项目名称: 基于网络流量特征分析的实时安全检测系统

起止时间: 2004.01.01-2005.12.31

项目类型: 宁波市软件产业发展专项资金项目

项目编号: R200336

研究目标:

    随着互联网的飞速发展，网络已经逐步渗入到人们日常工作、学习和生活中的方方面面，同时，网络环境也变得越来越复杂，因此网络安全问题也逐渐成为焦点问题。依靠单纯的防火墙技术来阻止网络入侵已经暴露出明显的不足和弱点，而入侵检测系统（IDS：Intrusion Detection System）可以弥补防火墙的不足， 为网络安全提供实时的入侵检测及采取相应的防护手段。

    目前，入侵检测技术主要分为误用检测和异常检测。本项目的研究将定位于网络异常检测，通过对正常网络流量以及网络攻击流量的特征分析，得到检测网络攻击的数学判据，并结合现有的入侵检测手段和方法，开发出准确、高效、灵活的面向网络的实时安全检测系统，在电子政务、电子商务等领域中得到应用。研究目标图如下图所示。

主要学术内容:

    网络流量实时采集分析技术、基于协议分类的正常网络流量特征建模、网络攻击数据流量的特征建模、网络攻击检测判据。

项目研究成果:

论文 ：

l        Yufeng Chen, Yabo Dong, Dongming Lu, and Zhengtao Xiang.“ Research of Characteristics of Worm Traffic ”. Proc. of Intelligence and Security Informatics, 2004 （ Accepted ） .

软件：

    通过对基于协议分类的正常网络流量特征和网络攻击数据流量特征的分析研究，采用基于网络流量异常检测与基于特征检测的方法，设计和实现了基于网络流量特征分析的实时安全检测原型系统。该系统基于网络流量异常检测技术，可以检测出主机扫描、端口扫描、密码探测、网络蠕虫等网络攻击，还支持常用的误用检测方法。对于检测结果，该系统提供多种报警方式，并提供了方便的存储、查询、统计分析的功能。此外，该系统还支持对检测机的性能监视，以保证检测机的正常运行。

项目研究进展：

l        2004.2?签订项目合同

l        2004.6?研究基于网络流量异常检测技术

l        2004.8?完成基于网络流量特征分析的实时安全检测原型系统的开发

l        2004.10?在宁波市互联网交换中心进行联调测试

l        2004.12?通过项目验收

项目组成员：

浙江大学：董亚波 陈宇峰  石冬雪  鲁丰  邓辉  汪伟

合作单位：

宁波大学信息科学与工程学院：王让定 金光  李均利  陈金儿 赵晓宇 李澄清 孔涛

宁波市互联网协会：陶成波  费建成  赵英