基于网络的入侵检测系统和基于主机的入侵检测系统的比较分析

论述了基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）是现阶段主要构建入侵检测系统的两种方法，并重点比较分析了现存NIDS和HIDS的优缺点，只有NIDS和HIDS结合才是入侵检测发展的趋势。     

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统（NIDS）的处理速度无法跟上网络通讯及其数量的增长速度，提出了基于Netfilter的分布式NIDS系统和负载均衡算法，在Netfilter上实现了数据包的分流，使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明，分布式NIDS中每个NIDS的负载基本相等，漏检率减少到了单个NIDS的1/4。     

NIDS突破局限

网络入侵检测系统(NIDS)由于可以通过检查网络流量,对通过的数据包进行分析,检测异常、识别威胁,所以成为了企业网络安全的坚强后盾。同时 NIDS 也具有其他产品所没有的一些优点,比如它不需要改变服务器配置,不需要在业务系统的主机中安装额外的软件,从而不会影响这些机器的资源,不会影响业务系统的性能等。另外,NIDS 不是系统中的关键路径,即便发生故障也不会影响正常业务的运行。在成本方面部署一个网络入侵检测     

利用机群技术实现高带宽网络环境入侵检测

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题,本文介绍了利用NIDS机群在高速网络环境下实现入侵检测的方法,本文从NIDS机群体系结构的角度出发就利用NIDS机群进行数据分流实现入侵检测的方法及进行了探讨,提出了NIDS机群的框架结构,和适用于NIDS机群的负载均衡策略。     

利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。     

分布式入侵检测系统中自保护代理的系统设计

采用分布式结构的基于网络的入侵检测系统(NIDS)自身的安全性已经成为一个重要问题。在分析了已有NIDS的技术特点的基础上，根据其特性引入了报文过滤、进程控制、报文确认和安全通信的思想，提出了面向NIDS的向保护代理(Sclf-protcction Agent)的模型，并给出了SPA的体系结构与详细设计。在与已有的基于代理的入侵检测系统结合后，SPA可以提高NIDS的安全性。     

入侵检测中的自适应模式匹配技术

模式匹配既是网络入侵检测系统（NIDS）的核心技术,也是NIDS中消耗资源最多的部分,并正在成为NIDS的性能瓶颈。现有的模式匹配算法大多采用静态定义的优化策略,没有考虑网络流量和入侵检测规则的特性。该文提出一种自适应的模式匹配算法AMPM,动态统计网络流量和规则组的特性,根据统计结果自动选择最合适的模式匹配算法。测试表明,AMPM使现有NIDS的性能提高了9．4％-29．1％,且对于大规则集具有更好的适应性。     

一种NIDS检测能力的测评方法

由于网络入侵检测系统(NIDS)固有的特点,很难从各个NIDS产品厂家宣传的检测"率来评价不同NIDS的检测能力。本文先介绍了网络入侵检测系统检测能力的测评指标,然后建立了一个采用模拟数据的简单的测评方案,并简要介绍了模拟数据的获取方法。该方案简单,易于实施,通过该方案测评的NIDS的检测能力具有可比性、公正性、客观性。     

基于GPU的高速网络入侵检测系统设计

随着网络带宽的不断增加,以及处理能力的限制,传统的网络入侵检测系统（Network Intrusion Detecting System,NIDS）面临挑战,如何提高NIDS的处理能力备受关注。通过专用设备提高检测速度,不但价格昂贵且无法大规模普及。通过对Linux网络协议栈的优化,以及常用入侵检测系统Snort的多线程化,结合了图形处理器（Graphic Processing Unit,GPU）的高性能并行计算能力,设计了一种高性能的软件入侵检测架构,突破现有NIDS使用普通CPU的计算瓶颈,以应对高速链路对入侵检测性能的要求。实验结果表明,高速网络中的数据包可以采用GPU来处理。     

基于网络的入侵检测方法研究

综述了基于网络的入侵检测系统(NetworkBasedIntrusionDetectionSystem,NIDS)研究方面的一些最新的工作,分析了NIDS的体系结构、NIDS的典型技术,并着重论述了大型网络入侵检测所面临的问题,包括NIDS体系结构的可扩展性、基于知识的NIDS、NIDS的海量数据处理技术及其进一步的研究方向。     

一种策略分流的入侵防御及恢复系统架构

通过充分利用入侵检测各类产品的安全防护特点,本文设计了一种策略分流的入侵防御及恢复系统架构.采用双NIDS系统作为前端检测模块,通过策略分流,使得双NIDS系统全面覆盖入侵检测的各个协议层,充分发挥两种NIDS系统的检测优势,实现高效的入侵检测.并结合HIDS的主机日志防护机制及关键内容恢复机制,在即便出现入侵破坏数据的情况下,仍可保证系统的关键部位安全.     

入侵检测中一种节约内存的多模式匹配算法

模式匹配既是网络入侵检测系统（NIDS）的关键,也是NIDS中消耗资源最多的部分。随着网络速度和入侵检测规则的持续增长,模式匹配正在成为NIDS的性能瓶颈。提出了一种基于非确定有限自动机结构的Aho-Corasick算法,通过压缩状态表,把状态和状态变迁存储在一个单一向量中,显著降低了内存需求,获得了良好的cache性能。测试表明,与其他Aho-Corasick 算法相比,MEAC的内存消耗平均减少了92.3%~98.4%,同时保持了Aho-Corasick算法的良好性能。     

基于特征检测的分布式网络报警系统

分析当前网络入侵检测系统NIDS的主要思想和实现方法，针对传统NIDS的不足，提出了一种基于特征检测的分布式网络报警系统模型，并且详细地描述了该模型的结构和实现。该模型将规则匹配与案例分析以及集中控制与分布检测相结合，在保证网络安全的基础上，有效地提高了NIDS的动态性和自适应性。     

基于NIDS入侵检测模型的研究和探讨

本文首先介绍入侵检测系统的基本原理，包括检测方法和分析技术，然后给出了一个网络入侵检测具体模型和事例，阐述了NIDS的重要性以及将来发展的趋势。     

入侵检测系统评测研究进展(下)

二、工业界研究介绍 1、NIDSbench—Anzen Computing公司 NIDSbench是一套用于测试网络入侵检测系统（Network Intrusion Detection System,NIDS）性能的工具集。该研究在1999年以前提出,其主要目的是希望能够对NIDS进行有效的评测,并在此基础上将入侵检测评测的方法标准化。图6是实验网络的逻辑拓扑图,整个系统由3个部分组成,分别实现不同的功能。     

基于SOFM和快速最近邻搜索的网络入侵检测系统与攻击分析

近年来越来越多的机器学习算法被应用到入侵检测中．但是在网络入侵检测系统（NIDS）中,随着网络规模和速度的增加,一般机器学习算法难以满足入侵检测系统实时性的要求,这也是困扰机器学习算法在入侵检测领域进一步实用化的主要瓶颈之一．为了增加网络入侵检测系统的可用性和实时性．提出了一种基于自组织特征映射（SOFM）的网络入侵检测系统,并且在此基础上实现了一种面向提高入侵检测效率的快速最近邻搜索算法VENNS,以减少系统训练和系统检测时间开销．在DARPA1999入侵检测评估数据的基础上,进行了系统的综合性能评价和对比分析．实验证明,系统在维持较低误报率的基础上取得较高的检测率;系统效率大大提高：训练时间开销大约达到改进前的1／4,检测时间开销则约达到改进前的1／7．     

一种针对网络入侵检测系统的字符串匹配算法

精确的字符串匹配算法对网络入侵检测系统的性能有重要的影响,为了提高其效率,这里设计了一个专门针对网络入侵检测系统的字符匹配算法,并在snort1.9中实现。和目前最好的替代算法相比较,试验表明此算法能提高NIDS性能10%～40%。     

网络入侵检测系统整体设计分析

随着网络信息量的迅猛增长,网络攻击方式的不断翻新,网络入侵检测系统经过了由集中式处理到分布式处理、由简单软件结构到通用功能模块设计的变化过程。文中对入侵检测系统的功能模块进行了详细研究,重点设计分析了NIDS中重要的模块:HTTP协议流分析器和检测引擎部分,给出了设计中考虑到的部分增强性能。因模块具有的灵活结构,所以该设计提供了很好的模块复用性和扩展性。     

基于网络处理器的入侵检测方法

入侵检测是网络安全的核心技术。随着网络速度的不断提升，现有NIDS的检测速度已不适应千兆位以上网络，漏检率和误检率越来越高。网络处理器以高度并行、硬件多线程、多级存储和灵活可编程等先进技术提供高速的数据包处理性能。该文对利用网络处理器解决入侵检测的速度瓶颈提出了观点、方法和策略，设计和实现了一个面向入侵检测的高速网络处理器原型。     

利用URL Cache提升网络入侵检测系统性能

网络入侵检测系统(NIDS)已经成为了信息保障中的一个重要组件.然而,当特征规则的数量或网络流量增加时,相当费CPU时间的NIDS可能无法检查所有经过的包.文中讨论了使用URL cache来加速网络入侵检测系统.通过存储正常的请求URL,以前请求过的、无恶意的Web访问可以跳过所有相关的Web特征规则匹配.以此方式修改Snort获得了较明显的性能改善.