基于FPGA的高速网络入侵检测系统

处理速度成为制约基于软件的网络入侵检测系统性能的瓶颈。文中提出了用可重配置硬件(FPGA)和商用千兆以太网MAC实现的网络入侵检测系统体系结构。在该体系结构中，网络数据包的特征匹配以及复杂协议分析等高强度的计算均由可重配置硬件电路完成，而使主机CPU更专注于对复杂入侵方式的检测和对入侵行为的实时响应。分析表明，该体系结构能够快速适应入侵特征变化对硬件电路的重配置需求，使网络入侵检测系统可以以线速处理网络数据包。     

基于流量分析的网络安全检测研究

流量监控系统是以网络数据包作为信息源的入侵检测系统,从数据包流量分析角度,通过实时收集和分析数据包信息,来检查是否有违反安全策略的行为。基于此,笔者首先阐述流量分析应用于入侵检测的意义,然后探讨入侵检测分类和入侵检测系统的工作流程,以期为学生的相关研究提供参考。     

千兆线速入侵检测系统的设计与实现

随着千兆网络开始在国内大规模普及,对千兆线速入侵检测系统等高性能网络安全产品的需求日益迫切.本文基于IXP2400、pp1200、TCAM芯片和CPCI 2.16技术开发了千兆线速入侵检测系统硬件平台,并基于该平台设计并实现了一个千兆线速级入侵检测系统.该入侵检测系统较之用网络处理器(NP)和专用集成电路(ASIC)技术实现的千兆入侵检测系统具有结构开放、灵活,综合计算能力强,可靠性高等优势.     

基于OCTEON的千兆入侵防御系统

随着计算机技术和通信技术的进步,网络已经成为我们学习、生活与工作不可或缺的一部分。但是随着安全漏洞的不断被发现与黑客的技,亍及破坏力不断提高,网络安全频繁受到挑战。在基于OCTEON的硬件平台下,设计并实现了一种基于专用多核的千兆入侵防御系统,该系统包含了入侵防御中的数据包预处理、检测以及响应全部组件,实验表明,该系统在千兆环境下具有较好的实用性。     

基于SOPC网络处理器入侵检测的研究

在入侵检测中,模式匹配算法的改进对检测速度的提高是有限的,不是解决问题的根本策略.本文设计了一个基于硬件的入侵检测系统原型,系统采用基于网络处理器的硬件策略取代传统入侵检测的软件策略,将入侵检测的主要工作,如数据采集及过滤、数据包的调度、多模式匹配等用硬件实现.它们都是在基于FPGA上实现的,并可以根据实际需要增加硬件和自定义指令来提高系统性能.测试表明该系统的性能与传统方法相比有显著的提高,很好地解决了入侵检测中的速度瓶颈问题.     

基于FPGA硬件策略的入侵检测的研究

通过对入侵检测原理的分析,提出了一个基于FPGA硬件策略的IDS原型.数据分发功能由数据预处理模块完成,对数据包的分析检测通过多软核并行处理的方法来提速,并采用协处理器来加速完成模式匹配过程,系统的控制和管理功能由主控模块来完成,可以根据需要增加硬件和自定义指令来提高系统性能.实验结果表明,在入侵检测系统中采用硬件策略比软件实现具有更好的性能.     

千兆网络入侵防御系统高速数据包处理的研究与实现

随着千兆以太网的广泛应用和网络入侵行为的日益复杂化，其网络入侵防御系统的需求越来越迫切了，通过对网络入侵防御系统的关键技术系统分析，提出了一种新的千兆网络入侵防御系统的总体解决方案，重点描述了其高速数据包处理硬件平台的具体设计和实现技术，并详细介绍其工作流程，最后给出了这种高速数据包处理硬件平台的测试性能和结论。     

基于分流技术的高速网络入侵检测系统设计

针对网络入侵检测系统因自身性能缘故在高速网络上难以有效地进行实时入侵检测,设计了一种基于动态流量负载均衡的分流式入侵检测系统模型,模型中的数据分流器将捕获的网络数据包在数据链路层转发至多个探测机进行处理,并通过动态负载均衡分流算法实现数据的均衡分流.该设计方法能够充分利用系统的计算资源,具有良好的扩展性、动态流量均衡性和检测性能.实验结果表明,通过分流器分流到各个探测器的数据包个数基本上能平均分配,系统的检测分析能力随探测机数量的增加而明显增强.     

基于FPGA的千兆网络数据采集系统设计与实现

介绍了网络流量管理中的网络数据采集系统的设计与实现。以Altera StratixGX系列FPGA为平台,结合Marvell 88E1111网络芯片,完成了网络数据采集系统。本设计采用SoPC技术,利用Altera提供的千兆以太网IP核,完成FPGA系统无缝连接千兆以太网,实现网络数据包采集。     

一个基于移动代理的入侵检测系统的研究

本文分析了入侵检测的基本原理和移动代理的特点,根据目前入侵检测系统存在的不足,提出了一种基于移动代理的入侵检测系统模型。该模型具有分布式检测、响应入侵的能力;整个体系可以灵活、动态地配置和方便地扩展;根据数据流量和数据包类型进行数据包的分发和检测算法的转换;在最大程度上追踪入侵源IP,以防范入侵。     

使用FPGA进行网络入侵监测

FPGA技术已经被广泛用于实时网络入侵监测.一个称为BV-TCAM的数据包分类体系,它是用来实现以FPGA为基础的网络入侵监测系统(NIDS).这个分类器每秒钟报出网络连接中的多个以比特单位的匹配,它结合了三重内容可设定地址的存储(TCAM)和比特向量算法(BV).     

基于校园网的网络入侵检测系统的研究与实现

讨论了传统网络安全保障机制的不足,研究了入侵检测系统的发展及其体系结构,基于校园网实现了一套网络入侵检测系统,通过实验应用证明,该系统有较好的性能和安全性。     

一种可扩展的高效入侵监测平台技术

为了在更高带宽的网络中进行有效的入侵检测分析,研究了入侵检测中的数据获取技术,提出了一种可扩展的高效入侵监测框架SEIMA(scalable efficient intrusion monitoring architecture).在SEIMA结构模型中,通过将高效网络流量负载分割器与多个并行工作的入侵检测传感器相结合,从而可以将入侵检测扩展应用到更高的网络带宽中;通过使用高效地址翻译技术和缓冲区管理机制实现了旁路操作系统的高性能用户级网络报文传输模型,以便提高单传感器的报文处理性能;通过采用有限自动机的方法构建了基于用户层的多规则报文过滤器以消除多余数据包的处理开销.模拟环境和实际环境下的测试结果表明,SEIMA在提高网络入侵检测系统数据获取效率的同时,能够降低系统CPU的利用率,从而可以将更多的系统资源用于更复杂的数据分析过程.     

基于SOFM和快速最近邻搜索的网络入侵检测系统与攻击分析

近年来越来越多的机器学习算法被应用到入侵检测中．但是在网络入侵检测系统（NIDS）中,随着网络规模和速度的增加,一般机器学习算法难以满足入侵检测系统实时性的要求,这也是困扰机器学习算法在入侵检测领域进一步实用化的主要瓶颈之一．为了增加网络入侵检测系统的可用性和实时性．提出了一种基于自组织特征映射（SOFM）的网络入侵检测系统,并且在此基础上实现了一种面向提高入侵检测效率的快速最近邻搜索算法VENNS,以减少系统训练和系统检测时间开销．在DARPA1999入侵检测评估数据的基础上,进行了系统的综合性能评价和对比分析．实验证明,系统在维持较低误报率的基础上取得较高的检测率;系统效率大大提高：训练时间开销大约达到改进前的1／4,检测时间开销则约达到改进前的1／7．     

An FPGA-Based Network Intrusion Detection Architecture

Network intrusion detection systems (NIDSs) monitor network traffic for suspicious activity and alert the system or network administrator. With the onset of gigabit networks, current generation networking components for NIDS will soon be insufficient for numerous reasons; most notably because the existing methods cannot support high-performance demands. Field-programmable gate arrays (FPGAs) are an attractive medium to handle both high throughput and adaptability to the dynamic nature of intrusion detection. In this work, we design an FPGA-based architecture for anomaly detection in network transmissions. We first develop a feature extraction module (FEM) which aims to summarize network information to be used at a later stage. Our FPGA implementation shows that we can achieve significant performance improvements compared to existing software and application-specific integrated-circuit implementations. Then, we go one step further and demonstrate the use of principal component analysis as an outlier detection method for NIDSs. The results show that our architecture correctly classifies attacks with detection rates exceeding 99% and false alarms rates as low as 1.95%. Moreover, using extensive pipelining and hardware parallelism, it can be shown that for realistic workloads, our architectures for FEM and outlier analysis achieve 21.25- and 23.76-Gb/s core throughput, respectively.     

Functional verification of signature detection architectures for high speed network applications

To meet the future internet traffic challenges, enhancement of hardware architectures related to network security has vital role where software security algorithms are incompatible with high speed in terms of Giga bits per second (Gbps). In this paper, we discuss signature detection technique (SDT) used in network intrusion detection system (NIDS). Design of most commonly used hardware based techniques for signature detection such as finite automata, discrete comparators, Knuth-Morris-Pratt (KMP) algorithm, content addressable memory (CAM) and Bloom filter are discussed. Two novel architectures, XOR based pre computation CAM (XPCAM) and multi stage look up technique (MSLT) Bloom filter architectures are proposed and implemented in third party field programmable gate array (FPGA), and area and power consumptions are compared. 10 Gbps network traffic generator (TNTG) is used to test the functionality and ensure the reliability of the proposed architectures. Our approach involves a unique combination of algorithmic and architectural techniques that outperform some of the current techniques in terms of performance, speed and power-efficiency.     

全钒液流电池充放电测试系统设计

针对以太网技术在高速图像传输中常见的带宽利用率低,传输协议受限的问题,设计了一种基于可编程逻辑器件FPGA实现千兆以太网传输系统的方案,分析了基于IEEE802.3标准的以太网帧格式和循环冗余校验(CRC),实现了MAC数据包的封装和PHY芯片88E1111的配置,完成了千兆网络系统的设计和高速数据的传输。结果表明,该方案具有成本低,传输速率快且传输协议不受限制的优势,并最终成功应用于某水下高速图像传输系统中。     

利用对称多处理器提高NIDS的性能

网络入侵检测系统(NIDS)通过捕获和分析网络数据包判断是否存在攻击行为。由于网络带宽越来越高,NIDS的处理能力越来越难以跟上网络的速度。该文提出了一种利用对称多处理器(SMP)提高NIDS处理能力的方法,通过多个CPU并行的处理网络数据包改善系统的性能。经过对NIDS处理过程的分析,设计了一种有效的并行处理结构,保证在不同CPU上运行的线程能够高度并行的执行。此外,该文提出的线程同步方式既保证了程序功能的正确,又避免了对共享资源的互斥访问,进一步提高了线程的并行度。实验证明,在具有双CPU的SMP结构上实现的NIDS的性能比单CPU系统提高了80%。     

多路千兆以太网信号的筛选与存储转发交换

提出了基于FPGA(Field programmable gate array)的多路千兆以太网信号的筛选与存储转发交换技术,该技术可以线速处理20路千兆以太网数据,整个系统的配置与监控都是由嵌入式处理器(Nios)来完成;网络数据包的筛选主要由专门的硬件-网络搜索引擎(Network Search Engine)完成,复杂协议分析、高强度的计算均由FPGA完成,提出了定位FIFO技术,提高了存储转发速度,使得主处理器能够将更多的精力放在数据处理与协议分析上面,从而大大提高了系统的效率;最后给出了整个系统的测试方法和实验结果,结果证明系统完全可以实现20路以太网信号的筛选与存储转发交换。