入侵检测关键技术研究与实现

目前的网络入侵检测系统(NIDS)主要存在误报,漏报率高、自身的性能难以适应迅速增长的网络流量的需要等缺点,论文以提高检测的速度和准确率为目的对网络入侵检测简单模型进行分析,针对其三个关键处理点提出了高速网络数据处理技术、高准确度的检测技术、高速模式匹配技术,并在文章最后展望了入侵检测将来可能使用的一些关键技术。论文所讨论的关键技术得到了比较好的运用,并建立了完善的原型系统。     

入侵检测中的自适应模式匹配技术

模式匹配既是网络入侵检测系统（NIDS）的核心技术,也是NIDS中消耗资源最多的部分,并正在成为NIDS的性能瓶颈。现有的模式匹配算法大多采用静态定义的优化策略,没有考虑网络流量和入侵检测规则的特性。该文提出一种自适应的模式匹配算法AMPM,动态统计网络流量和规则组的特性,根据统计结果自动选择最合适的模式匹配算法。测试表明,AMPM使现有NIDS的性能提高了9．4％-29．1％,且对于大规则集具有更好的适应性。     

基于NIDS的并行体系结构及算法研究

在高速网络环境中,网络入侵检测需要解决信息量繁多、计算量大、实时高等系列技术问题;分析了高性能计算与网络入侵检测研究背景,概括高性能网络入侵检测技术研究发展状况,然后提出了一个基于并行计算网络入侵检测系统(简称PNIDS),并给出相应的高性能算法,同时,构建了PNIDS实验原型系统,做了有关网络入侵检测实验;其结果表明PNIDS能利用机群计算优点,降低NIDS漏警率。     

基于Intel IXP2400的网络入侵检测系统实现

网络入侵检测系统（NIDS）是安全防范机制的重要组成部分。当前,对入侵检测的理论研究取得了多方面的成果,提出了专家系统,神经网络,数据挖掘,移动代理等等检测方法。但在实际应用中仍然局限于异常检测和误用检测,实际入侵检测的难点主要在于检测的效率,即误报和漏报问题。该问题可以通过软件硬化来解决。阐述了实现一种基于Intel网络处理器IXP2400的网络入侵检测系统。重点讨论了入侵检测分析引擎的模式匹配算法和网络处理器各线程间数据的通信问题。实验表明该系统能在保证检测效率的同时,减少误报和漏报,对保证当前高速企业网络安全有一定的实用性。     

NIDS突破局限

网络入侵检测系统(NIDS)由于可以通过检查网络流量,对通过的数据包进行分析,检测异常、识别威胁,所以成为了企业网络安全的坚强后盾。同时 NIDS 也具有其他产品所没有的一些优点,比如它不需要改变服务器配置,不需要在业务系统的主机中安装额外的软件,从而不会影响这些机器的资源,不会影响业务系统的性能等。另外,NIDS 不是系统中的关键路径,即便发生故障也不会影响正常业务的运行。在成本方面部署一个网络入侵检测     

入侵检测中一种节约内存的多模式匹配算法

模式匹配既是网络入侵检测系统（NIDS）的关键,也是NIDS中消耗资源最多的部分。随着网络速度和入侵检测规则的持续增长,模式匹配正在成为NIDS的性能瓶颈。提出了一种基于非确定有限自动机结构的Aho-Corasick算法,通过压缩状态表,把状态和状态变迁存储在一个单一向量中,显著降低了内存需求,获得了良好的cache性能。测试表明,与其他Aho-Corasick 算法相比,MEAC的内存消耗平均减少了92.3%~98.4%,同时保持了Aho-Corasick算法的良好性能。     

基于网络的入侵检测方法研究

综述了基于网络的入侵检测系统(NetworkBasedIntrusionDetectionSystem,NIDS)研究方面的一些最新的工作,分析了NIDS的体系结构、NIDS的典型技术,并着重论述了大型网络入侵检测所面临的问题,包括NIDS体系结构的可扩展性、基于知识的NIDS、NIDS的海量数据处理技术及其进一步的研究方向。     

改进BP算法在入侵检测系统中的应用

提出一种改进的BP算法,该算法中学习速率 不是凭经验给出的固定值,而是在学习过程中计算出的最优值αk。实验结果表明,与传统的BP算法相比,该算法可以减少学习时间,提高学习速度和网络入侵检测系统(NIDS)的检测率,可以解决当前NIDS普遍存在的虚警率过高问题。     

一种NIDS检测能力的测评方法

由于网络入侵检测系统(NIDS)固有的特点,很难从各个NIDS产品厂家宣传的检测"率来评价不同NIDS的检测能力。本文先介绍了网络入侵检测系统检测能力的测评指标,然后建立了一个采用模拟数据的简单的测评方案,并简要介绍了模拟数据的获取方法。该方案简单,易于实施,通过该方案测评的NIDS的检测能力具有可比性、公正性、客观性。     

入侵检测系统中的快速多模式匹配算法

网络入侵检测系统常常依赖于精确的模式匹配技术，依赖于算法的选择、实现以及使用频率。这种模式匹配技术可能成为入侵检测系统的瓶颈，为了跟上快速增长的网络速度和网络流量，Snort(开放源代码的网络入侵检测系统)中采用了快速多模式匹配算法，本文描述了Snort中一种引入注目的快速多模式匹配算法及其对系统性能的改进。     

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统（NIDS）的处理速度无法跟上网络通讯及其数量的增长速度，提出了基于Netfilter的分布式NIDS系统和负载均衡算法，在Netfilter上实现了数据包的分流，使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明，分布式NIDS中每个NIDS的负载基本相等，漏检率减少到了单个NIDS的1/4。     

基于子字并行的串行图像处理算法表示方法

多媒体应用程序的一个最突出的特点就是其内在的并行性,要求同时对多个数据单元进行相同的规则操作,这种并行性被称为子字并行。如何让编译器产生有效的并行代码,如何从普通的串行C程序中识别出子字并行指令,是一个前沿性的研究课题。提出了一种用于实现对串行源代码进行显式表示的方法,该方法对数字信号处理领域常用的同步数据流图方法进行改进,结合模式匹配技术,着眼于内层循环,通过扩展规范的模式库,对带模式识别的数据流、控制流进行分析,能够从串行应用程序中自动地提取其固有的子字并行,得到显式的并行化中间表示,基于这种数据流图表示,采用改进的树模式匹配实现子字并行指令选择和代码生成。实验测试表明了该方法的有效性。     

Implementation of Network Intrusion Detection System Based on Density-based Outliers Mining

The paper puts forward a new method of densitybased anomaly data mining, the method is used to design the engine of network intrusion detection system (NIDS), thus a new NIDS is constructed based on the engine. The NIDS can find new unknown intrusion behaviors, which are used to updated the intrusion rule-base, based on which intrusion detections can be carried out online by the BM pattern match algorithm. Finally all modules of the NIDS are described by formalized language.     

基于密度的异常挖掘智能网络入侵检测系统设计与实现

论文提出了基于密度的异常挖掘新方法,并将其应用于入侵检测系统引擎设计中,构建了相应的网络入侵检测系统。该系统通过挖掘异常数据的高效性,可及时发现新的未知入侵行为,用以更新入侵规则库。基于该规则库,系统采用BM模式匹配算法进行实时入侵检测。论文运用形式化语言对入侵检测系统各子模块进行结构化分析与描述。     

Implementation of Network Intrusion Detection System Based on Density-based Outliers Mining

1 Introduction There are m any kinds of network intrusion detec- tion techniques,but which can be divided into two cata- logs generally: one is rule-based, and the other is anom aly-based. The form er is one which detects intru- sion behaviors according t…     

分布式入侵检测系统中自保护代理的系统设计

采用分布式结构的基于网络的入侵检测系统(NIDS)自身的安全性已经成为一个重要问题。在分析了已有NIDS的技术特点的基础上，根据其特性引入了报文过滤、进程控制、报文确认和安全通信的思想，提出了面向NIDS的向保护代理(Sclf-protcction Agent)的模型，并给出了SPA的体系结构与详细设计。在与已有的基于代理的入侵检测系统结合后，SPA可以提高NIDS的安全性。     

基于GPU的高速网络入侵检测系统设计

随着网络带宽的不断增加,以及处理能力的限制,传统的网络入侵检测系统（Network Intrusion Detecting System,NIDS）面临挑战,如何提高NIDS的处理能力备受关注。通过专用设备提高检测速度,不但价格昂贵且无法大规模普及。通过对Linux网络协议栈的优化,以及常用入侵检测系统Snort的多线程化,结合了图形处理器（Graphic Processing Unit,GPU）的高性能并行计算能力,设计了一种高性能的软件入侵检测架构,突破现有NIDS使用普通CPU的计算瓶颈,以应对高速链路对入侵检测性能的要求。实验结果表明,高速网络中的数据包可以采用GPU来处理。     

抗IP分片逃避技术的设计与实现

通过对目前NIDS的检测技术、IP分片形成以及重组机制的分析,发现常用的NIDS的检测方法不能很好地检测包含在IP分片中的攻击特征,这是由于不同的系统对于分片的处理策略是不同的,不能根据NIDS的处理结果推断终端主机的处理结果,从而包含攻击特征的IP分片可以轻松地逃避NIDS的检测。为此,提出了一种针对于抵抗IP分片攻击的方法,通过在NIDS的前端串行地加入一个流量预处理引擎TPE,对IP分片进行预定的规则处理。实验结果表明,此种方法能够有效地抵御90%以上的IP分片攻击。     

结合遗传算法的NIDS多媒体包多线程择危模型

当网络流量超出网络入侵检测系统（NIDS）负载能力时,漏检将不可避免,此时应选择较危险的数据包优先处理。因多媒体数据包在流量中所占比例较大,故曾提出对其识别和特殊处理的方法,收效良好。在此基础上,提出结合遗传算法的NIDS多媒体包多线程择危模型,该模型能在漏检发生时,根据不同线程的最大处理能力,按照多媒体数据包的危险程度择危优先处理。实验结果表明,使用该模型能够有效提高NIDS在每个线程内所选择的多媒体数据包序列的危险系数。     

一种可扩展的高效入侵监测平台技术

为了在更高带宽的网络中进行有效的入侵检测分析,研究了入侵检测中的数据获取技术,提出了一种可扩展的高效入侵监测框架SEIMA(scalable efficient intrusion monitoring architecture).在SEIMA结构模型中,通过将高效网络流量负载分割器与多个并行工作的入侵检测传感器相结合,从而可以将入侵检测扩展应用到更高的网络带宽中;通过使用高效地址翻译技术和缓冲区管理机制实现了旁路操作系统的高性能用户级网络报文传输模型,以便提高单传感器的报文处理性能;通过采用有限自动机的方法构建了基于用户层的多规则报文过滤器以消除多余数据包的处理开销.模拟环境和实际环境下的测试结果表明,SEIMA在提高网络入侵检测系统数据获取效率的同时,能够降低系统CPU的利用率,从而可以将更多的系统资源用于更复杂的数据分析过程.