李闻
- 作品数:4 被引量:83H指数:4
- 供职机构:中国科学院研究生院信息安全国家重点实验室更多>>
- 发文基金:国家自然科学基金国家重点基础研究发展计划国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于混杂模型的上下文相关主机入侵检测系统被引量:35
- 2009年
- 主机入侵检测的关键是监测进程的运行是否正常.现有的基于静态分析建模的方法具有零虚警的优良特性,但是,由于缺乏精确性或者效率的问题仍然不能实际使用,先前的工作试图在这两者之间寻找平衡点.基于NFA(nondeterministic finite automaton)的方法高效但是不够精确,基于PDA(push down automaton)的方法比较精确但却由于无限的资源消耗而不能应用.其他模型,例如Dyck模型、VPStatic模型和IMA模型使用一些巧妙的方法提高了精确性又不过分降低可用性,但是都回避了静态分析中遇到的间接函数调用/跳转问题.提出一种静态分析-动态绑定的混杂模型(hybrid finite automaton,简称HFA)可以获得更好的精确性并且解决了这一问题.形式化地与典型的上下文相关模型作比较并且证明HFA更为精确,而且HFA更适合应用于动态链接的程序.还给出了基于Linux的原型系统的一些实现细节和实验结果.
- 李闻戴英侠连一峰冯萍慧
- 关键词:入侵检测混杂自动机LINUX
- 基于异常诊断的代码注入攻击自动分析和响应系统被引量:5
- 2008年
- 提出了一种基于进程异常场景分析的代码注入攻击自动分析和响应系统.该系统根据进程异常场景自动分析攻击载荷句法,并生成面向漏洞的攻击特征,由该攻击特征,可以识别和阻断基于同一未知漏洞同种利用方式的各种代码注入攻击的变形.通过在生成攻击特征以及响应攻击的过程中结合网络协议和进程的状态,可以在不升高检测漏警概率的前提下显著地降低响应虚警概率和系统对外服务的响应时间.另外,还简要介绍了基于Linux和Windows 2000的原型系统,并给出了功能和性能的实验结果.
- 李闻戴英侠连一峰冯萍慧鲍旭华
- 关键词:自动机
- 一种基于路由器矢量边采样的IP追踪技术被引量:14
- 2007年
- 提出了一种新型的边采样方法"路由器矢量边采样"(RVES),使得概率包标记(probability packet marking,简称PPM)设备容易实现和部署.在图论模型上,RVES以网络接口替代路由器作为顶点,以路由器"矢量边"替代传统采样边.该方法实施简单,标记概率的策略配置灵活,可以有效解决分布式拒绝服务(router's vector-edge-sampling,简称DDoS)攻击的重构问题.基于传统边采样的PPM相关技术依然适用于RVES方法.原理样机已经研制出并部署在Internet上.实验结果验证了该方法的有效性和可行性.
- 魏军连一峰戴英侠李闻鲍旭华
- 关键词:IP追踪PACKET
- 面向网络系统的脆弱性利用成本估算模型被引量:30
- 2006年
- 提出面向网络系统的脆弱性利用成本估算模型,从安全角度分析网络系统的参数,定位由于网络系统互联所引入的关联脆弱性,基于行为规则关联方法,构建系统状态图,用于表示网络系统的脆弱性状况.在此基础上计算脆弱性利用成本的期望值,即成功利用系统脆弱性达到安全破坏目标所需消耗的成本,以此衡量网络系统的脆弱性程度.
- 冯萍慧连一峰戴英侠李闻张颖君
