协议分析与模式匹配相结合的IDS的设计研究

分析了传统的模式匹配和协议分析检测方法的优缺点。使用协议分析和模式匹配相结合的入侵检测技术,设计与实现了一个网络入侵检测系统。该系统中,利用Libpcap函数库实现网络数据包的捕获,采用内存映射技术来提高数据包捕获效率;应用改进后的Tuned BM模式匹配算法,提高模式匹配的速度,减少比较的次数。这样的体系设计可以减少计算量,提高算法的效率,并通过协议分类减少不必要的误报率。     

NIDS中协议分析和模式匹配的研究

对入侵检测系统中的关键部分一检测引擎的数据分析中的模式匹配技术和协议分析技术进行了介绍。讨论了模式匹配中最常用的两种算法一KMP算法和BM算法，重点分析了模式匹配技术运用在网络级入侵检测系统中的不足，并指出结合使用协议分析和模式匹配进行数据分析的优越性。     

基于协议分析的入侵检测系统

基于协议分析的入侵检测已经成为下一代入侵检测系统的关键技术之一。论文在分析网络入侵检测系统结构和传统的特征模式匹配技术的基础上,对协议分析的原理和实现进行了阐述,给出了基于协议分析的入侵检测系统的模型,并针对具体入侵检测案例进行了分析。     

基于协议分析的网络入侵检测与取证系统

在检测到非法入侵或恶意行为时利用入侵检测系统(IDS)收集电子证据是IDS新的应用方 向,也是IDS领域的研究热点之一,本文依照IDS的体系结构,结合协议分析和模式匹配技术,提出了 一种基于协议分析的网络入侵取证系统结构模型,用于在线入侵检测、离线取证分析。     

基于DFA的入侵检测方法研究

计算机网络安全环境不断恶化,各种网络攻击行为层出不穷,入侵检测技术作为一种主要的网络安全技术引起了人们的广泛关注。伴随着网络对实时性、吞吐量等的更高要求,入侵检测技术的检测效率逐渐成为系统的瓶颈问题。该文提出了一种基于DFA模式匹配引擎的入侵检测方法,该方法利用DFA在模式匹配方面的优越性以提高入侵检测系统的检测效率;之后,该文对该方法进行了相关性能分析。该文的研究将有助于入侵检测技术的不断完善与发展。     

协议分析在入侵检测系统中的应用

模式匹配是入侵检测系统中常用的方法,这种算法速度快、效率高。但是单独使用模式匹配方法来检测入侵还存在一些弊端。为此,给出了一种高效、可靠的检测方法,即结合使用协议分析与模式匹配的分析方法,同时给出一个例子来说明协议分析的实现过程。     

基于多层模式匹配技术的高速以太网NIDS实现方案

目前多数基于网络的入侵检测系统(NIDS)无法适用于对高速以太网链路的实时流量分析和入侵检测任务.本文在传统模式匹配方法的基础上,引入了基于协议分析的多层模式匹配概念:采用FPGA硬件逻辑对长度和偏移量相对固定的数据包包首部分进行模式匹配;采用核心态软件逻辑对长度和偏移量变化的数据包负载部分进行模式匹配.新的模式匹配技术有效提高了NIDS的整体性能.最后,本文给出了一种基于多层模式匹配的高速以太网NIDS实现方案.并对FPGA硬件逻辑和核心态软件逻辑采用的检测策略进行了详细说明.     

入侵监测系统NetEye IDS

NetEye IDS 保护你的网络 NetEye IDS入侵监测系统是东软集团自主研发成功的具有自主版权的网络IDS入侵监测系统。NetEye IDS入侵监测系统使用独创的数据包截取与分析技术,对网络中所有的通信进行分析,利用预装的攻击和漏洞信息库,使用统计和模式匹配的方法将网络内的入侵和攻击等异常情况检测出来,实时发送入侵警报并将详细信息记录于数据库中以便随时检索,任何攻击     

联想网御入侵检测系统通过评测

近日,赛迪评测对联想新推出的网御入侵检测系统进行了全面的产品评测。联想网御入侵检测系统是基于网络的入侵检测及响应系统(NIDS)。其采用分布式入侵检测系统构架,综合使用模式匹配、异常分析、状态协议分析、行为分析、内容恢复、网络审计等入侵分析技术,全面监视网络的通信状态,实时捕获入侵、误用、滥用等违反网络安全策略的行为,并针对可疑的入侵行为,依据策略做出主动反应、及时告警及事件日志记录,最大限度保障网络系统安全。经赛迪评测全面评估,联想网御入侵检测系统属于一款优秀的入侵检测系统。(吕莉,摘自《通信产业报》)联想…     

多网络环境下的差异化入侵特征检测平台的设计与实现

传统的网络入侵特征检测方法,检测准确性低。因此,设计并实现基于Libnids分布式入侵检测系统,该系统将多网络环境分割为不同逻辑区域,各逻辑区域包含不同的分析节点,各分析节点由数据探测部件、分析检测部件和管理控制部件组成。在系统实现方面,利用WinPcap函数库完成数据包的采集,依据采集的数据包,通过WM模式匹配算法和协议分析匹配检测模型,进行差异化入侵特征的检测。实验结果表明,该系统具有较高的检测率、较低的虚警率和漏报率。     

基于IPv6的免疫入侵检测自我集生成方法

基于人工免疫的入侵检测已成为网络安全研究领域的一个重要方向。基于人工免疫的入侵检测的免疫耐受过程和检测过程都需要进行匹配操作,匹配的前提是必须对“自我”与“非我”进行有效的特征编码,编码方案的好坏关系到检测系统的效率及准确率。通过介绍协议解析技术,对IPv6协议进行分析,提出一种IPv6数据包编码方案,能够较有效地生成自我集。     

一种基于IPv4/IPv6网络入侵检测系统的框架设计

本文描述了当前的网络安全现状,展望了互联网向IPv6版本过渡的发展趋势并分析了它的特点和缺陷。通过对比传统的IPv4和IPv6网络入侵检测技术的特点,列举了IPv4向IPv6过渡的技术方法并加以分析,最后给出了一种适应于当前IPv4/IPv6环境的入侵检测系统的框架。     

一种个人入侵防御系统方案研究

入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而新发展起来的一种信息安全技术。系统采用NDIS Hooking技术捕获本机进出的网络数据流，通过模式匹配算法可以一次在数据包的负载中查找多个入侵模式。该系统不仅能够实现入侵检测的功能，而且可以在入侵检测的基础上提供有效的阻断。     

一种大容量模式匹配算法

模式匹配技术是入侵检测与信息监管等网络应用的重要手段。针对现有模式匹配算法在大规模模式集下无法支持高速处理的情况,提出了一种两级三态内容可寻址寄存器（TCAM）的模式匹配算法。利用TCAM特性,提出一种子串编码方法压缩表项空间,提高空间利用率。通过性能分析和实验仿真表明,算法在支持大容量模式库的同时,可以获得较高的搜索速率。     

基于Snort的模式匹配算法比较

字符串模式匹配算法是入侵检测的的关键,为了测试BM,BMG,AC,AC-BM四种算法性能,基于Snort的模式匹配算法在Snort入侵检测系统下测量了四种算法的运行时间和内存消耗。实验结果表明当模式数量较大时AC,AC—BM算法运行时间小于BM和BMG算法,但内存消耗相对较大;当模式数量较少时,BM和BMG算法优于AC,AC—BM算法。     

入侵检测中一种快速串匹配算法

基于字符串匹配的检测方法是入侵检测系统中一类很重要的分析方法,为了提高字符串匹配型检测方法的检测效率,论文设计了一种有效的规则库编码方法,分析了检测中的激活阈值问题和几种二进制字符串的匹配算法用于入侵检测时的时间复杂度和空间复杂度,并采用多属性r连续位匹配规则,有效降低了检测时算法运行所需的时间复杂度和空间复杂度,使得检测速度大大提高。