河南省科技攻关计划(082102210097)
- 作品数:6 被引量:8H指数:2
- 相关作者:李祥和何耀彬陈迎春孙高超韩卓更多>>
- 相关机构:中国人民解放军信息工程大学解放军信息工程大学中国人民解放军防空兵指挥学院更多>>
- 发文基金:河南省科技攻关计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 针对文件过滤型防御系统的隐藏及检测方法研究
- 2011年
- 目前的主流防御系统均通过在文件访问系统中建立文件过滤驱动来实现。为了在系统的监控下实现文件隐藏及其检测,对文件过滤型防御系统和驱动数据堆栈单元结构进行了分析,通过修改驱动堆栈单元实现了文件隐藏。针对这种隐藏方法,给出了一种直接访问磁盘检测隐藏文件的方法,经调试均获得了较好的效果。
- 何耀彬李祥和陈迎春张勇
- 关键词:文件系统驱动
- 基于改进的SOM入侵检测研究被引量:1
- 2011年
- 自组织特征映射是一种无监督的神经网络,目前广泛应用于入侵检测中。文章提出了一种基于改进的SOM的入侵检测方法,可更有效的处理包含数值型和字符型的输入向量,优化了训练中的权值调整策略。最后,使用KDD Cup 99数据集进行实验,结果表明改进的SOM算法检测率较高。
- 谭玉琴李祥和陈迎春
- 关键词:自组织特征映射入侵检测系统聚类
- 针对改进型Rootkit的检测系统设计
- 2011年
- 为了有效的检测改进型Rootkit,设计了一种基于优先启动的行为分析检测系统。该系统采用了基于权值系数的智能化行为分析技术,并采用优先启动技术弥补了行为分析技术中探针部署容易受到影响的缺陷。另外,系统在执行路径和总线上阻止Rootkit的非常规加载;设计了报表生成模块以与其它检测软件共享检测信息;采用了文件与进程双重保护以避免Rootkit的破坏。系统对改进型Rootkit具有较好的检测效果,对相关检测软件的设计有较高的参考价值。
- 何耀彬李祥和孙高超
- 一种利用并行计算提高模式匹配性能的方法
- 2011年
- 使用模式匹配进行入侵检测是一种常见的误用检测方法,模式匹配的速度直接影响到入侵检测的性能。对模式匹配常用的改进方法多集中在模式串的比对上,针对基于网络的入侵检测数据源和网络入侵检测规则的特点,提出一种对字符串进行并行计算以提高模式匹配性能的改进方法。实验证明,该方法有效地提高了比对速度。
- 孙高超李祥和何耀彬
- 关键词:入侵检测误用检测并行计算
- 二次跳转的SSDT钩挂及其检测方法研究被引量:3
- 2012年
- 对传统SSDT钩挂(SSDT_Hook)及其检测方法进行了分析,同时分析了一种经过了二次跳转的SSDT钩挂方法。该方法使用了MOV指令跳转到可信任地址空间,再二次跳转到恶意代码中,突破了传统主动防御系统的JMP指令检测法和指令跳转分析法。最后,给出了一种针对该SSDT_Hook的检测方法,重点对传统检测方法中的SSDT寻址方法进行了改进,取得了较好的效果。
- 何耀彬李祥和韩卓
- 基于驱动堆栈单元的文件隐藏方法被引量:4
- 2011年
- 为能在操作系统的驱动级实现新的文件隐藏点,对传统的文件系统过滤驱动原理和驱动数据堆栈单元结构进行分析。通过修改驱动堆栈单元的结构和完成例程,配合修改I/O请求包的传递方法,实现2种驱动级文件隐藏的方法。使用该2种方法的文件可以在系统中实现深度隐藏,使得操作系统无法查询,也不能通过正常途径访问。
- 何耀彬李祥和孙岩
