一种硬件规则匹配算法的研究与实现

网络的高速发展给人们的生活带来了便利,但网络入侵等非法应用妨碍了互联网的正常使用,高效的规则处理系统可以保护网络免受攻击。文中针对当前各种规则匹配算法处理速度慢,无法满足高速网安全应用的需求,提出了一种基于硬件的规则匹配算法。该算法通过向量运算完成规则匹配,并使用硬件并行处理,大大提高了规则匹配的匹配速度。设计并实现了一个基于该算法的硬件匹配单元,并通过实验验证该算法完全可以满足高速网络中入侵检测等数据处理要求。     

基于Octeon多核网络处理器的IPv6联动IPS研究与设计

对基于Octeon多核网络处理器的新一代IPv6高速网络联动入侵防御系统进行研究,设计了新型联动入侵防御原型.系统基于Octeon多核的高速处理,并结合了IPv6网络中入侵的新特点.在基于入侵检测规则库规则匹配技术的基础上,运用新型的协议分析技术和基于流的检测技术,在Octeon多核间分配控制层与数据层的不同执行,采用命名块机制进行多核间通信,通过数据层核向控制层核的反馈,实现了流处理及协议分析模块与控制模块的高速联动.系统实现了Gbps级的高速入侵检测与联动防御处理.     

分层网络伪装入侵实时高速检测方法研究北大核心CSCD

提出一种分层网络伪装入侵实时高速检测方法.该方法首先对分层网络数据进行预处理,采用蚁群算法对分层网络伪装入侵实时高速检测进行特征选择,然后结合特征选择的分析进行网络伪装入侵实时高速分层聚类方法完成对分层网络伪装入侵实时高速检测方法的研究.仿真实验表明,利用分层网络入侵检测方法能有效地提高网络入侵实时高速检测准确性.     

分布式网络时序关联入侵攻击行为检测系统设计

分布式网络采用网状拓扑结构,传输链路数很大,在提高网络稳定性的同时也相应增加了遭受恶意入侵的风险。针对传统网络入侵行为检测系统设计存在的检测耗时长、准确率低、误报率高等不足,提出基于时序关联规则的分布式网络入侵攻击行为检测系统。基于时序关联规则算法原理,设计了入侵检测系统的硬件构成,系统硬件部分由数据采集、规则解析、协议解码、数据预处理及检测分析模块等部分构成;在入侵检测系统的软件算法流程方面,重点将入侵数据集变换为一种基于时序的项集矩阵,求解出相关的频繁项集及时序关联规则,实现对分布式网络入侵行为的精确检测。实验数据表明,提出的入侵系统设计具有良好的系统稳定性及检测效率,在检测精度和误报率控制方面也具有优势。     

基于模糊关联规则挖掘的网络入侵检测算法

为了有效解决当前网络入侵检测算法存在的缺陷,提高网络的安全性,提出基于模糊关联规则挖掘的网络入侵检测算法。首先收集网络数据,提取网络入侵行为的特征;然后采用模糊关联规则算法对入侵行为特征进行挖掘,选择入侵行为最有效的特征,减少特征之间的关联度;最后支持向量机根据"一对多"的思想建立网络入侵检测的分类器,以KDD CUP数据为例对网络入侵检测性能进行分析。结果表明,该算法的网络入侵检测正确率超过了95%,检测结果要明显好于其他检测算法,易实现,可以用于大规模网络的在线入侵检测分析。     

入侵检测中一种快速串匹配算法

基于字符串匹配的检测方法是入侵检测系统中一类很重要的分析方法,为了提高字符串匹配型检测方法的检测效率,论文设计了一种有效的规则库编码方法,分析了检测中的激活阈值问题和几种二进制字符串的匹配算法用于入侵检测时的时间复杂度和空间复杂度,并采用多属性r连续位匹配规则,有效降低了检测时算法运行所需的时间复杂度和空间复杂度,使得检测速度大大提高。     

基于决策树算法的入侵检测研究

目前网络环境日益复杂,传统的入侵检测效率较低,为提高网络入侵检测的效率和准确性,本文提出一种基于决策树算法的入侵检测模型.针对决策树算法准确性高、速度快和可以处理高维数据等特点,采用多种类型的决策树算法对入侵数据特征分析处理,对比效果,最后对网格搜索算法进行改进,提高网格搜索算法优化模型参数的效率.通过实验分析,在模型...     

高速入侵检测系统

本文提出了多个关键技术从各个方面解决传统入侵检测速度瓶颈的问题，包括：零拷贝报文捕获、基于状态的协议分析、以及规则树结合高速算法插件匹配等技术。其中规则树结合高速算法插件的匹配技术在国内外属首次提出。     

网络误用和异常入侵检测系统设计

文中讨论了误用和异常入侵检测技术存在的不足,提出结合误用检测和异常检测的入侵检测系统模型,该系统利用规则匹配检测已知入侵,利用免疫算法检测未知入侵并更新规则数据库,检测效率较高。     

基于特征值的多模式匹配算法

高速网是当今网络发展的必然趋势,采用现行匹配算法的入侵检测系统(IDS)很难在高速网中有效地运行。本文主要从特征值的多模式匹配算法、模式库的组织和逻辑实现这三个方面来大幅度地提高系统检测速率,完全适应于高速网络的入侵检测。     

协议分析与模式匹配相结合的IDS的设计研究

分析了传统的模式匹配和协议分析检测方法的优缺点。使用协议分析和模式匹配相结合的入侵检测技术,设计与实现了一个网络入侵检测系统。该系统中,利用Libpcap函数库实现网络数据包的捕获,采用内存映射技术来提高数据包捕获效率;应用改进后的Tuned BM模式匹配算法,提高模式匹配的速度,减少比较的次数。这样的体系设计可以减少计算量,提高算法的效率,并通过协议分类减少不必要的误报率。     

基于聚类粒子群算法网络异常检测模型研究

提出了一种新的基于聚类算法和遗传算法相结合的入侵检测方法模型.算法对聚类的中心采用二进制编码,将网络的正常行为和非正常行为分为不同的类,把每个点到它们之间的各自的聚类中心的欧几里得距离的综合作为相似度量,然后采用粒子群优化算法,有效的降低网络拓扑路径长度,通过优化算法来寻找聚类的中心.Matlab仿真实验结果表明,提出的改进的网络异常检测方法,与较传统网络入侵检测系统模型相比,具有更好的入侵识别率和检测率,同时提高了算法的执行效率.     

基于端口互动模式的入侵检测模型

针对链路层的海量高速数据流、信息易被伪装、较小异常流量占比等特征,提出了一种基于端口互动模式量化模型的入侵检测模型。为提高入侵检测模型的精度和效率,提出了一种从初始流量中获取流量特征的新方法,并重点探讨如何以流量到达时间分布作为一维特征。使用相空间重构、可视化等方法证明了模型的有效性,并进一步根据长会话和短会话各自的特征设计了基于卷积层和长短时记忆层的改进神经网络,用以挖掘正常和异常流量端口互动模式之间的差异。在此基础上,设计了多模型评分机制下的改进入侵检测算法,对模型空间内的会话进行流量分类。所提出的量化模型和改进算法在提高计算效率的同时,能够有效避免伪装身份信息的情况,降低神经网络训练成本,提升小样本异常检测精度。     

基于分布式入侵检测的负载平衡调度算法

分布式入侵检测的工作由系统中的多台计算机来进行分担可以极大地提高系统的可靠性,但在各个网络节点之间的负载不平衡问题制约了其工作效率的充分发挥.文中提出了一种使网络间平衡负载的调度算法,该算法把入侵检测系统的规则当作线程,通过本地调度和在网络中通信使得负载在网络间平衡分布.     

基于IPv6的免疫入侵检测自我集生成方法

基于人工免疫的入侵检测已成为网络安全研究领域的一个重要方向。基于人工免疫的入侵检测的免疫耐受过程和检测过程都需要进行匹配操作,匹配的前提是必须对“自我”与“非我”进行有效的特征编码,编码方案的好坏关系到检测系统的效率及准确率。通过介绍协议解析技术,对IPv6协议进行分析,提出一种IPv6数据包编码方案,能够较有效地生成自我集。     

杂草算法优化支持向量机的网络入侵检测

为了解决支持向量机(优化SVM)在网络入侵检测中的参数优化问题,以提高网络入侵检测性能,提出一种入侵杂草(IWO)算法SVM的网络入侵检测模型(IWO-SVM)。首先将SVM参数编码为入侵杂草,以检测率作为优化目标函数,然后通过模拟杂草入侵种子的生长过程找到最SVM的最优参数,从而最优网络入侵检测模型,后在采用KDD99数据集性能测试。结果表明IWO-SVM是一种检测检测率高、速度快的网络入侵检测模型。     

基于应用的高速网络入侵检测系统研究

传统的网络入侵检测方法基于传输层以下的数据包特性来检测入侵，因此存在一些难以克服的缺点，如易受欺骗（evasion)、误报警（false positive)多、检测效率低等，难以适应高速的网络环境。为了解决这些问题，本文提出将应用协议分析方法应用到网络入侵检测中，实现基于应用的检测，并提出了一个改进的多模式匹配算法，进一步提高检测的效率；同时针对高速网络环境，利用基于数据过滤的压缩技术与负载均衡技术提出了一个新的网络入侵检测系统结构模型，给出了系统的设计与实现方法。实验测试表明系统能够对吉比特以太网进行有效的实时检测。