NIPS检测引擎的实现

网络入侵防御系统(NIPS)是在网络入侵检测系统(NIDS)的基础上发展而来的,它不但具有NIDS强大的基于数据包的入侵检测功能,还具有主动、智能的防御功能。当前,快速增长的网络速度和网络流量以及不断公布的网络安全漏洞,都对NIPS提出了更高的要求,本文主要探讨了这些要求以及NIPS中检测引擎的实现。     

基于网络事件和深度协议分析的入侵检测研究

针对制约NIDS(基于网络的入侵检测系统)的问题,提出了基于网络事件和深度协议分析的入侵检测模型MIDM,实现了对入侵的分析与综合。扩展了ABNF范式形式化定义网络事件,基于所提出模型重新实现了入侵检测系统。实验证明与当前主流NIDS相比,新模型有效降低了误检率和特征库冗余;具有随网络流量和特征库快速增长,而CPU占用率维持低水平增长的特性,能更好地适应高速网络环境;同时还具有一定的特征泛化和检测未知入侵的能力。     

基于Agent的网络入侵检测系统

在网络流量不断增大的情况下,网络入侵检测系统(NIDS)会产生丢包问题.针对这个问题,论文设计了一种基于Agent的NIDS.该系统根据网络流量的大小,可以动态的调整系统中检测Agent的数目,以起到分担网络流量同时又不过多消耗系统资源的作用.实验结果表明,在系统中检测Agent的数目大于1的情况下,各检测Agent分担了整个网络的流量,在一定程度上解决了NIDS的丢包问题.     

湖南西风网络安全产品介绍

“东方网警”入侵检测系统 “东方网警“入侵检测系统具有良好的分布性能和扩展性。该系统将基于网络(NIDS)和基于主机(HIDS)的入侵检测方法有机地结合在一起,提供集成化的检测、报告和响应功能,另外,系统还能与防火墙互动,共同构建动态安全防护体系,确保用户的网络安全。     

基于Honeypot的网络入侵行为捕获

NIDS在检测网络入侵行为时面临的难题是错报、漏报和数据整合,Honeypot很好地解决了这几个问题,是NIDS的有益补充。论文分析探讨了基于Honeypot的网络入侵行为检测、捕获、预警的相关技术,在此基础上给出一个基于Honeypot的网络入侵行为捕获模型。实验证明了这个模型在捕获网络入侵行为过程中的有效性和适用性。     

基于多层模式匹配技术的高速以太网NIDS实现方案

目前多数基于网络的入侵检测系统(NIDS)无法适用于对高速以太网链路的实时流量分析和入侵检测任务.本文在传统模式匹配方法的基础上,引入了基于协议分析的多层模式匹配概念:采用FPGA硬件逻辑对长度和偏移量相对固定的数据包包首部分进行模式匹配;采用核心态软件逻辑对长度和偏移量变化的数据包负载部分进行模式匹配.新的模式匹配技术有效提高了NIDS的整体性能.最后,本文给出了一种基于多层模式匹配的高速以太网NIDS实现方案.并对FPGA硬件逻辑和核心态软件逻辑采用的检测策略进行了详细说明.     

联想网御入侵检测系统通过评测

近日,赛迪评测对联想新推出的网御入侵检测系统进行了全面的产品评测。联想网御入侵检测系统是基于网络的入侵检测及响应系统(NIDS)。其采用分布式入侵检测系统构架,综合使用模式匹配、异常分析、状态协议分析、行为分析、内容恢复、网络审计等入侵分析技术,全面监视网络的通信状态,实时捕获入侵、误用、滥用等违反网络安全策略的行为,并针对可疑的入侵行为,依据策略做出主动反应、及时告警及事件日志记录,最大限度保障网络系统安全。经赛迪评测全面评估,联想网御入侵检测系统属于一款优秀的入侵检测系统。(吕莉,摘自《通信产业报》)联想…     

入侵检测产品的发展趋势

入侵检测产品发展现状入侵检测系统(Intrusion DetectSystem),目前基本上分为以下两种:主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用得较为广泛。本文就目前使用广泛的网络入侵监测系统进行分析。入侵检测系统目前存在的问题入侵检测…     

基于Linux的网络入侵检测与防火墙集成系统的设计与实现

作为网络安全领域的两大技术，入侵检测系统与防火墙仍然存在一些自身无法解决的问题。在入侵检测系统与Linux内核Netfilter总体框架的基础上，文章提出了集成网络入侵检测系统（NIDS）与防火墙（iptables）系统总体框架．详细介绍了对该框架各模块的初步实现，最后分析了该系统的优缺点。     

Linux下的网络入侵检测系统研究与实现

随着计算机信息技术与网络技术的迅猛发展，信息与网络的安全形势也日趋严峻和复杂化。各种计算机安全事件的不断发生，已使保障信息与网络安全成为世界各国计算机安全人员的共同目标。主要介绍了网络入侵检测系统（NIDS）的设计原理和在Linux操作系统（主要是在RedHat）下，对网络入侵检测系统的设计进行了探讨。     

无线局域网中辅助NIDS的蜜罐的实现

无线网络入侵监测系统(NIDS)还不能应对流量过载和新型攻击的问题,这制约着它的发展.蜜罐使用不同的实现方法可以达到不同的目的.文中主要研究无线局域网中如何利用蜜罐来辅助NIDS设计的问题.文中概述了无线NIDS中存在的安全问题,分析了802.11b中无线NIDS和蜜罐结合的可能性,提出了无线局域网中利用hot zone来辅助NIDS的方案.通过在校园网里部署这一系统,得到了针对客户机和AP的攻击信息,最后人工对整个系统进行测试,证明了这一设计的正确性.     

基于应用的高速网络入侵检测系统研究

传统的网络入侵检测方法基于传输层以下的数据包特性来检测入侵，因此存在一些难以克服的缺点，如易受欺骗（evasion)、误报警（false positive)多、检测效率低等，难以适应高速的网络环境。为了解决这些问题，本文提出将应用协议分析方法应用到网络入侵检测中，实现基于应用的检测，并提出了一个改进的多模式匹配算法，进一步提高检测的效率；同时针对高速网络环境，利用基于数据过滤的压缩技术与负载均衡技术提出了一个新的网络入侵检测系统结构模型，给出了系统的设计与实现方法。实验测试表明系统能够对吉比特以太网进行有效的实时检测。     

Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions

Dependence on the Internet is increasing dramatically. Therefore, many researchers have given great attention to the issue of how to tighten Internet security. This study proposes a new scheme for the distributed intrusion prevention system (DIPS), in which the concept of ‘union’ is presented for satisfying the increasing requirements of Internet security issues. In this proposed design, the network intrusion detection system (NIDS) applies a misuse detection technique to detect well‐known intrusion behavior on the Internet. Meanwhile, for anomaly detection technique, a tool named ‘Scent’ (a network traffic sniffer) is combined with conditional legitimate probability to reveal previously undiscovered intrusion packets that do not match the intrusion signatures in NIDS. Moreover, blocking distributed denial‐of‐service (DDoS) attacks inside the protected allied network is also covered. To increase the detection accuracy, reduction of false positives and false negatives is also accomplished. Experimental results reveal that the suggested network security system scheme is effective and efficient in resolving the intrusion activity problem of real network environments. Copyright © 2011 John Wiley & Sons, Ltd.     

针对Shellcode变形规避的NIDS检测技术

现今,缓冲区溢出攻击仍是网络上最普遍和有效的攻击方式之一,常见于恶意攻击者的手动攻击以及病毒蠕虫的自发攻击。随着NIDS的发展,普通的缓冲区溢出攻击能够用基于Shellcode匹配的手段进行检测。然而,Shellcode变形技术的出现使缓冲区溢出攻击拥有了躲避NIDS检测的能力。论文在NIDS传统检测技术的基础上,详细研究了Shellcode的各种变形手段,提出了针对性的检测技术,并展望了未来的发展方向。     

一种支持SMP的高性能入侵检测通信机制研究

提出并实现了一种适用于宽带网的支持SMP的高性能入侵检测通信协议框架-ULNP(user level network protocol)。该框架通过采用旁路内核协议栈的零拷贝技术实现用户级虚拟网络接口，同时针对入侵检测的特点，优化了用户层的通信协议栈，从而有效地降低了入侵检测系统的通信开销。实验结果表明在本文的试验环境下，相对于传统入侵检测通信框架而言，ULNP的报文处理带宽提高了大约2-7倍，CPU空闲率提高大约1～2倍。     

基于AC自动机匹配算法的入侵检测系统研究

基于特征的网络入侵检测系统性能与其所采用的匹配算法息息相关。本文对当前入侵检测系统中几种典型的匹配算法进行了分析，并指出了这些算法在入侵检测系统应用中存在的不足，同时，给出了完整的基于AC自动机匹配算法的入侵检测系统方案，理论分析和实验结果表明该系统能够实施快速高效的入侵检测。     

识别IDS躲避技术-网络安全策略的关键

随着网络技术的发展、网络规模的扩大 ,针对网络和计算机系统的非法入侵水平的不断提高 ,其入侵手段的自动化水平和隐蔽性也越来越高。对入侵攻击的检测与防范 ,保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。单纯引入某些设备已不能满足当今网络安全的需要。为此本文以网络入侵检测系统为例 ,讨论了一些常用的IDS躲避技术 ,以及如何识破这些技术 ,制定更加细致的安全策略 ,以构造出更加强壮的防护体系     

基于多核网络处理器平台的网络入侵检测系统方案研究

网络入侵检测是网络安全研究领域的重要方向之一。本文全面分析了网络入侵检测系统的实现技术,结合Cavium公司的多核网络处理器的架构特点及其混合操作系统的特性,提出了基于多核网络处理器的网络入侵检测系统方案,确保了系统吞吐能力、扩展性分析。