协议分析在入侵检测中的应用研究

模式匹配是入侵检测系统中常用的方法,其优点就是分析速度快、误报率小。但是随着网络高速发展,传统的模式匹配方法已不能满足网络安全的发展需要。在分析模式匹配技术和协议分析技术的基础上,提出了协议分析技术和模式匹配方法相结合的网络入侵监测系统的协议分析模型。     

基于协议分析的入侵检测系统

基于协议分析的入侵检测已经成为下一代入侵检测系统的关键技术之一。论文在分析网络入侵检测系统结构和传统的特征模式匹配技术的基础上,对协议分析的原理和实现进行了阐述,给出了基于协议分析的入侵检测系统的模型,并针对具体入侵检测案例进行了分析。     

协议分析与模式匹配相结合的IDS的设计研究

分析了传统的模式匹配和协议分析检测方法的优缺点。使用协议分析和模式匹配相结合的入侵检测技术,设计与实现了一个网络入侵检测系统。该系统中,利用Libpcap函数库实现网络数据包的捕获,采用内存映射技术来提高数据包捕获效率;应用改进后的Tuned BM模式匹配算法,提高模式匹配的速度,减少比较的次数。这样的体系设计可以减少计算量,提高算法的效率,并通过协议分类减少不必要的误报率。     

基于IPv6的动态网络入侵检测系统的研究与设计

随着互联网应用的普及,网络攻击行为愈来愈严重.依据IPv6协议的扩展头、包头结构、地址结构和安全机制,设计了IPv6环境下的协议解码和协议分析的过程.提出了一种新的基于协议分析的网络入侵检测系统框架.通过对协议解码和分析,给出了IPv6环境下基于协议分析的网络入侵检测系统的设计方案.     

多Agent模糊联想记忆的入侵检测

入侵检测对往往需要考虑多种复杂因素时的计算量大，且基于二元逻辑的判决模式，具有较高的误报率。因此运用模糊综合判决，并且运用模糊联想双向网络来存储入侵模式的入侵检测系统对于多种因素时能有效判决且计算简单。而且在系统中使用协议分析来提供数据输入，每个协议分析或网络安全某一方面的检测可独立为一个Agent，入侵的不同方面就构成了一个分布式的多Agent系统。     

入侵检测产品的发展趋势

入侵检测产品发展现状入侵检测系统(Intrusion DetectSystem),目前基本上分为以下两种:主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用得较为广泛。本文就目前使用广泛的网络入侵监测系统进行分析。入侵检测系统目前存在的问题入侵检测…     

基于协议分析的网络入侵检测与取证系统

在检测到非法入侵或恶意行为时利用入侵检测系统(IDS)收集电子证据是IDS新的应用方 向,也是IDS领域的研究热点之一,本文依照IDS的体系结构,结合协议分析和模式匹配技术,提出了 一种基于协议分析的网络入侵取证系统结构模型,用于在线入侵检测、离线取证分析。     

基于协议分析和免疫原理的入侵检测技术研究

入侵检测技术是网络安全防御的一项重要措施,但是传统的入侵检测系统由于误报率和漏报率高已不能满足实际需要.协议分析是网络入侵检测的一种关键技术,在深入研究协议分析技术的基础上,结合阴性选择免疫算法,提出了一种新的入侵检测模型,使之具备协议分析的高性能和自适应学习能力,改进了以往模型在这方面的不足.     

基于NIPS的网络入侵在线检测和入侵防护的新探索

依据实际实验,对黑客常用的网络入侵方法进行了分析和总结,并对NIPS的在线检测和入侵防护方法做了具体的介绍(包括NIPS的特征匹配、协议分析和异常检测的特点)。通过检测攻击行为的特征,来检查当前网络的会话状态,避免受到欺骗攻击,这点对于网络入侵在线检测和入侵防护是非常有效的。     

无线局域网中的入侵检测

首先简单描述了无线局域网(WLAN)技术IEEE802.11的最新发展现状及其安全漏洞隐患,然后介绍了入侵检测技术,并分析了WLAN内入侵检测技术的现状及实施要点,最后详细描述了应用于两种不同类型(其中包括基础结构模式和移动自组网模式)WLAN的入侵检测模型架构。这些模型架构充分考虑了WLAN的布局特点,其中基础结构模式采用可应用于大规模网络的、分布式的、基于网络的入侵检测系统,系统由中心控制台和监测代理组成;移动自组网模式内的入侵检测则采用基于主机的入侵检测系统,并在路由协议中加以实现,具有实用价值。     

自组织层次式大规模网络入侵检测系统

在分析现有分布式入侵检测系统拓扑结构基础上，设计实现了自组织的层次式大规模网络入侵检测系统。该系统提出入侵检测节点之间自组织的概念，使用组织服务器来将分布式入侵检测系统的检测功能与组织功能分离开来，降低系统实现复杂性，并使系统中不再存在单点失败，当系统中部分检测节点失效后，系统的其余部分仍能够有效的工作。针对网络入侵检测节点，实现了一个完整的协议还原平台。在实际运行中，取得了良好的效果。     

入侵监测系统NetEye IDS

NetEye IDS 保护你的网络 NetEye IDS入侵监测系统是东软集团自主研发成功的具有自主版权的网络IDS入侵监测系统。NetEye IDS入侵监测系统使用独创的数据包截取与分析技术,对网络中所有的通信进行分析,利用预装的攻击和漏洞信息库,使用统计和模式匹配的方法将网络内的入侵和攻击等异常情况检测出来,实时发送入侵警报并将详细信息记录于数据库中以便随时检索,任何攻击     

基于智能化方法的入侵检测系统

入侵检测是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,对内部攻击、外部攻击和误操作进行实时保护。本文对入侵检测和入侵检测系统基础知识进行简要介绍,接着分析入侵检测系统的智能化方法,着重对数据挖掘和专家系统两种技术进行详细介绍,最后分析入侵检测系统目前存在的缺陷,并对它的发展趋势进行预测分析。     

NIDS中协议分析和模式匹配的研究

对入侵检测系统中的关键部分一检测引擎的数据分析中的模式匹配技术和协议分析技术进行了介绍。讨论了模式匹配中最常用的两种算法一KMP算法和BM算法，重点分析了模式匹配技术运用在网络级入侵检测系统中的不足，并指出结合使用协议分析和模式匹配进行数据分析的优越性。     

基于Octeon多核网络处理器的IPv6联动IPS研究与设计

对基于Octeon多核网络处理器的新一代IPv6高速网络联动入侵防御系统进行研究,设计了新型联动入侵防御原型.系统基于Octeon多核的高速处理,并结合了IPv6网络中入侵的新特点.在基于入侵检测规则库规则匹配技术的基础上,运用新型的协议分析技术和基于流的检测技术,在Octeon多核间分配控制层与数据层的不同执行,采用命名块机制进行多核间通信,通过数据层核向控制层核的反馈,实现了流处理及协议分析模块与控制模块的高速联动.系统实现了Gbps级的高速入侵检测与联动防御处理.     

入侵监测系NetEye IDS

保护你的网络 NetEye IDS入侵监测系统是东软集团自主研发成功的具有自主版权的网络IDS入侵监测系统.NetEye IDS入侵监测系统使用独创的数据包截取与分析技术,对网络中所有的通信进行分析,利用预装的攻击和漏洞信息库,使用统计和模式匹配的方法将网络内的入侵和攻击等异常情况检测出来,实时发送入侵警报并将详细信息记录于数据库中以便随时检索,任何攻击与入侵都无法逃脱它的监视,网络犯罪行为在这里无所遁形.     

基于网络事件和深度协议分析的入侵检测研究

针对制约NIDS(基于网络的入侵检测系统)的问题,提出了基于网络事件和深度协议分析的入侵检测模型MIDM,实现了对入侵的分析与综合。扩展了ABNF范式形式化定义网络事件,基于所提出模型重新实现了入侵检测系统。实验证明与当前主流NIDS相比,新模型有效降低了误检率和特征库冗余;具有随网络流量和特征库快速增长,而CPU占用率维持低水平增长的特性,能更好地适应高速网络环境;同时还具有一定的特征泛化和检测未知入侵的能力。     

基于自适应滤波处理的网络入侵监测系统设计

目前设计的网络入侵监测系统对于入侵信息的漏报率较高,准确率较低。为了解决上述问题,引入自适应滤波处理技术,设计了一种新的网络入侵监测系统。系统硬件通过滤波器增强信息过滤能力,利用数据采集器采集数据,采用处理器和监测器分析数据信息。应用自适应滤波技术对信息进行检测、过滤,完成软件工作流程。实验结果表明,基于自适应滤波处理的网络入侵监测系统能够有效降低系统的漏报率,提高监测结果准确率。     

网络入侵中未知协议识别单元的设计与测试

为了提高复杂环境下的网络安全性,设计并实现了一种网络入侵中未知协议识别单元。系统通过网络入侵检测模块对网络入侵进行检测并过滤,使得未知协议识别单元的设计不受网络入侵的干扰。利用流量采集模块对网络节点的网络流量进行采集,为后续阶段提供完整的网络数据包以及充分的数据分析样本,将采集的网络数据包以指针的形式返回,发送至流量调度模块。通过流量调度模块将网络数据包的源IP地址作为调度参数,依据用户自定义调度算法将网络数据包传输至指定识别模块,实现整个网络入侵中未知协议识别单元的负载均衡。利用规则匹配模块将从流量调度模块接收到的信息和协议特征库进行匹配,从而实现未知协议的识别。软件设计过程中,对网络入侵中未知协议识别单元进行了详细分析,并给出了网络入侵中未知协议识别的程序代码。仿真实验结果验证了该系统的可行性和实用性。     

多网络环境下的差异化入侵特征检测平台的设计与实现

传统的网络入侵特征检测方法,检测准确性低。因此,设计并实现基于Libnids分布式入侵检测系统,该系统将多网络环境分割为不同逻辑区域,各逻辑区域包含不同的分析节点,各分析节点由数据探测部件、分析检测部件和管理控制部件组成。在系统实现方面,利用WinPcap函数库完成数据包的采集,依据采集的数据包,通过WM模式匹配算法和协议分析匹配检测模型,进行差异化入侵特征的检测。实验结果表明,该系统具有较高的检测率、较低的虚警率和漏报率。