龚俭
- 作品数:244 被引量:1,359H指数:20
- 供职机构:东南大学更多>>
- 发文基金:国家重点基础研究发展计划国家自然科学基金国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术电子电信经济管理文化科学更多>>
- 高速IDS系统中读写缓冲区的互斥机制被引量:2
- 2003年
- 在网络入侵检测系统中,通常需要在内存中开辟缓冲区对网络报文进行采集和分析,但是传统的读写缓冲区的互斥机制在高速网络环境中的效率都不甚理想,无法满足对高速IDS系统的性能需求。该文提出的一种基于并发锁机制的双缓冲区互斥机制可以改善传统锁机制的资源利用率,很好地解决了报文到达流和报文处理能力之间的性能瓶颈问题,显著地提高了IDS系统的性能。
- 王晨龚俭廖闻剑
- 关键词:互斥机制锁机制缓冲区管理
- 基于流集合随机抽样的报文测量方法
- 一种基于流集合随机抽样的报文测量方法,将测量时间区间分为若干子区间,为每个子区间分配一个不同的匹配比特串,在每个子区间中采用随机抽样网络流抽样报文,抽样过程中使用该子区间被分配的匹配比特串匹配网络流标识的哈希值,该过程中...
- 程光龚俭强士卿丁伟吴桦
- 文献传递
- 高速网络中入侵检测的抽样方法被引量:11
- 2009年
- 提出了一个面向主干网入侵检测,以内存瓶颈消耗量为测度的动态自适应抽样方法IDSampling。通过分析攻击流量的流长和熵聚类信息特征指导抽样,过滤掉攻击可疑性低的报文,采取"节流"方法解决万兆网络入侵检测存在的性能和精度不平衡问题。在大规模异常发生时采用基于单报文属性熵的单一抽样策略,其他情况下采用带反馈指导的混合抽样策略,试图用尽可能小的检测代价来取得同样的检测效果。实验结果表明①IDSampling可以大幅减低IDS处理输入,同时保证对主干网大规模攻击趋势性信息的检测精度;②相较于随机报文抽样和随机流抽样方法,IDSampling凭借流长、熵聚类信息和后期检测结果等启发式信息的指导,其抽取攻击报文的准确性高于前2种方法,尤其是在大规模、高强度攻击情况下IDSampling抽中攻击报文的数目甚至高于其他2种方法一个数量级。
- 宁卓龚俭顾文杰
- 关键词:入侵检测
- 一种基于时间序列面向预警的警报分析方法被引量:5
- 2007年
- 本文通过对警报数据的观察和分析,提出了一种基于时间序列分析理论适合对大规模网络IDS警报数据进行实时宏观分析的新方法。该方法利用正常情况下每天IDS警报数的自相似性来建立IDS警报数的季节模型,并利用该模型和警报数在宏观上的关系对网络中出现的像DDoS和蠕虫等大规模入侵进行预警。理论分析和实验结果表明,此方法能及时发现网络中的大规模网络入侵并进行预警,并具有比基于网络流量异常的入侵预警方法准确和与IDS集成好的优点。
- 梅海彬龚俭
- 关键词:入侵检测系统网络安全时间序列预警
- 一种比特币挖矿僵尸网络流量的快速识别方法
- 本发明提出了一种比特币挖矿僵尸网络流量的快速识别方法,识别框架分为三个部分,第一部分为模拟环境的构造,具体内容为搜集对应挖矿僵尸网络病毒样本,确定样本所需要的运行环境,在虚拟机上设置病毒样本所需环境,运行病毒样本,获取其...
- 胡晓艳舒卓卓程光吴桦龚俭
- 文献传递
- 网络测量中拓扑信息采集技术的分析与研究被引量:3
- 2007年
- 网络拓扑测量系统,即网络拓扑发现系统,是网络管理中一项非常重要的技术,包括三部分:拓扑信息采集、拓扑图生成、拓扑图显示。首先介绍了网络拓扑测量系统的结构,然后阐述了主要拓扑信息采集方法及其优缺点,并进行分析比较,最后给出结论,对网络管理开发软件人员和网络管理人员具有较好的参考价值。
- 庄锁法龚俭
- 关键词:拓扑信息地址解析协议管理信息库
- 基于协同的安全事件确认
- 为减少IDS检测手段相对单一、误报率过高带来的影响,提出一种基于协同的安全事件确认方法及其模型实现,它能充分利用入侵检测协同框架的综合检测优势,将时/空间关联分析方法及其他安全事件信息有效地融合起来,对安全事件进行多层次...
- 邢苏霄龚俭
- 关键词:入侵响应网络安全入侵检测
- 文献传递
- 网络拓扑发现综述被引量:22
- 2007年
- 网络拓扑发现是网络管理中一项非常重要的技术。文中从概述、主要的网络拓扑信息采集方法、网络拓扑发现算法三个方面对网络拓扑发现进行综述,在此基础上,设计出了一种针对Internet网络的拓扑发现算法和基于园区网的典型拓扑发现算法,对网络管理开发软件人员和网络管理人员具有较好的参考价值。
- 庄锁法龚俭
- 关键词:网络管理拓扑信息网络拓扑发现算法SNMP
- Bloom Filter哈希空间的元素还原被引量:9
- 2006年
- 本文提出使用语义增强的Counting B loom FilterReconstruction(RSECBF)算法来快速还原源串或给出源串的聚类特征.它给每个哈希函数独立的哈希映射空间以消除哈希函数的内部冲突;扩展哈希函数使其不受均匀性限制,使得哈希函数可以带有语义;利用哈希串的重叠和数量一致性来解决同源哈希串拼接成源串的问题,为源串的还原创造了条件.本文针对Pareto分布的哈希函数,为主成分的还原提出了一个简洁的源串还原算法.对于直接选择部分比特的哈希映射而言,如果主成分分析中的RSECBF不能还原出源串,则还原出来的最长串就是源串的聚类特征.仿真及实际检验表明,B loom Filter可以扩展其哈希函数来实现语义增强,RSECBF还原的结果是可信的.本算法可以在异常行为发生的时候挖掘网络行为特征.
- 彭艳兵龚俭刘卫江杨望
- 关键词:COUNTINGBLOOMFILTER异常行为检测
- 基于词素特征的轻量级域名检测算法被引量:29
- 2016年
- 对网络中DNS交互报文进行检测以发现恶意服务,是网络安全监测的一个重要手段,这种检测往往要求系统能够实时或准实时地发现监测域名中的可疑对象.面对庞大的域名集合,若对所有域名使用同样强度的监测通常开销过大.通过挖掘域名字面蕴含的词素(词根、词缀、拼音及缩写)特征,提出一种轻量级检测算法,能够快速锁定可疑域名,以便后续有针对性地进行DPI检测.实验结果表明:基于词素特征的检测算法比统计n元组频率分布的方法虽然略微增加了58.3%的内存开销,但却具备抗逃避能力以及更高的准确率(相对提高35.2%);与基于单词特征的方法相比,极大地降低了计算复杂度(相对降低64.8%),并减少了2.6%的内存开销,而准确率仅下降2.5%.
- 张维维龚俭刘茜刘尚东胡晓艳
- 关键词:词素