基于分流技术的高速网络入侵检测系统设计

针对网络入侵检测系统因自身性能缘故在高速网络上难以有效地进行实时入侵检测,设计了一种基于动态流量负载均衡的分流式入侵检测系统模型,模型中的数据分流器将捕获的网络数据包在数据链路层转发至多个探测机进行处理,并通过动态负载均衡分流算法实现数据的均衡分流.该设计方法能够充分利用系统的计算资源,具有良好的扩展性、动态流量均衡性和检测性能.实验结果表明,通过分流器分流到各个探测器的数据包个数基本上能平均分配,系统的检测分析能力随探测机数量的增加而明显增强.     

利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。     

高速网络下入侵检测系统设计

高速网络下如何进行入侵检测分析是当前网络安全研究的一个重要方向,该文基于动态负载和系统底层设计,通过嵌入底层内核代码,动态分发检测数据流,进行高速检测。该设计方法能够直接融入现有的分布式入侵检测系统或产品中,并且具有动态可扩展性、对入侵检测系统透明等优点。实测分析表明该方法能够在高速网中进行有效测试。     

基于动态负载均衡的分层式高速网络入侵检测模型

设计了一种新颖的适用于高速网络的分层式动态负载均衡入侵检测系统模型及相应的动态流量均衡算法。该模型采用两级分流结构,由均衡代理与探测器根据均衡算法配合完成流量的动态均衡分配;动态均衡算法通过对数据包的特征域做敞列运算,将其映射到某个探测器的接收区间内．并根据探测器的负载情况调节接收区间的宽度,合理分配各个探测器上的流量。性能分析和实验结果表明,该模型能够充分利用系统的计算资源,具有良好的动态流量均衡性能及高度的可扩展性,在高带宽环境中有较高的效率。     

面向并行入侵检测的主动式负载均衡算法

针对网络流量中有些流数目少但其所占的流量比重很大,以及高速网络流量存在极强的突发性,本文提出了一种基于缓冲区队列管理的主动式入侵检测负载均衡（ALBIDS）算法。该算法由静态HASH分流与动态调整两部分组成,模拟实验表明：在真实网络流量trace下,与静态HASH算法和最小队列长度动态调整负载均衡算法相比较,本算法负载均衡度好、流破坏率小、丢包率小,具有很高的应用价值。     

高速网络下基于负载均衡的入侵检测系统研究

高速网络环境下的入侵检测是一个新的研究方向.针对该技术研究了基于负载均衡技术的入侵检测系统并建立了系统模型,在该模型的基础上对负载均衡器进行了改进.其中使用了负载均衡算法中的最快响应法和加权法相结合的方法对高速网络中的数据进行处理,这样的改进优化了处理结果,提高了高速网络环境下入侵检测的准确性和有效性.     

多Agent负载均衡在入侵检测系统中的应用

针对在高速网络环境中实现入侵检测系统的动态负载均衡问题,提出一种基于多Agent的负载识别和基于改进遗传算法的动态负载均衡策略,实现入侵检测系统中的智能负载均衡,给出相应的系统模型,并以实验结果证明其有效性。     

面向3G核心网入侵检测的数据分流方法

本文针对入侵检测系统并行处理前数据报文按用户进行分流的要求,提出一种基于用户终端IP的用户数据分流方法:首先判断报文的上下行状态,然后根据结果识别用户数据中携带的终端IP地址,最后按照用户终端IP进行数据分流。实验结果表明,该数据分流方法能够满足数据流完整和负载均衡的要求,将属于同一用户的所有数据报文都准确完整地分流到同一个入侵检测系统中。     

多核平台入侵检测系统负载均衡算法设计与实现*

负载均衡是基于多核平台实现高速入侵检测系统的关键技术之一。基于真实流量统计分析发现的流阈值与流数目、流字节数之间变化的规律,提出只调整较大流的动态分流算法HCLF,并实现了原型系统。实验测试表明,与静态哈希算法和新流调整算法相比,HCLF算法在负载均衡度、系统丢包率方面具有显著的优越性,改善了多核平台高速入侵检测系统对突发流量和应用环境的适应性。     

基于网络流量特性分析的高速入侵检测分流算法*

通过分析高速网络流量的宏流特性和Hash突发性,提出了基于自适应宏流的HASLF分流算法。模拟验证表明该算法具有流破坏率低、负载均衡度小、丢包率极小的特点,符合高速入侵检测的分流要求,具有较高的应用价值。     

高速网络环境下的快速包捕获技术

随着计算机网络技术的快速发展,链路层以下的数据传输能力有了极大提高,与此同时,对高速网络监管的需求向快速包捕获技术提出了新的更高的要求。本文探讨了以libpcap为基础的几种快速包捕获技术——改善内存管理在包捕获中的作用、包捕获中的半轮询机制的NAPI技术。     

Windows平台通用个人防火墙的分析与设计

定义个人防火墙系统应具备的主要功能,其核心技术是网络数据包的过滤。给出Windows系统网络协议分层体系结构,在对OSI参考模型和Windows网络体系结构对比分析的基础上给出实现包过滤的不同技术路线。对各技术路线进行评估,选择SPI作为实现方案,给出使用SPI进行包过滤的技术要点,个人防火墙系统的运行表明其具有较快的包过滤处理性能。     

高速入侵检测研究

高速入侵检测是当前网络安全领域研究的热点之一,分析了高速环境下入侵检测面临的主要问题和各种制约因素,并对高速入侵检测的进行了多方面地研究,分析和介绍了零拷贝技术、快速匹配算法.分析指出基于分流的分布式入侵检测是高速检测的发展方向.最后给出高速入侵检测后续有待研究和解决的问题.     

利用Winsock编程捕获局域网上所有IP包

在高速网络中捕获所有IP包面临如何快速处理数据包和减少丢包的问题。提出通过建立链表来实现对捕获数据包的批量处理，以减少系统创建线程的开销。同时通过创建线程可以使数据包的分析处理和数据包的捕获并行进行，可减少在处理包数据时可能出现的丢包。在捕获过程中增加了对丢包的统计，可以给出丢包车。同时在创建线程不成功时，通过一个较少延时的重复尝试以尽量减少丢包数。这种方法在100Mbps的局域网中，丢包率可控制在5％之内。     

Linux下内核空间以太网包的捕获设计

在Linux下通常的网络数据包捕获通过Libpcab函数框架实现,该体系下实现的包捕获存在着一些缺陷。探讨了netfilter框架在Linux内核中的实现,并利用netfilter框架进行以太网数据包的捕捉接收,经处理后实现数据包的重组发送。在内核空间处理网络数据包不仅提高了效率,减少了数据从内核空间传递到用户空间消耗的资源,而且可以截获网络上所有的以太网报文,对网络数据进行过滤和处理     

VANET中一种基于概率转发的AODV路由协议

泛洪被作为实现广播通信的最简单的技术,广泛应用于车联网VANET(vehicular Ad Hoc network)路由.然而,由于VANET中节点的快速移动以及网络拓扑动态变化,简单的泛洪容易导致大量的冗余数据包,并引发广播风暴.为此,以典型的按需式距离矢量路由协议AODV (Ad Hoc on-demand distance vector)为基础,提出基于概率转发的AODV路由协议,记为AODV_P.AODV_P协议利用概率转发机制替代AODV中的泛洪.节点利用距离、密度信息计算转发概率,并依据转发概率设置计时器.计时器时间越短,成为下一跳转发节点的可能性越大.仿真结果表明,提出的AODV_P能够有效降低冗余数据包,缓解广播风暴问题.与AODV协议相比,AODV_P在传输时延、数据包传输率方面得到了有效提高.     

Deep packet inspection using parallel bloom filters

There is a class of packet processing applications that inspect packets deeper than the protocol headers to analyze content. For instance, network security applications must drop packets containing certain malicious Internet worms or computer viruses carried in a packet payload. Content forwarding applications look at the hypertext transport protocol headers and distribute the requests among the servers for load balancing. Packet inspection applications, when deployed at router ports, must operate at wire speeds. With networking speeds doubling every year, it is becoming increasingly difficult for software-based packet monitors to keep up with the line rates. We describe a hardware-based technique using Bloom filters, which can detect strings in streaming data without degrading network throughput. A Bloom filter is a data structure that stores a set of signatures compactly by computing multiple hash functions on each member of the set. This technique queries a database of strings to check for the membership of a particular string. The answer to this query can be false positive but never a false negative. An important property of this data structure is that the computation time involved in performing the query is independent of the number of strings in the database provided the memory used by the data structure scales linearly with the number of strings stored in it. Furthermore, the amount of storage required by the Bloom filter for each string is independent of its length.     

在IP包过滤中状态TCP包的过滤研究与设计

IP包过滤防火墙是构造整体网络安全系统的必不可少的部分。传统的IP包过滤防火墙有许多的缺陷,解决方法之一是使防火墙具有状态过滤能力。以TCP为例,状态过滤机制不仅能根据ACK标志和源、目的地址及端口号进行过滤,还能根据TCP包里的序列号和窗口大小来决定对该包的操作。这样可以防止一些利用TCP滑动窗口机制的攻击。在IP包过滤里加入状态过滤机制不仅能阻止更多的恶意包通过,还能提高IP包过滤的过滤速率(这对防火墙来说是很重要的)。