利用机群技术实现高带宽网络环境入侵检测

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题,本文介绍了利用NIDS机群在高速网络环境下实现入侵检测的方法,本文从NIDS机群体系结构的角度出发就利用NIDS机群进行数据分流实现入侵检测的方法及进行了探讨,提出了NIDS机群的框架结构,和适用于NIDS机群的负载均衡策略。     

基于IXP2400开发NIDS负载均衡器的研究

分析了高速网络环境下基于分流机制实现的NIDS体系架构，探讨了其核心部件——NIDS负载均衡器的实现及关键算法，给出了其在网络处理器上的具体实现。实验表明，基于IXP 2400网络处理器实现的负载均衡器具有成本低、研发周期短、可扩展性好的特点，完全能满足NIDS分流架构的需求，基本解决了高速网络下网络入侵检测设备的性能问题。     

利用LINUX集群实现高速网入侵检测

该文介绍了集群技术的应用背景和基于网络的入侵检测系统目前所面临的问题,提出了利用集群技术实现高速网络环境下的入侵检测的思想,描述了如何利用Linux内核的LVS进行集群实现基于千兆带宽的入侵检测,和如何改进LVS源程序以提高IDS应用的性能。     

基于目标预判的网络入侵检测频率自调整算法

在集群环境中,入侵者攻击特定目标是提高攻击效率一种常规手段,有针对性地调度计算资源可有效提高检测效率。提出一种基于攻击目标预判的网络入侵检测系统（NIDS）的检测频率自调整算法DFSATP,检测分析采集到的数据,将发往潜在被攻击目标范围的数据列为高危数据,其余数据为低危数据,指引网络入侵检测系统高频检测发往预测目标的高危数据包,低频检测低危数据包,从而提高NIDS的检测效率,保障在有限的计算资源情况下提高异常数据的检出率。模拟实验结果表明,在高速网络环境下,DFSATP对NIDS检测频率的调整,使得异常数据的检出率得到了一定程度的提升。     

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统（NIDS）的处理速度无法跟上网络通讯及其数量的增长速度，提出了基于Netfilter的分布式NIDS系统和负载均衡算法，在Netfilter上实现了数据包的分流，使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明，分布式NIDS中每个NIDS的负载基本相等，漏检率减少到了单个NIDS的1/4。     

一种基于hash函数的IDS动态分层负载均衡算法

为解决高速网络环境下,网络入侵检测系统(NIDS)性能瓶颈这一问题,本文设计一种基于hash函数的动态分层负载均衡算法。实验结果表明,在高速网络环境下,采用该算法能有效提高系统的检测率。     

基于GPU的高速网络入侵检测系统设计

随着网络带宽的不断增加,以及处理能力的限制,传统的网络入侵检测系统（Network Intrusion Detecting System,NIDS）面临挑战,如何提高NIDS的处理能力备受关注。通过专用设备提高检测速度,不但价格昂贵且无法大规模普及。通过对Linux网络协议栈的优化,以及常用入侵检测系统Snort的多线程化,结合了图形处理器（Graphic Processing Unit,GPU）的高性能并行计算能力,设计了一种高性能的软件入侵检测架构,突破现有NIDS使用普通CPU的计算瓶颈,以应对高速链路对入侵检测性能的要求。实验结果表明,高速网络中的数据包可以采用GPU来处理。     

基于网桥的高速动态分流研究

高速入侵检测是当前网络安全领域研究的热点问题之一，而高速分流设计是高速入侵检测的一个关键技术。基于网桥的高速动态分流设计利用Linux网桥的防火墙架构，按照动态负载均衡的分流算法在数据链路层对网络数据包重新封装，再路由到各个探测器中，该方法针对入侵检测的分流特点，能够转发所有网络层数据，且成本低、易控制、扩展能力强。实验分析表明该方法在高速网中具有动态负载均衡的效果。     

基于流负载均衡的入侵检测系统

网络带宽的飞速发展对入侵检测系统的性能提出了更高的要求,单机的网络入侵检测系统性能已跟不上发展的需要。在分析了现有分布式入侵检测系统的基础上,构建了一个高速网络环境下基于负载分发的入侵检测集群系统结构。该集群系统采用对IP数据包流识别信息进行Hash的方法对负载进行分发,同时引入Agent技术中的通信代理实现各检测节点之间的数据共享和交换,解决了检测集群各节点的协作和信息共享。对集群系统进行的测试说明其实现了多机集群的入侵检测系统。     

基于负载均衡实现高速网下入侵检测系统研究与实验

随着以太网主干网速度发展到G比特为单位,目前基于网络的单机入侵检测系统已经无法适应高速增长的网络速度,本文采用负载均衡的方法,将捕获的网络数据包按某种规则分流转发至多个检测引擎进行处理,以提高整个集群入侵检测系统的检测性能,解决G比特网络下网络入侵检测设备因硬件性能而带来的丢包问题。     

基于异构机群的高速网络入侵检测系统

结合异构机群系统,提出一种基于双向驱动的分流算法,将高速数据流分为多个子数据流,把子数据流交由异构机群系统中最合适的节点处理,实现基于异构机群的高速网络入侵检测系统。实验结果表明,该系统保证了某时间段内具有相同源或目的地址的所有数据包发向同一个后端IDS引擎进行检测,能在高速网络环境下保持高检测率,并有效解决负载均衡问题。     

网络入侵检测系统中动态负载平衡策略的设计

随着互联网的广泛应用,网络信息量迅猛增长,网络攻击数量和方式大大增加,网络入侵检测系统需要部署多个感知器(Sensor)时网络监测和保护,通过增加Sensor,可以增强系统分析检测能力。然而,为了充分利用系统处理能力,需要动态分配处理节点任务,实现动态负载平衡。该文在分析网络入侵检测系统的基础上,提出负载值计算方法,结合通用负载平衡策略,提出了分布式入侵检测系统的动态负载平衡策略,实现了良好的动态负载平衡效果,提高了系统性能。     

基于NIDS入侵检测模型的研究和探讨

本文首先介绍入侵检测系统的基本原理，包括检测方法和分析技术，然后给出了一个网络入侵检测具体模型和事例，阐述了NIDS的重要性以及将来发展的趋势。     

基于Snort的入侵检测系统在校园网的应用

面对越来越复杂的互联网络环境,传统安全体系受到严重威胁,入侵检测系统(Intrusion Detection System,IDS)已经成为安全系统中重要的组成部分。该文简要地介绍了入侵检测系统的分类、原理和系统结构。并以著名开源NIDS Snort为例,设计并实现了一个校园网入侵检测系统。     

高性能并行入侵检测算法与框架

基于单引擎检测的网络入侵检测系统(network intrusion detection system,NIDS)靠辅助硬件和改进检测算法来提高处理性能,但已无法适应10Gb/s以上流量的线速处理要求。利用多检测引擎进行并行处理是实现高性能入侵检测的重要技术手段,并行检测系统通过多检测引擎进行并行协同检测,具有高性能和可扩展的优点。归纳了进行流量划分时遇到的保持检测攻击所需证据和负载均衡这两方面的挑战及其解决策略。综合现有并行入侵检测框架的优点,提出了一个统一的支持多检测引擎并行检测的体系结构UPDA(uniformed parallel detection architecture)。利用NetMagic平台,基于UPDA框架,设计和实现了一个高性能并行入侵检测原型系统,并通过实验验证了系统的高性能和有效性。     

基于IXP1200入侵检测系统的流量分配器的研究

入侵检测系统是一种维护网络安全的手段。文章提出了基于网络处理器和处理机群的入侵检测系统的体系结构，详细讨论了利用网络处理器实现流量分配器功能，并对其中的关键算法进行了介绍。研究结果表明，经过算法优化，采用网络处理器IXP1200实现的流量分配器可以完成1000Mbps以上数据的实时采集，基于CAM技术的转发策略在维护信息完整性和降低处理复杂度两方面体现了很好的折中，达到了合理的流量分配。     

基于Intel IXP2400的网络入侵检测系统实现

网络入侵检测系统（NIDS）是安全防范机制的重要组成部分。当前，对入侵检测的理论研究取得了多方面的成果，提出了专家系统，神经网络，数据挖掘，移动代理等等检测方法。但在实际应用中仍然局限于异常检测和误用检测，实际入侵检测的难点主要在于检测的效率，即误报和漏报问题。该问题可以通过软件硬化来解决。阐述了实现一种基于Intel网络处理器IXP2400的网络入侵检测系统。重点讨论了入侵检测分析引擎的模式匹配算法和网络处理器各线程间数据的通信问题。实验表明该系统能在保证检测效率的同时，减少误报和漏报，对保证当前高速企业网络安全有一定的实用性。     

基于数据挖掘的网络入侵检测技术研究

现有NIDS的检测知识一般由手工编写,其难度和工作量都较大.将数据挖掘技术应用于网络入侵检测,在Snort的基础上构建了基于数据挖掘的网络入侵检测系统模型.重点设计和实现了基于K-Means算法的异常检测引擎和聚类分析模块,以及基于Apriori算法的关联分析器.实验结果表明,聚类分析模块能够自动建立网络正常行为模型,并用于异常检测,其关联分析器能够自动挖掘出新的入侵检测规则.     

一种可扩展的高效入侵监测平台技术

为了在更高带宽的网络中进行有效的入侵检测分析,研究了入侵检测中的数据获取技术,提出了一种可扩展的高效入侵监测框架SEIMA(scalable efficient intrusion monitoring architecture).在SEIMA结构模型中,通过将高效网络流量负载分割器与多个并行工作的入侵检测传感器相结合,从而可以将入侵检测扩展应用到更高的网络带宽中;通过使用高效地址翻译技术和缓冲区管理机制实现了旁路操作系统的高性能用户级网络报文传输模型,以便提高单传感器的报文处理性能;通过采用有限自动机的方法构建了基于用户层的多规则报文过滤器以消除多余数据包的处理开销.模拟环境和实际环境下的测试结果表明,SEIMA在提高网络入侵检测系统数据获取效率的同时,能够降低系统CPU的利用率,从而可以将更多的系统资源用于更复杂的数据分析过程.