利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。     

一种NIDS检测能力的测评方法

由于网络入侵检测系统(NIDS)固有的特点,很难从各个NIDS产品厂家宣传的检测"率来评价不同NIDS的检测能力。本文先介绍了网络入侵检测系统检测能力的测评指标,然后建立了一个采用模拟数据的简单的测评方案,并简要介绍了模拟数据的获取方法。该方案简单,易于实施,通过该方案测评的NIDS的检测能力具有可比性、公正性、客观性。     

基于网络的入侵检测系统和基于主机的入侵检测系统的比较分析

论述了基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）是现阶段主要构建入侵检测系统的两种方法，并重点比较分析了现存NIDS和HIDS的优缺点，只有NIDS和HIDS结合才是入侵检测发展的趋势。     

基于网络入侵分析

随着网络的高速发展,网络信息安全问题不断暴露出来。本文主要对入侵检测系统中的网络入侵检测系统(NIDS)的进行分析,对网络入侵的各模块都进行了分析,并分析了系统的优缺点和发展趋势。     

NIDS歧义流量矫正系统

基于网络的入侵检测系统通过分析网络流量识别攻击,但隐藏在歧义网络数据中的Insertion和Evasion攻击利用不同系统实现网络协议栈的差异以及各系统所处不同的网络位置,逃避NIDS检测,以致漏报。文章回顾了歧义问题的相关研究,分析了其产生原因,并以重叠IP分片重组和重叠TCP段重构为例进行讨论。针对以逃避NIDS检测为目的的歧义流量问题,提出了NIDS歧义流量矫正系统,通过分析相关网络协议在实现中产生的歧义,对网络流量进行相应的矫正,使NIDS有效检测出隐藏在歧义网络流量中的特定的Insertion和Evasion攻击。     

基于网络入侵分析

随着网络的高速发展,网络信息安全问题不断暴露出来。本文主要对入侵检测系统中的网络入侵检测系统（NIDS）的进行分析,对网络入侵的各模块都进行了分析,并分析了系统的优缺点和发展趋势。     

用于网络入侵检测的模式匹配新方法

针对新一代网络入侵检测系统(NIDS)的创建需要先进的模式匹配引擎,提出一种模式匹配的新方案,利用基于硬件的可编程状态机技术(B-FSM)来实现确定性处理过程。该技术可以在一个输入流中同时获取大量模式,并高效地映射成转换规则。通过对网络入侵检测系统中普遍采用的规则集(Snort)进行实验,实验结果表明该方法具有存储高效、执行速度快、动态可更新等特点,可以满足NIDS的需要。     

基于特征检测的分布式网络报警系统

分析当前网络入侵检测系统NIDS的主要思想和实现方法，针对传统NIDS的不足，提出了一种基于特征检测的分布式网络报警系统模型，并且详细地描述了该模型的结构和实现。该模型将规则匹配与案例分析以及集中控制与分布检测相结合，在保证网络安全的基础上，有效地提高了NIDS的动态性和自适应性。     

基于网络的入侵检测方法研究

综述了基于网络的入侵检测系统(NetworkBasedIntrusionDetectionSystem,NIDS)研究方面的一些最新的工作,分析了NIDS的体系结构、NIDS的典型技术,并着重论述了大型网络入侵检测所面临的问题,包括NIDS体系结构的可扩展性、基于知识的NIDS、NIDS的海量数据处理技术及其进一步的研究方向。     

网络入侵检测系统的性能分析

网络入侵检测系统(NIDS)的流行使NIDS的性能评估也逐渐变得很有挑战性。测试评估入侵检测系统比较复杂，涉及到操作系统、工具、软件、硬件和数据库等方面的问题，而NIDS的性能评估又会涉及到一些实验参数，如流量特征、规则集、匹配算法和处理器结构等。本文主要从入侵辨认能力和传感器的吞吐能力两方面对NIDS的性能进行讨论。     

基于NIDS入侵检测模型的研究和探讨

本文首先介绍入侵检测系统的基本原理，包括检测方法和分析技术，然后给出了一个网络入侵检测具体模型和事例，阐述了NIDS的重要性以及将来发展的趋势。     

基于IXP2400开发NIDS负载均衡器的研究

分析了高速网络环境下基于分流机制实现的NIDS体系架构,探讨了其核心部件——NIDS负载均衡器的实现及关键算法,给出了其在网络处理器上的具体实现。实验表明,基于IXP 2400网络处理器实现的负载均衡器具有成本低、研发周期短、可扩展性好的特点,完全能满足NIDS分流架构的需求,基本解决了高速网络下网络入侵检测设备的性能问题。     

入侵检测系统评测研究进展(下)

二、工业界研究介绍 1、NIDSbench—Anzen Computing公司 NIDSbench是一套用于测试网络入侵检测系统（Network Intrusion Detection System,NIDS）性能的工具集。该研究在1999年以前提出,其主要目的是希望能够对NIDS进行有效的评测,并在此基础上将入侵检测评测的方法标准化。图6是实验网络的逻辑拓扑图,整个系统由3个部分组成,分别实现不同的功能。     

基于特征选择的网络入侵检测模型研究

为了有效从收集的恶意数据中选择特征去分析,保障网络系统的安全与稳定,需要进行网络入侵检测模型研究;但目前方法是采用遗传算法找出网络入侵的特征子集,再利用粒子群算法进行进一步选择,找出最优的特征子集,最后利用极限学习机对网络入侵进行分类,但该方法准确性较低;为此,提出一种基于特征选择的网络入侵检测模型研究方法;该方法首先以增强寻优性能为目标对网络入侵检测进行特征选择,结合分析出的特征选择利用特征属性的Fisher比构造出特征子集的评价函数,然后结合计算出的特征子集评价函数进行支持向量机完成对基于特征选择的网络入侵检测模型研究方法;仿真实验表明,利用支持向量机对网络入侵进行检测能有效地提高入侵检测的速度以及入侵检测的准确性。     

一种策略分流的入侵防御及恢复系统架构

通过充分利用入侵检测各类产品的安全防护特点,本文设计了一种策略分流的入侵防御及恢复系统架构.采用双NIDS系统作为前端检测模块,通过策略分流,使得双NIDS系统全面覆盖入侵检测的各个协议层,充分发挥两种NIDS系统的检测优势,实现高效的入侵检测.并结合HIDS的主机日志防护机制及关键内容恢复机制,在即便出现入侵破坏数据的情况下,仍可保证系统的关键部位安全.     

网络入侵检测系统的研究与应用

网络安全是当前IT界研究的热点,而传统的防火墙技术已不能满足许多部门的安全应用需求,因而网络入侵检测系统（NIDS）应运而生并将发展成为网络安全立体防御体系的核心部件。本文从应用技术的层面,深入分析了NIDS的特点和四大核心技术,提出并分析了以NIDS为核心的多种安全产品联动实现立体防御的构想。     

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统（NIDS）的处理速度无法跟上网络通讯及其数量的增长速度,提出了基于Netfilter的分布式NIDS系统和负载均衡算法,在Netfilter上实现了数据包的分流,使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明,分布式NIDS中每个NIDS的负载基本相等,漏检率减少到了单个NIDS的1/4。     

分布式入侵检测系统的动态规则集研究

如今网络数据流量不断增加,入侵的方法也越来越多,而且变得更加隐蔽,这些给网络入侵检测带来很大的挑战.本文提出一种分布式入侵检测策略,该策略基于规则的优先级,并且对优先级高的规则采取优先匹配的原则;其中规则的优先级主要由一个时间段内每一个规则被匹配的次数来决定.根据这种策略,当网络数据流量过大,NIDS分析主机负载不能承受的时候,对于优先级比较低的规则采取不匹配的策略来动态调整规则库大小,从而缓解NIDS处理压力,进而提高NIDS的性能.     

基于深度学习的网络流量异常预测方法

针对网络入侵检测系统（NIDS）能够检测当前系统中存在的网络安全事件,但由于自身的高误报率和识别安全事件产生的时延,无法提前对网络安全事件进行准确率较高的预警功能,严重制约了NIDS的实际应用和未来发展的问题,提出了基于深度学习的网络流量异常预测方法。该方法提出了一种结合深度学习算法中长短期记忆网络和卷积神经网络的预测模型,能够训练得到网络流量数据的时空特征,实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。实验通过使用设计好的神经网络框架对入侵检测系统流量数据集CICIDS2017进行了训练和性能测试,在该方法下流量分类的误报率下降到0.26%,总体准确率达到了99.57%,流量特征预测模型R2的最佳效果达到了0.762。     

基于粒子群LSSVM的网络入侵检测

研究保护网络安全问题,计算机网络攻击的多样性及隐蔽性导致网络入侵检测困难.当前流行的人工神经网络检测方法的网络入侵检测率仅70%左右,不能满足网络安全防护需求,为了解决上述问题,提出基于最小二乘支持向量机和粒子群优化算法(PSO-LSSVM)的网络入侵检测方法,粒子群优化算法用于选择合适的最小二乘支持向量机参数.方法泛化能力强,识别精度高.在网络入侵检测中,通过KDDCup99数据库数据进行仿真,证明方法的优越性.实验结果表明粒子群优化算法与最小二乘支持向量机组合方法的网络入侵检测精度优于LSSVM与SVM.可见,PSO-LSSVM非常适合于网络入侵检测,可为网络保护设计提供参考.