利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。     

利用机群技术实现高带宽网络环境入侵检测

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题,本文介绍了利用NIDS机群在高速网络环境下实现入侵检测的方法,本文从NIDS机群体系结构的角度出发就利用NIDS机群进行数据分流实现入侵检测的方法及进行了探讨,提出了NIDS机群的框架结构,和适用于NIDS机群的负载均衡策略。     

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统（NIDS）的处理速度无法跟上网络通讯及其数量的增长速度，提出了基于Netfilter的分布式NIDS系统和负载均衡算法，在Netfilter上实现了数据包的分流，使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明，分布式NIDS中每个NIDS的负载基本相等，漏检率减少到了单个NIDS的1/4。     

基于网络处理器的高速网络数据过滤

随着网络应用的增长,网络数据流量在以翻番的速度增长,网络数据的采集和过滤作为实时性要求高的入侵检测系统的支撑系统,其数据处理能力直接影响入侵检测系统的效率。高处理能力和高编程性的网络处理器的出现,克服了基于传统CPU架构的数据采集和过滤系统的性能局限,在高速网络中实现了性能和灵活性的结合,达到了高速数据处理和检测规则的动态更新。在此架构基础上,通过多种方式能够提高数据处理效率,文章提出了在网络处理器实现的NIDS中集成优化规则集的方式实现高效数据过滤。     

基于网桥的高速动态分流研究

高速入侵检测是当前网络安全领域研究的热点问题之一，而高速分流设计是高速入侵检测的一个关键技术。基于网桥的高速动态分流设计利用Linux网桥的防火墙架构，按照动态负载均衡的分流算法在数据链路层对网络数据包重新封装，再路由到各个探测器中，该方法针对入侵检测的分流特点，能够转发所有网络层数据，且成本低、易控制、扩展能力强。实验分析表明该方法在高速网中具有动态负载均衡的效果。     

一种基于hash函数的IDS动态分层负载均衡算法

为解决高速网络环境下,网络入侵检测系统(NIDS)性能瓶颈这一问题,本文设计一种基于hash函数的动态分层负载均衡算法。实验结果表明,在高速网络环境下,采用该算法能有效提高系统的检测率。     

基于FPGA+TCAM架构的网络分流系统的设计与实现

网络流量分类技术为网络服务提供有力保障,在网络行为分析和网络监管方面发挥重要作用。设计并实现了一种基于FPGA+TCAM架构的网络分流系统,接入高速网络信号,恢复数据流信息,并对其进行分流管理。解决了传统网络分流系统接入速率不高,分流效果差的问题。最后对系统平台进行了测试,测试结果表明,该系统具备在高速网络环境下数据流实时分流处理的能力。     

基于网络处理器的入侵检测方法

入侵检测是网络安全的核心技术。随着网络速度的不断提升，现有NIDS的检测速度已不适应千兆位以上网络，漏检率和误检率越来越高。网络处理器以高度并行、硬件多线程、多级存储和灵活可编程等先进技术提供高速的数据包处理性能。该文对利用网络处理器解决入侵检测的速度瓶颈提出了观点、方法和策略，设计和实现了一个面向入侵检测的高速网络处理器原型。     

高速防火墙的研究与实现

随着宽带网络的日益普及，网络安全已成为信息技术领域一个重要的议题，现有的防火墙架构已无法满足高速网络环境下的应用。网络处理器是专为IP网络包处理设计的芯片，能够以线速处理网络传输数据。文中论述了网络处理器的体系结构和功能，并通过分析防火墙的几种不同架构，给出一种基于网络处理器的实现方案，为千兆网络提供了路由、过滤，以及网络地址转换等安全防护措施的实现。最后指出了该方案在网络安全领域的应用前景以及网络安全设备的发展方向。     

基于GPU的高速网络入侵检测系统设计

随着网络带宽的不断增加,以及处理能力的限制,传统的网络入侵检测系统(Network Intrusion Detecting System,NIDS)面临挑战,如何提高NIDS的处理能力备受关注。通过专用设备提高检测速度,不但价格昂贵且无法大规模普及。通过对Linux网络协议栈的优化,以及常用入侵检测系统Snort的多线程化,结合了图形处理器(Graphic Processing Unit,GPU)的高性能并行计算能力,设计了一种高性能的软件入侵检测架构,突破现有NIDS使用普通CPU的计算瓶颈,以应对高速链路对入侵检测性能的要求。实验结果表明,高速网络中的数据包可以采用GPU来处理。     

Large-scale network intrusion detection based on distributed learning algorithm

As network traffic bandwidth is increasing at an exponential rate, it’s impossible to keep up with the speed of networks by just increasing the speed of processors. Besides, increasingly complex intrusion detection methods only add further to the pressure on network intrusion detection (NIDS) platforms, so the continuous increasing speed and throughput of network poses new challenges to NIDS. To make NIDS usable in Gigabit Ethernet, the ideal policy is using a load balancer to split the traffic data and forward those to different detection sensors, which can analyze the splitting data in parallel. In order to make each slice contains all the evidence necessary to detect a specific attack, the load balancer design must be complicated and it becomes a new bottleneck of NIDS. To simplify the load balancer this paper put forward a distributed neural network learning algorithm (DNNL). Using DNNL a large data set can be split randomly and each slice of data is presented to an independent neural network; these networks can be trained in distribution and each one in parallel. Completeness analysis shows that DNNL’s learning algorithm is equivalent to training by one neural network which uses the technique of regularization. The experiments to check the completeness and efficiency of DNNL are performed on the KDD’99 Data Set which is a standard intrusion detection benchmark. Compared with other approaches on the same benchmark, DNNL achieves a high detection rate and low false alarm rate.     

基于分布式学习的大规模网络入侵检测算法

计算机网络的高速发展,使处理器的速度明显低于骨干网的传输速度,这使得传统的入侵检测方法无法应用于大规模网络的检测.目前,解决这一问题的有效办法是将海量数据分割成小块数据,由分布的处理节点并行处理.这种分布式并行处理的难点是分割机制,为了不破坏数据的完整性,只有采用复杂的分割算法,这同时也使分割模块成为检测系统新的瓶颈.为了克服这个问题,提出了分布式神经网络学习算法,并将其用于大规模网络入侵检测.该算法的优点是,大数据集可被随机分割后分发给独立的神经网络进行并行学习,在降低分割算法复杂度的同时,保证学习结果的完整性.对该算法的测试实验首先采用基准测试数据circle-in-the-square测试了其学习能力,并与ARTMAP(adaptive resonance theory supervised predictive mapping)和BP(back propagation)神经网络进行了比较;然后采用标准的入侵检测测试数据集KDD'99 Data Set测试了其对大规模入侵的检测性能.通过与其他方法在相同数据集上的测试结果的比较表明,分布式学习算法同样具有较高的检测效率和较低的误报率.     

并行入侵检测系统的预测负载均衡方法

数据流的高速化使得网络入侵检测系统(network intrusion detection system,NIDS)往往会出现严重的漏报率,并且面对某连接上突发流量的情况,基于连接的负载均衡很难做出较好的应对措施,针对该问题,提出了一种基于包预测的并行入侵检测的负载均衡方案。该方案通过观察每个探测器上数据包的进出情况,由包预测负载均衡算法预测下一个时刻各探测器上的负载情况,避免了将新连接加入到流量突发探测器的可能,提高了负载均衡的效率。仿真实验结果表明了该方案的可行性及有效性,它能有效的均衡负载,减少系统的丢包率。     

一种可扩展的高效入侵监测平台技术

为了在更高带宽的网络中进行有效的入侵检测分析,研究了入侵检测中的数据获取技术,提出了一种可扩展的高效入侵监测框架SEIMA(scalable efficient intrusion monitoring architecture).在SEIMA结构模型中,通过将高效网络流量负载分割器与多个并行工作的入侵检测传感器相结合,从而可以将入侵检测扩展应用到更高的网络带宽中;通过使用高效地址翻译技术和缓冲区管理机制实现了旁路操作系统的高性能用户级网络报文传输模型,以便提高单传感器的报文处理性能;通过采用有限自动机的方法构建了基于用户层的多规则报文过滤器以消除多余数据包的处理开销.模拟环境和实际环境下的测试结果表明,SEIMA在提高网络入侵检测系统数据获取效率的同时,能够降低系统CPU的利用率,从而可以将更多的系统资源用于更复杂的数据分析过程.     

面向Web Service的动态负载均衡设计与实现

负载均衡是分布式系统的资源管理模块,它的主要功能是合理和透明地在服务器之间分配系统负载,以达到系统的综合性能最优。基于中间件的负载均衡技术在整合异构系统、透明访问和扩展能力等方面具有优势。在中间模块上可以灵活实现多种负载均衡算法,来调整和满足不同应用的负载均衡需求,提高系统的扩展性、配置性、健壮性。本文参考分布式系统中的模型,构建了基于Web Service的负载均衡器,实现了动态负载均衡调度策略。为了准确地描述系统的负载,选择CPU利用率、内存利用率、系统响应时间、输入输出流量和进程数作为衡量系统负载的参量;为了避免因监测服务器而加大均衡器的压力,策略中将负载信息采集程序运行在机群内的各服务结点上,当相邻采集周期的负载差值超过标准值后调用均衡器上的Web服务,报告自身的负载状况,使均衡器根据负载信息进行同步操作,更换服务序列。最后通过仿真实验证明本策略在异构Web平台中具有可行性。     

网络入侵检测系统中动态负载平衡策略的设计

随着互联网的广泛应用,网络信息量迅猛增长,网络攻击数量和方式大大增加,网络入侵检测系统需要部署多个感知器(Sensor)时网络监测和保护,通过增加Sensor,可以增强系统分析检测能力。然而,为了充分利用系统处理能力,需要动态分配处理节点任务,实现动态负载平衡。该文在分析网络入侵检测系统的基础上,提出负载值计算方法,结合通用负载平衡策略,提出了分布式入侵检测系统的动态负载平衡策略,实现了良好的动态负载平衡效果,提高了系统性能。     

基于IXP425的负载均衡系统的设计与实现

负载均衡设备是提高网络性能的重要设备。该文研究负载均衡系统及其算法,对多种算法进行比较后选择基于agent的动态反馈负载均衡算法,在Intel网络处理器IXP425上采用VxWorks5.5嵌入式内核,设计出适用于园区网络的负载均衡器。在实验室环境内对多个校园网代理出口进行负载均衡测试,结果表明,该负载均衡器作为中小型网络负载均衡设备使用时效果良好。     

一种有效的Web负载均衡器的设计与实现

随着Web应用技术大量地应用到各中小企业的信息系统中，迫切需要一个能够提供良好性能价格比的Web服务器负载均衡系统。一方面由于Round Robin DNS技术的局限性达不到企业的要求，另一方面由于硬件负载均衡器的昂贵费用使中小企业无法承受。该研究采用J2EE平台的Servlet技术提供的Filter功能，设计并实现了一个比较适合中小企业的Web服务器负载均衡系统框架。     

网络入侵检测系统的负载均衡方案

在高速网络环境下,数据流的高速化使得网络入侵检测系统往往会出现严重的漏报率,针对此性能瓶颈,提出了一种基于预测的并行入侵检测系统的负载均衡方案。该方案主动测量各探测器的负载为预测依据,采用混沌时间序列的全域预测法为预测手段,利用预测的负载值为负载均衡的根据。通过仿真实验,证明了该方案的可行性及有效性,它能有效地均衡负载、减少系统的丢包率。