 2.1 Android系统研究 |
| 2.1.1 Android系统的诞生和发展 |
| 2.1.2 Android系统架构 |
| 2.1.3 Android系统安全机制 |
| 2.1.4 Android系统的网络协议 |
| 2.2 渗透测试技术研究 |
| 2.2.1 渗透测试概念 |
| 2.2.2 渗透测试流程 |
| 2.3 本章总结 |
| 第三章 渗透测试实验设计 |
| 3.1 渗透测试实验技术选择 |
| 3.1.1 目标收集阶段技术选择 |
| 3.1.2 测试阶段技术选择 |
| 3.1.3 数据监测工具选择 |
| 3.2 渗透测试实验流程设计 |
| 3.3 制定测试方案 |
| 3.3.1 针对Android平台网络的渗透测试方案 |
| 3.3.2 针对Android应用软件的渗透测试方案 |
| 3.4 实验环境搭建 |
| 3.4.1 针对Android网络的渗透测试实验环境搭建 |
| 3.4.2 针对Android应用程序的渗透测试实验环境搭建 |
| 3.5 本章小结 |
| 第四章 渗透测试实验结果分析 |
| 4.1 针对Android平台网络的渗透测试结果分析 |
| 4.1.1 信息收集阶段结果分析 |
| 4.1.2 测试实施阶段结果分析 |
| 4.2 针对Android应用程序本地拒绝服务攻击 |
| 4.3 本章小结 |
| 第五章 总结与展望 |
| 5.1 本文工作总结 |
| 5.2 展望 |
| 参考文献 |
| 在学期间的研究成果 |
| 致谢 |
(3)SDN环境下的流量异常检测技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 论文主要研究内容 |
| 1.3 论文组织结构 |
| 第2章 基础知识与相关工作 |
| 2.1 引言 |
| 2.2 网络流量异常检测 |
| 2.2.1 网络流量的类别及其特征 |
| 2.2.2 网络流量异常的类别及其特征 |
| 2.2.3 分布式拒绝服务攻击 |
| 2.2.4 流量异常检测关键技术 |
| 2.3 软件定义网络 |
| 2.3.1 软件定义网络架构 |
| 2.3.2 软件定义网络中的异常流量 |
| 2.4 机器学习方法 |
| 2.4.1 机器学习过程的形式化描述 |
| 2.4.2 机器学习的通用流程 |
| 2.4.3 常用方法及其在异常检测中的应用 |
| 2.5 本章小结 |
| 第3章 不精确概率优化的异常检测算法MODET |
| 3.1 引言 |
| 3.2 信息论与决策树算法 |
| 3.2.1 决策树算法的数学描述 |
| 3.2.2 信息论和信息增益 |
| 3.3 不精确概率优化决策树MODET |
| 3.3.1 不精确概率与不精确信息增益 |
| 3.3.2 优化决策树算法MODET |
| 3.4 实验结果分析 |
| 3.4.1 数据集介绍 |
| 3.4.2 评价指标 |
| 3.4.3 异常检测效果分析 |
| 3.5 本章小结 |
| 第4章 SDN环境下DDoS攻击在线检测与缓解方案 |
| 4.1 引言 |
| 4.2 基于MODET算法的DDoS攻击在线检测方案 |
| 4.3 基于白名单的DDoS攻击缓解方案 |
| 4.3.1 SDN网络中常见的攻击缓解方案 |
| 4.3.2 白名单机制 |
| 4.4 DDoS攻击防御结果 |
| 4.4.1 实验平台运行过程 |
| 4.4.2 实验验证结果 |
| 4.5 本章小结 |
| 第5章 数据流异常检测模型设计与OHT算法 |
| 5.1 引言 |
| 5.2 数据流挖掘中的分类算法 |
| 5.3 攻击检测算法OHT |
| 5.4 多二分类器表决模型 |
| 5.5 实验设计与分析 |
| 5.5.1 数据集与特征选择 |
| 5.5.2 异常检测效果分析 |
| 5.6 本章小结 |
| 第6章 总结与展望 |
| 6.1 本文工作总结 |
| 6.2 下一步工作展望 |
| 参考文献 |
| 致谢 |
| 在读期间发表的学术论文与取得的研究成果 |
(4)无线局域网安全监测系统的设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究意义 |
| 1.2 研究现状 |
| 1.3 研究内容与结构安排 |
| 1.3.1 研究内容 |
| 1.3.2 结构安排 |
| 1.4 本章小结 |
| 第二章 相关基础理论及关键技术 |
| 2.1 无线局域网基础理论 |
| 2.1.1 无线网络标准 |
| 2.1.2 802.11 MAC帧格式 |
| 2.1.3 无线局域网加密认证方式 |
| 2.2 无线局域网安全威胁理论基础 |
| 2.2.1 伪AP攻击原理 |
| 2.2.2 无线DOS攻击原理 |
| 2.2.3 路由器固件漏洞威胁介绍 |
| 2.3 机器学习算法介绍 |
| 2.3.1 神经网络基础 |
| 2.3.2 循环神经网络(RNN)的介绍 |
| 2.3.3 GRU神经网络的介绍 |
| 2.4 本章小结 |
| 第三章 无线局域网安全监测系统的设计 |
| 3.1 系统需求分析 |
| 3.1.1 需求背景介绍 |
| 3.1.2 功能需求分析 |
| 3.2 系统功能设计 |
| 3.3 系统整体设计 |
| 3.3.1 系统架构设计 |
| 3.3.2 数据库设计 |
| 3.4 本章小结 |
| 第四章 无线局域网安全监测系统的实现 |
| 4.1 无线数据包捕获模块的实现方案 |
| 4.2 无线设备探测模块的实现方案 |
| 4.2.1 AP信息探测的实现 |
| 4.2.2 AP和客户端连接信息探测的实现 |
| 4.3 多特征融合的伪AP监测实现方案 |
| 4.3.1 特征选取 |
| 4.3.2 序列号(SN)阈值的确定 |
| 4.3.3 时间戳(TimeStamp)阈值的确定 |
| 4.3.4 监测方案流程 |
| 4.4 基于GRU深度神经网络的无线DOS攻击监测实现方案 |
| 4.4.1 实验测试环境介绍 |
| 4.4.2 特征选取 |
| 4.4.3 特征集构造 |
| 4.4.4 GRU算法的引入 |
| 4.4.5 实验结果 |
| 4.4.6 实验分析 |
| 4.5 基于RouterSploit的路由器漏洞监测的实现方案 |
| 4.5.1 RouterSploit路由器漏洞检测工具介绍 |
| 4.5.2 路由器漏洞监测实现方法 |
| 4.6 信息异地存储的实现方案 |
| 4.6.1 syslog对信息的收集与上传 |
| 4.6.2 logstash将信息输出至kafka |
| 4.6.3 kafka读取信息并最终入库 |
| 4.7 本章小结 |
| 第五章 无线局域网安全监测系统的功能测试 |
| 5.1 系统测试环境介绍 |
| 5.2 无线设备探测功能测试 |
| 5.2.1 与Aircrack-ng工具比对的AP设备信息探测测试 |
| 5.2.2 与Aircrack-ng工具比对的连接信息探测测试 |
| 5.3 伪AP攻击监测功能测试 |
| 5.3.1 Wifiphiser工具发起伪AP攻击 |
| 5.3.2 系统对伪AP监测 |
| 5.4 无线DOS攻击监测功能测试 |
| 5.4.1 取消身份验证泛洪攻击监测测试 |
| 5.4.2 身份验证泛洪攻击监测测试 |
| 5.4.3 信标泛洪攻击监测测试 |
| 5.4.4 取消关联泛洪攻击监测测试 |
| 5.4.5 QOS数据重新注入攻击监测测试 |
| 5.4.6 探测请求泛洪攻击监测测试 |
| 5.5 路由器漏洞监测的功能测试 |
| 5.6 本章小结 |
| 第六章 总结与展望 |
| 6.1 内容总结 |
| 6.2 工作展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(5)基于深度学习的网络入侵检测方法研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 入侵检测的研究背景及意义 |
| 1.2 研究现状 |
| 1.2.1 入侵检测研究现状 |
| 1.2.2 注意力机制研究现状 |
| 1.3 研究内容 |
| 1.4 论文结构安排 |
| 第二章 入侵检测技术相关介绍 |
| 2.1 入侵检测技术概述 |
| 2.2 入侵检测系统的基本类型 |
| 2.2.1 基于网络的入侵检测系统 |
| 2.2.2 基于主机的入侵检测系统 |
| 2.3 入侵检测方法及原理 |
| 2.3.1 异常检测 |
| 2.3.2 误用检测 |
| 2.4 网络入侵方式 |
| 2.4.1 拒绝服务式攻击 |
| 2.4.2 暴力破解 |
| 2.4.3 Web攻击 |
| 2.4.4 端口扫描 |
| 2.5 本章小结 |
| 第三章 深度学习算法原理分析 |
| 3.1 注意力机制 |
| 3.1.1 注意力机制概述 |
| 3.1.2 注意力机制的原理 |
| 3.1.3 注意力机制的优缺点及应用 |
| 3.2 长短期记忆网络 |
| 3.3 门控递归单元 |
| 3.4 卷积神经网络 |
| 3.5 本章小结 |
| 第四章 基于注意力机制的网络入侵检测系统设计 |
| 4.1 基于注意力机制的网络入侵检测系统架构 |
| 4.2 数据采集模块 |
| 4.3 数据处理模块 |
| 4.3.1 数据清洗 |
| 4.3.2 独热编码 |
| 4.3.3 数据归一化 |
| 4.4 基于自注意力机制的入侵检测模型 |
| 4.5 基于多头注意力机制的入侵检测模型 |
| 4.6 响应单元模块 |
| 4.7 仿真实验 |
| 4.7.1 CICIDS2017数据集 |
| 4.7.2 实验数据 |
| 4.7.3 实验条件 |
| 4.7.4 实验评价指标 |
| 4.7.5 模型参数 |
| 4.8 实验结果与分析 |
| 4.8.1 基于自注意力机制的LSTM模型实验结果分析 |
| 4.8.2 基于多头注意力机制的LSTM模型的实验结果分析 |
| 4.8.3 自注意力机制对LSTM的影响分析 |
| 4.8.4 基于自注意力机制的三种RNN模型性能对比分析 |
| 4.8.5 自注意力和多头注意力机制的LSTM模型性能对比 |
| 4.8.6 与其他非注意力机制的入侵检测模型性能对比分析 |
| 4.9 本章小结 |
| 第五章 总结与展望 |
| 5.1 工作总结 |
| 5.2 不足与改进 |
| 参考文献 |
| 附录 |
| 致谢 |
(6)基于布隆过滤器和灰狼优化算法的工控入侵检测研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 本文研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 工控入侵检测总体研究现状概述 |
| 1.2.2 基于误用的入侵检测技术研究现状 |
| 1.2.3 基于异常的入侵检测技术的研究现状 |
| 1.3 本文主要研究内容及论文组织结构 |
| 1.3.1 本文创新点及主要工作 |
| 1.3.2 本文的组织结构 |
| 第2章 相关理论基础与代表性研究综述 |
| 2.1 数据集 |
| 2.1.1 数据集信息 |
| 2.1.2 攻击描述 |
| 2.2 布隆过滤器 |
| 2.3 灰狼优化算法 |
| 2.4 工控入侵检测和传统入侵检测的区别 |
| 2.5 现有研究缺陷分析 |
| 2.5.1 Menachem入侵检测分析 |
| 2.5.2 Jayashree入侵检测分析 |
| 2.5.3 Weizhi入侵检测分析 |
| 2.5.4 Pajouh入侵检测分析 |
| 2.5.5 Khammassi入侵检测分析 |
| 2.5.6 Chun入侵检测分析 |
| 第3章 基于改进布隆过滤器的工控入侵检测算法IDA-ICS-IBF |
| 3.1 引言 |
| 3.2 IDA-ICS-IBF算法体系结构 |
| 3.3 工控入侵特征 |
| 3.3.1 侦察攻击特征 |
| 3.3.2 响应注入攻击特征 |
| 3.3.3 命令注入攻击特征 |
| 3.3.4 拒绝服务攻击特征 |
| 3.4 IDA-ICS-IBF详细设计 |
| 3.4.1 改进的布隆过滤器 |
| 3.4.2 入侵特征数据库 |
| 3.4.3 入侵检测 |
| 3.4.4 误判分析 |
| 3.5 实验与分析 |
| 3.5.1 检测时间效率 |
| 3.5.2 入侵特征库内存占用 |
| 3.5.3 准确率 |
| 3.5.4 误报率 |
| 3.5.5 漏报率 |
| 3.5.6 分析与讨论 |
| 3.6 本章小结 |
| 第4章 基于改进灰狼优化算法的工控入侵检测算法IDA-ICS-OLGWO |
| 4.1 引言 |
| 4.2 IDA-ICS-OLGWO算法体系结构 |
| 4.3 前期工作 |
| 4.3.1 解向量构造 |
| 4.3.2 适应度函数选取 |
| 4.4 基于对立学习策略的灰狼种群初始化 |
| 4.4.1 基于随机策略的灰狼种群初始化 |
| 4.4.2 基于对立学习策略的灰狼种群初始化 |
| 4.5 IDA-ICS-OLGWO算法详述 |
| 4.5.1 二进制灰狼优化算法位置更新 |
| 4.5.2 莱维飞行对灰狼位置进行扰动 |
| 4.5.3 IDA-ICS-OLGWO算法实现选择流程 |
| 4.5.4 支持向量机参数寻优 |
| 4.5.5 IDA-ICS-OLGWO算法流程 |
| 4.6 实验与分析 |
| 4.6.1 OLGWO算法评估 |
| 4.6.2 准确率 |
| 4.6.3 误报率 |
| 4.6.4 漏报率 |
| 4.6.5 IDA-ICS-OLGWO与 IDA-ICS-IBF对比 |
| 4.6.6 分析与讨论 |
| 4.7 本章小结 |
| 第5章 系统设计与实现 |
| 5.1 系统背景 |
| 5.2 系统设计 |
| 5.2.1 需求分析 |
| 5.2.2 架构设计 |
| 5.3 系统实现 |
| 5.3.1 技术选型 |
| 5.3.2 入侵检测模块 |
| 5.3.3 入侵规则配置 |
| 5.3.4 可视化展示 |
| 5.4 系统测试 |
| 5.4.1 系统环境部署 |
| 5.4.2 检测实时性测试 |
| 5.4.3 发现新入侵的能力测试 |
| 5.5 本章小结 |
| 第6章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 攻读学位期间取得的研究成果 |
| 致谢 |
(7)面向Cisco路由器的蜜罐系统关键技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.1.1 选题背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.2.1 蜜罐技术发展 |
| 1.2.2 蜜罐技术研究分类 |
| 1.2.3 路由器蜜罐研究 |
| 1.3 研究内容 |
| 1.4 论文组织结构 |
| 第二章 Cisco路由器攻击链模型建立 |
| 2.1 Cisco路由器攻击链模型 |
| 2.2 各攻击阶段分析 |
| 2.2.1 网络探测发现阶段 |
| 2.2.2 设备信息收集阶段 |
| 2.2.3 初始访问阶段 |
| 2.2.4 权限提升阶段 |
| 2.2.5 持续驻留阶段 |
| 2.2.6 深度利用阶段 |
| 2.2.7 痕迹清除阶段 |
| 2.3 本章小结 |
| 第三章 虚实结合的路由器蜜罐环境构建 |
| 3.1 蜜罐构建框架结构 |
| 3.1.1 系统概述 |
| 3.1.2 总体功能设计 |
| 3.2 Cisco路由器虚拟化蜜罐的构建 |
| 3.2.1 Cisco路由器硬件结构 |
| 3.2.2 Cisco IOS体系结构及特点 |
| 3.2.3 虚拟路由器的仿真技术 |
| 3.2.4 虚拟路由器蜜罐生成和控制 |
| 3.3 实体路由器蜜罐构建 |
| 3.3.1 外置监控的实体路由器蜜罐结构 |
| 3.3.2 内置监控的实体路由器蜜罐结构 |
| 3.3.3 路由器蜜罐控制方法 |
| 3.4 本章小结 |
| 第四章 基于路由器蜜罐的攻击行为检测 |
| 4.1 蜜罐数据的采集内容及方法 |
| 4.1.1 攻击流量采集 |
| 4.1.2 日志行为记录 |
| 4.1.3 路由器状态信息收集 |
| 4.1.4 内存及指令执行记录 |
| 4.2 基于流量特征的攻击行为判定 |
| 4.3 基于路由器状态信息的攻击行为判定 |
| 4.4 基于内存和指令监控的攻击行为判定 |
| 4.5 基于告警的攻击行为分析流程 |
| 4.6 本章小结 |
| 第五章 基于返回地址内存哈希的ROP攻击定位分析方法 |
| 5.1 相关研究 |
| 5.1.1 ROP防护与检测 |
| 5.1.2 Cisco IOS机制 |
| 5.2 基于内存哈希验证的动态检测方法 |
| 5.2.1 基本定义 |
| 5.2.2 ROP攻击定位方法 |
| 5.2.3 攻击代码捕获方法 |
| 5.3 方法讨论 |
| 5.3.1 返回地址副本的安全性 |
| 5.3.2 查找速度分析 |
| 5.3.3 通用性分析 |
| 5.3.4 代码捕获能力 |
| 5.4 方法验证 |
| 5.4.1 验证环境构建 |
| 5.4.2 可行性验证 |
| 5.4.3 通用性和性能验证 |
| 5.5 本章小结 |
| 第六章 实验验证 |
| 6.1 实验环境 |
| 6.2 路由器蜜罐功能验证 |
| 6.2.1 路由器生成能力验证 |
| 6.2.2 路由器信息收集和告警能力验证 |
| 6.2.3 实网攻击捕获结果分析 |
| 6.3 本章小结 |
| 第七章 总结与展望 |
| 7.1 工作总结 |
| 7.2 研究展望 |
| 致谢 |
| 参考文献 |
| 作者简历 |
(8)基于域名服务日志分析的主动防御架构及关键技术研究(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 研究现状及进展 |
| 1.3 研究内容与论文结构 |
| 1.3.1 研究方法 |
| 1.3.2 研究内容 |
| 1.3.3 研究成果 |
| 1.3.4 论文结构安排 |
| 2 基于域名服务日志分析的主动防御架构 |
| 2.1 引言 |
| 2.2 域名服务 |
| 2.2.1 域名系统 |
| 2.2.2 域名解析过程的安全分析 |
| 2.2.3 智能域名服务 |
| 2.2.4 域名服务面临的安全威胁 |
| 2.2.5 域名服务器体系安全 |
| 2.3 域名服务日志分析主动防御架构 |
| 2.3.1 域名服务日志采集 |
| 2.3.2 域名服务和计费日志格式 |
| 2.3.3 数据清洗与映射 |
| 2.4 基于知识图谱的域名服务日志主动防御检测 |
| 2.5 本章小结 |
| 3 域名指纹图谱生成与分析 |
| 3.1 引言 |
| 3.2 域名名单数据集合 |
| 3.3 域名指纹标准库生成 |
| 3.3.1 数据集合定义 |
| 3.3.2 指纹数据集合建立 |
| 3.3.3 指纹图谱的生成 |
| 3.3.4 指纹图谱的存储 |
| 3.3.5 指纹图谱的比对 |
| 3.3.6 指纹图谱的可视化 |
| 3.4 域名指纹图谱的分析 |
| 3.5 实验与结果分析 |
| 3.6 本章小结 |
| 4 正常访问行为的域名指纹图谱检测分析 |
| 4.1 引言 |
| 4.2 网站域名特征指纹分析 |
| 4.2.1 网站域名指纹特征 |
| 4.2.2 基于决策树的网页域名指纹检测分析 |
| 4.3 用户行为特征指纹分析 |
| 4.3.1 用户域名解析行为指纹特征 |
| 4.3.2 基于粗糙聚类的用户访问行为指纹检测分析 |
| 4.4 操作系统和常用应用软件特征指纹分析 |
| 4.5 实验与结果分析 |
| 4.6 本章小结 |
| 5 网络攻击行为域名指纹图谱检测分析 |
| 5.1 引言 |
| 5.2 网络攻击行为分析方法 |
| 5.2.1 网络攻击典型方法 |
| 5.2.2 网络攻击行为检测 |
| 5.3 基于马尔科夫链的网络攻击行为转移概率指纹分类算法 |
| 5.4 算法实验与结果分析 |
| 5.4.1 网络攻击行为检测分析 |
| 5.4.2 常见攻击行为指纹检测分析 |
| 5.5 网络攻击行为检测实例 |
| 5.6 本章小结 |
| 6 基于域名服务的主动防御系统的实现 |
| 6.1 引言 |
| 6.2 网络攻击行为防御 |
| 6.3 代理服务器和蜜罐分析与阻断 |
| 6.4 动态地址联动防御 |
| 6.5 本章小结 |
| 7 总结与展望 |
| 7.1 工作总结 |
| 7.2 未来工作展望 |
| 参考文献 |
| 作者简历及攻读博士学位期间取得的研究成果 |
| 学位论文数据集 |
(9)基于机器学习的物联网攻击检测关键技术研究(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 绪论 |
| 1.1 课题研究背景及意义 |
| 1.2 物联网攻击检测研究现状 |
| 1.3 本文主要研究内容和组织结构 |
| 第2章 面向物联网的安全威胁 |
| 2.1 物联网的安全需求 |
| 2.1.1 物联网安全维度 |
| 2.1.2 物联网安全层次模型 |
| 2.2 物联网安全威胁 |
| 2.2.1 物联网攻击方法 |
| 2.2.2 物联网安全威胁模型 |
| 2.3 面向物联网安全威胁的机器学习 |
| 2.3.1 面向物联网安全威胁的机器学习分类 |
| 2.3.2 面向物联网安全威胁的机器学习算法 |
| 2.4 本章小结 |
| 第3章 基于暗网流量与机器学习的物联网攻击节点分类方法 |
| 3.1 引言 |
| 3.2 暗网流量数据分类 |
| 3.2.1 扫描 |
| 3.2.2 后向散射 |
| 3.2.3 配置错误 |
| 3.3 基于机器学习的物联网攻击节点分类方法 |
| 3.3.1 符号定义 |
| 3.3.2 基于概率模型的配置错误数据流量判定 |
| 3.3.3 相关系数改进的Relieff-S暗网流量特征提取 |
| 3.3.4 改进的Ada Boost物联网攻击节点分类算法 |
| 3.4 实验结果与分析 |
| 3.5 本章小结 |
| 第4章 基于IGAN和 PSO_Kmeans的物联网威胁检测方法 |
| 4.1 引言 |
| 4.2 生成式对抗网络 |
| 4.3 基于IGAN和 PSO_Kmeans的攻击检测模型 |
| 4.3.1 改进的生成性对抗网络IGAN |
| 4.3.2 粒子群优化算法 |
| 4.3.3 K-Means算法 |
| 4.3.4 PSO_Kmeans分类优化算法 |
| 4.4 实验结果与分析 |
| 4.4.1 物联网攻击实验平台设置 |
| 4.4.2 实验结果分析 |
| 4.5 本章小结 |
| 第5章 基于DT-DNN的物联网攻击检测模型 |
| 5.1 引言 |
| 5.2 基于机器学习的物联网攻击检测模型 |
| 5.2.1 网络连接阶段 |
| 5.2.2 异常攻击检测阶段 |
| 5.2.3 响应阶段 |
| 5.3 基于DT-DNN的异常攻击检测 |
| 5.3.1 特征提取 |
| 5.3.2 构建DT-DNN模型 |
| 5.3.3 训练深度神经网络 |
| 5.3.4 攻击预测 |
| 5.4 实验结果与分析 |
| 5.4.1 实验物联网网络拓扑架构 |
| 5.4.2 实验数据集 |
| 5.4.3 实验结果分析 |
| 5.5 本章小结 |
| 第6章 总结及展望 |
| 6.1 论文总结 |
| 6.2 研究展望 |
| 参考文献 |
| 作者简介及在学期间所取得的科研成果 |
| 致谢 |
(10)基于机器学习与可逆Sketch的DDoS攻击检测(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 符号对照表 |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 论文研究内容与结构安排 |
| 第二章 背景知识与相关工作 |
| 2.1 DDoS攻击 |
| 2.1.1 DoS攻击与DDoS攻击 |
| 2.1.2 典型攻击方式 |
| 2.2 Sketch——概要数据结构 |
| 2.3 基于Sketch的DDoS攻击检测 |
| 2.4 基于机器学习的DDoS攻击检测 |
| 2.4.1 逻辑回归 |
| 2.4.2 朴素贝叶斯 |
| 2.4.3 SVM |
| 2.4.4 决策树 |
| 2.4.5 神经网络 |
| 2.5 本章小结 |
| 第三章 基于机器学习与可逆Sketch的DDoS攻击检测 |
| 3.1 基于可逆Sketch的DDoS攻击检测算法 |
| 3.1.1 算法概述 |
| 3.1.2 算法的分析与改进 |
| 3.2 基于机器学习的改进DDoS检测算法 |
| 3.2.1 算法总述 |
| 3.2.2 特征选择 |
| 3.2.3 数据预处理 |
| 3.2.4 过采样与正则化 |
| 3.2.5 机器学习模型的选择与优化 |
| 3.3 本章小结 |
| 第四章 DDoS攻击检测系统的设计与实现 |
| 4.1 系统需求总述 |
| 4.2 系统结构 |
| 4.3 系统运行流程 |
| 4.4 数据采集模块 |
| 4.4.1 SDDL解析 |
| 4.4.2 采样频率调整 |
| 4.4.3 网络流量采集 |
| 4.5 数据预处理模块 |
| 4.6 本章小结 |
| 第五章 系统展示与实验 |
| 5.1 系统界面与功能展示 |
| 5.2 DDoS攻击检测的性能测试 |
| 5.2.1 实验介绍 |
| 5.2.2 评测指标 |
| 5.2.3 基于CICIDS2017数据集的实验 |
| 5.2.4 基于UNSW-NB15数据集的实验 |
| 5.2.5 同类方案对比 |
| 5.3 本章小结 |
| 第六章 总结与展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
四、网络扫描攻击以及拒绝服务攻击的检测方法(论文参考文献)
- [1]面向关键业务网络的流量异常检测系统的设计与实现[D]. 张雨姗. 北京邮电大学, 2021(01)
- [2]针对Android平台的渗透测试技术研究[D]. 宋玉言. 北方工业大学, 2021(01)
- [3]SDN环境下的流量异常检测技术研究[D]. 陈怡欣. 中国科学技术大学, 2021(08)
- [4]无线局域网安全监测系统的设计与实现[D]. 黄河. 北京邮电大学, 2021(01)
- [5]基于深度学习的网络入侵检测方法研究与实现[D]. 吴春阳. 北京邮电大学, 2021(01)
- [6]基于布隆过滤器和灰狼优化算法的工控入侵检测研究[D]. 林幼玲. 四川大学, 2021(02)
- [7]面向Cisco路由器的蜜罐系统关键技术研究[D]. 李鹏宇. 战略支援部队信息工程大学, 2021(01)
- [8]基于域名服务日志分析的主动防御架构及关键技术研究[D]. 贾卓生. 北京交通大学, 2021(02)
- [9]基于机器学习的物联网攻击检测关键技术研究[D]. 申自浩. 吉林大学, 2020
- [10]基于机器学习与可逆Sketch的DDoS攻击检测[D]. 孟曈. 西安电子科技大学, 2020(05)