运用记录文件法建构SSH Dictionary-Attacked自动隔离机制

1

作者 赵云亭 《信息与电脑》 2019年第6期166-167,共2页

笔者针对SSH服务的字典攻击问题,提出一套以分析系统日志记录文件为基础的SSH字典攻击自动隔离机制。通过TCP-Wrapper自动侦测SSH连接的功能,触发系统日志记录文件分析程序,以取得使用字典攻击作为入侵手段的攻击者来源,最后运用防火墙... 笔者针对SSH服务的字典攻击问题,提出一套以分析系统日志记录文件为基础的SSH字典攻击自动隔离机制。通过TCP-Wrapper自动侦测SSH连接的功能,触发系统日志记录文件分析程序,以取得使用字典攻击作为入侵手段的攻击者来源,最后运用防火墙软件自动封锁攻击者来源,达成自动隔离的目的,此机制将可有效减缓SSH服务的字典攻击问题。 展开更多

关键词 SSH字典攻击 系统日志记录文件 TCP-Wrapper

在线阅读 下载PDF 职称材料

ProvNavigator:基于影子路径引导的网络攻击调查方法

2

作者 席昊 范皓 +4 位作者 袁沈阳 朱金宇 陈昌骅 万海 赵曦滨 《通信学报》 北大核心 2025年第4期15-32,共18页

在网络攻击发生后,开展攻击调查以分析其根本原因及影响至关重要。目前,基于溯源图的技术已成为主流方法,但该方法面临依赖爆炸问题。最新研究通过整合审计日志和应用日志,在一定程度上缓解了这一问题,并展现出无须程序插桩、模型训练... 在网络攻击发生后,开展攻击调查以分析其根本原因及影响至关重要。目前,基于溯源图的技术已成为主流方法,但该方法面临依赖爆炸问题。最新研究通过整合审计日志和应用日志,在一定程度上缓解了这一问题,并展现出无须程序插桩、模型训练或污点分析的优点。然而,现有日志融合技术要么依赖复杂的融合规则,要么需要进行应用程序逆向工程,且在应对新应用时需重新调整算法,限制了其通用性。为解决这些问题,提出了一种新的基于影子路径引导的网络攻击调查方法ProvNavigator。该方法在构图阶段通过分析日志间的相关性,将不同日志源的独立溯源图合并为全局融合溯源图;在攻击调查阶段,当面对依赖爆炸的节点时,ProvNavigator利用“影子路径对”引导调查,选择适当的边进行追踪,以重构整个攻击链。ProvNavigator无须插桩或逆向分析,具备通用性。ProvNavigator的原型系统在包括4个DARPA TC数据集在内的6个真实攻击场景中进行了实验评估。实验结果显示,ProvNavigator能有效还原攻击故事,在仅有6.01%运行时开销的情况下,实现了94.3%的精确率。 展开更多

关键词 攻击调查 依赖爆炸 日志融合 溯源图 影子路径

在线阅读 下载PDF 职称材料

网络攻击行为溯源分析技术与实现方法研究

3

作者 胡少欣 尹星 +3 位作者 张燊 高衍建 魏园 赵杨 《移动信息》 2025年第4期195-197,共3页

随着数字化转型的深入,网络攻击呈现出多样化和复杂化的特征,给网络安全带来了巨大挑战。文中聚焦于网络攻击行为的溯源分析技术,深入探讨了日志分析、流量监控、威胁情报整合、恶意代码逆向分析以及区块链技术在攻击溯源中的应用,并提... 随着数字化转型的深入,网络攻击呈现出多样化和复杂化的特征,给网络安全带来了巨大挑战。文中聚焦于网络攻击行为的溯源分析技术,深入探讨了日志分析、流量监控、威胁情报整合、恶意代码逆向分析以及区块链技术在攻击溯源中的应用,并提出了一套多技术融合的溯源体系架构。研究结果表明,多层次溯源架构能显著提高攻击路径还原的效率和精度,为构建有效的网络防护机制提供了理论基础与实践指导。 展开更多

关键词 网络攻击溯源 日志分析 流量监控 威胁情报整合 区块链技术

在线阅读 下载PDF 职称材料

基于大语言模型的多源日志安全事件识别方法研究

4

作者 黄晓昆 何铤 鹿洵 《电子质量》 2025年第6期45-50,共6页

针对多源异构日志数据与碎片化攻击链带来的安全事件识别挑战,提出一种基于大语言模型的多源日志安全事件识别方法。通过结构化提示工程与本地安全知识库微调技术,显著提升了模型对日志语义的解析能力及跨阶段攻击链的关联重建效果。创... 针对多源异构日志数据与碎片化攻击链带来的安全事件识别挑战,提出一种基于大语言模型的多源日志安全事件识别方法。通过结构化提示工程与本地安全知识库微调技术,显著提升了模型对日志语义的解析能力及跨阶段攻击链的关联重建效果。创新性地设计了标准化日志三元组表达范式与攻击链归并规则,并在虚拟XDR平台完成实验验证。实验结果表明,该方法在事件识别准确率和攻击链完整度等关键指标上均优于传统方法,具备实际工程应用价值。 展开更多

关键词 大语言模型 多源日志 安全事件识别 攻击链还原 语义建模

在线阅读 下载PDF 职称材料

基于Hadoop的分布式日志分析系统 被引量：6

5

作者 陈文波 张秀娟 +1 位作者 李林 唐钧 《广西大学学报（自然科学版）》 CAS CSCD 北大核心 2011年第A01期339-342,共4页

就如何防御泛洪攻击问题,建立了基于Hadoop的分布式日志分析系统。通过快速提炼访问日志中每个IP地址的请求次数,获取其中请求频率较大的异常IP以有效甄别攻击源,进而为解决泛洪攻击提供重要的现实依据。通过实验,我们不仅验证出分布式... 就如何防御泛洪攻击问题,建立了基于Hadoop的分布式日志分析系统。通过快速提炼访问日志中每个IP地址的请求次数,获取其中请求频率较大的异常IP以有效甄别攻击源,进而为解决泛洪攻击提供重要的现实依据。通过实验,我们不仅验证出分布式日志分析模式较单机模式的巨大时效性优势,还搭建由不同文件系统为基底的虚拟机担当Slaves的两种分布式集群环境,并对两者性能做了详细的对比和分析。 展开更多

关键词 泛洪攻击 日志分析 HADOOP 分布式计算 虚拟机

在线阅读 下载PDF 职称材料

一种抵抗几何变换攻击的数字图像水印方法 被引量：6

6

作者 赵征 徐涛 席鹏程 《南京航空航天大学学报》 EI CAS CSCD 北大核心 2005年第1期70-74,共5页

在水印嵌入的过程中 ,首先在原图像经过对数极坐标变换后的图像中寻找水印嵌入的特定区域 ,并在该特定区域所映射的原图像经过离散傅立叶变换后的图像区域中随机选择像素点嵌入水印 ,保证了水印嵌入位置的不重复和不可侦测性。在水印提... 在水印嵌入的过程中 ,首先在原图像经过对数极坐标变换后的图像中寻找水印嵌入的特定区域 ,并在该特定区域所映射的原图像经过离散傅立叶变换后的图像区域中随机选择像素点嵌入水印 ,保证了水印嵌入位置的不重复和不可侦测性。在水印提取的过程中 ,提出了获得图像旋转角度与缩放比例的方法 ,简化了水印的提取过程。实验证明 ,将对数极坐标变换和离散傅离叶变换结合后 。 展开更多

关键词 几何攻击 对数极坐标变换 离散傅立叶变换 数字水印

在线阅读 下载PDF 职称材料

Web服务器攻击日志分析研究 被引量：5

7

作者 邓诗琪 刘晓明 +1 位作者 武旭东 雷敏 《信息网络安全》 2016年第6期56-61,共6页

互联网技术的飞速发展改变了人们的生活方式,其中电子商务是近年来应用最为广泛的互联网应用之一。越来越多的Web服务器部署在互联网上向外提供服务,因此针对电子商务Web服务器的攻击不断增加。OWASP组织每年都公布Web应用程序遭受到的... 互联网技术的飞速发展改变了人们的生活方式,其中电子商务是近年来应用最为广泛的互联网应用之一。越来越多的Web服务器部署在互联网上向外提供服务,因此针对电子商务Web服务器的攻击不断增加。OWASP组织每年都公布Web应用程序遭受到的最多的10种攻击技术,其中攻击危害性较大的有SQL注入、XSS攻击和DDo S攻击等。这些攻击一方面使得电子商务服务器无法向外提供服务,另一方面还可能造成电子商务服务器中数据和用户个人隐私的泄露,因此电子商务服务器的安全防护是Web服务器安全运维最为重要的一个环节。通过对Web服务器日志的分析研究可以对网站的攻击事件进行检测,进而掌握Web服务器被攻击的来源和原因等,提高Web服务器的安全防护能力。文章通过对Web服务器攻击日志进行分析,将Web服务器日志进行分类,通过将日志记录中各个字段值与具有攻击特征的模式进行匹配,并对模式匹配后的日志进行分析,发现常见的攻击类型和攻击源等信息,并以图形化的形式展示,以此提高网站服务器的安全运维能力。 展开更多

关键词 WEB服务器 攻击日志 日志分析

在线阅读 下载PDF 职称材料

防内部攻击的文件监测技术 被引量：1

8

作者 陆军 刘大昕 丁大勇 《计算机应用与软件》 CSCD 北大核心 2006年第6期38-39,共2页

总结了文件变化监测方法,提出了采用附加日志防范内部攻击的日志相互守护法,监测日志和附加日志的相互守护能够检测来自内部的高技术攻击者的恶意攻击,相对多级日志方法更节省资源、系统开销更少、更高效。

关键词 信息泄漏 资源滥用 内部攻击 曰志分析 文件监测

在线阅读 下载PDF 职称材料

基于可疑队列的多源攻击图入侵检测方法 被引量：4

9

作者 顾兆军 何波 《计算机工程与设计》 北大核心 2017年第6期1408-1413,1463,共7页

现在大部分针对IDS警告的因果关联分析、攻击图等入侵检测方法,在警告有大量误报、漏报时不能够很好地进行攻击场景还原。针对该问题,提出使用来源于多种设备的警告日志进行入侵检测的方法,将多种设备日志进行关联分析,构建包含大量攻... 现在大部分针对IDS警告的因果关联分析、攻击图等入侵检测方法,在警告有大量误报、漏报时不能够很好地进行攻击场景还原。针对该问题,提出使用来源于多种设备的警告日志进行入侵检测的方法,将多种设备日志进行关联分析,构建包含大量攻击场景的攻击图。攻击图中每个攻击场景包含来源于不同设备的警告,每当有新警告产生时,将该警告与攻击图中场景匹配,发现新的攻击过程。实验结果表明,该方法在进行攻击场景还原,尤其是在IDS警告有大量误报、漏报的情况下,攻击场景的还原率明显高于其它同类检测方法。 展开更多

关键词 入侵检测系统 多源警告 警告日志 攻击图 可疑队列

在线阅读 下载PDF 职称材料

系统日志的安全管理方案与分析处理策略 被引量：10

10

作者 赵小敏 侯强 陈庆章 《计算机工程与科学》 CSCD 2003年第3期44-47,共4页

系统中的各类日志文件作为系统和网络用户行为的记录管理者,对及早发现入侵行为、恢复系统、统计系统资源使用状况和为打击计算机犯罪提供电子物证有着极其重要的作用。因此,保护系统日志安全,不被内部用户或外部入侵者修改或删除显得... 系统中的各类日志文件作为系统和网络用户行为的记录管理者,对及早发现入侵行为、恢复系统、统计系统资源使用状况和为打击计算机犯罪提供电子物证有着极其重要的作用。因此,保护系统日志安全,不被内部用户或外部入侵者修改或删除显得尤为重要。但是,我们在制定网络信息安全策略时往往忽视系统日志安全,基本上还没有形成一套比较合理的系统日志安全管理方法。本文讨论了对各类系统日志文件进行集中式统一管理的问题,提出了对日志文件处理分析和完整性加密保护的办法,最后提出了相应的日志管理策略。 展开更多

关键词 系统日志 安全管理 防火墙 入侵检测系统 网络安全 计算机网络 信息安全

在线阅读 下载PDF 职称材料

基于K均值多重主成分分析的App-DDoS检测方法 被引量：13

11

作者 杨宏宇 常媛 《通信学报》 EI CSCD 北大核心 2014年第5期16-24,共9页

针对应用层分布式拒绝服务攻击,利用Web日志的数据挖掘方法提出一种K均值多重主成分分析算法和基于该算法的App-DDoS检测方法。首先,通过分析正常用户和攻击者的访问行为区别,给出提取统计属性特征的方法;其次,根据主成分分析法的数据... 针对应用层分布式拒绝服务攻击,利用Web日志的数据挖掘方法提出一种K均值多重主成分分析算法和基于该算法的App-DDoS检测方法。首先,通过分析正常用户和攻击者的访问行为区别,给出提取统计属性特征的方法;其次,根据主成分分析法的数据降维特性并利用最大距离划分法,提出一种K均值多重主成分分析算法,构建基于该算法的检测模型。最后,采用CTI-DATA数据集及模拟攻击获取的数据集,进行与模糊综合评判、隐半马尔科夫模型、D-S证据理论3种检测方法的App-DDoS攻击检测对比实验,实验结果证明KMPCAA检测算法具有较好的检测性能。 展开更多

关键词 应用层 网络攻击 主成分分析 均值聚类 日志

在线阅读 下载PDF 职称材料

基于IIS日志的Web攻击检测系统设计与实现 被引量：2

12

作者 范春荣 张战勇 董丽娟 《煤炭技术》 CAS 北大核心 2013年第9期202-203,共2页

日志分析对于网站管理员来说是一件非常重要的工作,但对海量的日志进行手工分析费时耗力且效率低。文章介绍基于模式匹配的误用检测技术,并描述如何采用此技术设计、实现一种攻击监测系统,以定时对Web日志进行安全分析,提高网站安全管... 日志分析对于网站管理员来说是一件非常重要的工作,但对海量的日志进行手工分析费时耗力且效率低。文章介绍基于模式匹配的误用检测技术,并描述如何采用此技术设计、实现一种攻击监测系统,以定时对Web日志进行安全分析,提高网站安全管理的效率。 展开更多

关键词 WEB日志 Web应用攻击 模式匹配 DTS

原文传递

Linux下进程安全性解决方案 被引量：1

13

作者 钟声 邱钢 孙红兵 《计算机工程与设计》 CSCD 北大核心 2007年第5期1027-1028,1218,共3页

进程的安全性对操作系统的正常运行至关重要。Linux操作系统中现有的进程安全性检测工具不能对进程进行区分,同时不具有故障恢复功能。提出记录合法进程的相关信息、建立进程“指纹”数据库,实现进程安全性检查以及恢复的方案。当进程... 进程的安全性对操作系统的正常运行至关重要。Linux操作系统中现有的进程安全性检测工具不能对进程进行区分,同时不具有故障恢复功能。提出记录合法进程的相关信息、建立进程“指纹”数据库,实现进程安全性检查以及恢复的方案。当进程被恶意修改和删除后能及时发现和修复,从而切实地保证操作系统的安全。最后就该解决方案采用的安全措施对常见的攻击方法的抗攻击效果进行分析。 展开更多

关键词 进程 过载攻击 索引节点 磁盘镜像 日志 指纹

在线阅读 下载PDF 职称材料

一种基于Storm及Hadoop的海量日志安全分析系统 被引量：1

14

作者 吴晨 《西安邮电大学学报》 2016年第2期119-126,共8页

针对海量日志流安全分析的问题,设计一种海量日志安全分析系统。该系统将开源框架Storm与Hadoop进行整合,通过正则表达联动检测机制和基于FP-Growth算法的离线关联分析来探测日志流中的网络安全事件,实现识别安全事件无需人工干预。实... 针对海量日志流安全分析的问题,设计一种海量日志安全分析系统。该系统将开源框架Storm与Hadoop进行整合,通过正则表达联动检测机制和基于FP-Growth算法的离线关联分析来探测日志流中的网络安全事件,实现识别安全事件无需人工干预。实验结果表明,该系统对各类网络安全事件具有较好的识别效果。 展开更多

关键词 STORM HADOOP 海量日志分析 网络攻击识别 日志流

在线阅读 下载PDF 职称材料

高校网站安全防护方案 被引量：2

15

作者 孙晓林 张新刚 《电脑知识与技术（过刊）》 2014年第5X期3254-3256,3271,共4页

高校网站一直是黑客攻击的重点部位,面对严峻的安全形势,管理部门制定了相应的安全防护方案,采取一定的措施,提高抵御外部攻击的能力。针对我校网站目前存在的问题,提出以下三种方案:使用UrlScan设置一定的规则在IIS之前对URL及请求字... 高校网站一直是黑客攻击的重点部位,面对严峻的安全形势,管理部门制定了相应的安全防护方案,采取一定的措施,提高抵御外部攻击的能力。针对我校网站目前存在的问题,提出以下三种方案:使用UrlScan设置一定的规则在IIS之前对URL及请求字符串进行过滤、自主研发服务器管理器对网站文件夹的关键操作进行监控、利用IIS日志对入侵事件追踪,加强对网站的安全防护,减少因攻击而产生的损失。 展开更多

关键词 网站 安全 攻击 防护 IIS日志 监控 过滤

在线阅读 下载PDF 职称材料

分布式网络系统日志的安全性研究 被引量：2

16

作者 黄文 文春生 欧红星 《零陵学院学报》 2004年第3期66-68,共3页

日志文件分析是系统安全检测的重要内容;同时日志文件也是计算机取证的重要依据;本文针对分布式网络日志文件的安全性隐患,从几个关键问题着手,提出了分布式网络日志文件自身的安全管理模型并给出了具体的实现方案。

关键词 日志文件 入侵攻击 安全策略 网络取证 加密 压缩

在线阅读 下载PDF 职称材料

针对DoS攻击的IP跟踪技术研究 被引量：5

17

作者 王乃卫 郑慧英 《信息安全与通信保密》 2012年第1期103-105,共3页

IP追踪技术是检测和防御分布式拒绝服务攻击的重要手段,它的主要目的是想办法追踪到攻击数据包的源地址,弥补IP协议的不足。成熟的IP追踪技术可以有效抑制DDoS攻击的发生,对网络故障的诊断和减少数据包欺骗将有很大的帮助。文中对当前... IP追踪技术是检测和防御分布式拒绝服务攻击的重要手段,它的主要目的是想办法追踪到攻击数据包的源地址,弥补IP协议的不足。成熟的IP追踪技术可以有效抑制DDoS攻击的发生,对网络故障的诊断和减少数据包欺骗将有很大的帮助。文中对当前现有的IP追踪和攻击源定位技术作了系统的分类,分别对它们作了全面的分析并比较了相互之间的异同及优缺点。同时,针对当前的IP追踪和攻击源定位技术现状,讨论了其未来的发展趋势。 展开更多

关键词 DOS攻击 IP追踪技术 包标记 包记录

原文传递

基于数据挖掘的Web服务器攻击检测 被引量：1

18

作者 吴淼 沈寒辉 《信息安全与通信保密》 2009年第12期104-106,共3页

随着Web技术的飞速发展,越来越多的单位使用Web方式为用户提供服务,黑客的矛头也逐渐转向了Web服务器。文中研究了如何使用数据挖掘的方法对Web服务器日志进行安全性分析,从而快速发现攻击,并针对Web服务器日志特有的格式,对现有的基于... 随着Web技术的飞速发展,越来越多的单位使用Web方式为用户提供服务,黑客的矛头也逐渐转向了Web服务器。文中研究了如何使用数据挖掘的方法对Web服务器日志进行安全性分析,从而快速发现攻击,并针对Web服务器日志特有的格式,对现有的基于相似系数的异常点检测算法进行了改进,使其符合研究的要求,同时构建了两个安全性分析的数据挖掘模型。通过对现有Web日志记录的挖掘,验证了所述方法的可行性。 展开更多

关键词 WEB日志挖掘 WEB安全 攻击检测

原文传递

Web服务器攻击信息的查找与分析

19

作者 姚恺荣 《电脑知识与技术（过刊）》 2010年第17期4640-4641,共2页

查看Web服务器logging是有效防止攻击和入侵的一种基本方法。该文主要阐述如何通过Web服务器logging,在众多信息里查找、分析攻击和入侵的痕迹,并给出具体实例。

关键词 WEB服务器 logGING 攻击

在线阅读 下载PDF 职称材料

StirMark在水印鲁棒性分析中应用

20

作者 李林静 郑月斋 《电脑知识与技术》 2015年第3期256-260,共5页

该文以在StirMark中对含水印图像实施JPEG压缩攻击为例，探讨StirMark在水印方案鲁棒性分析中应用。为了验证StirMark的性能，该文以基于DwT-SVD的图像盲水印算法作为实例，对给定的水印图像通过StirMark生成各种攻击修改图像，最后以J... 该文以在StirMark中对含水印图像实施JPEG压缩攻击为例，探讨StirMark在水印方案鲁棒性分析中应用。为了验证StirMark的性能，该文以基于DwT-SVD的图像盲水印算法作为实例，对给定的水印图像通过StirMark生成各种攻击修改图像，最后以JPEG压缩攻击为例，详细地分析了利用StirMark批量生成不同质量因子压缩下的修改图像，在水印检测时，相互关联的文件名为我们一次性执行水印提取和检测水印DCT相关系数奠定了基础，与通过代码生成批量攻击文件相比，StirMark基准测试程序具有较高的效能，同时从日志文件获得水印算法执行时间和鲁棒性量化值，对评测水印算法的性能，改进水印算法提供了有力的依据。 展开更多

关键词 StirMark 鲁棒性分析 JPEG压缩攻击 评测水印算法 日志文件

在线阅读 下载PDF 职称材料