IDS检测引擎中模式匹配算法的加速研究

高速和准确是入侵检测系统(IDS)的主要指标,入侵检测引擎是基于特征的IDS的重要功能组件,加快入侵检测引擎的检测速度对提高IDS的整体性能至关重要.本文提出了一种有效分割目标文本,且能在并行体系结构下实现的模式匹配的方法.分析表明,新的处理方法能有效提高入侵检测引擎的检测速度.     

一种用于并行入侵检测系统的数据分流策略

流量分配是影响并行入侵检测系统实时性的重要因素。提出了一种数据分流策略,将捕获的网络数据按照某种分流策略转发到多个探测器进行处理,解决目前基于网络的入侵检测系统跟不上高速网络发展而带来的丢包问题,达到提高整个系统的检测性能。最后通过试验分析表明该策略是有效的。     

一种可扩展的高效入侵监测平台技术

为了在更高带宽的网络中进行有效的入侵检测分析,研究了入侵检测中的数据获取技术,提出了一种可扩展的高效入侵监测框架SEIMA(scalable efficient intrusion monitoring architecture).在SEIMA结构模型中,通过将高效网络流量负载分割器与多个并行工作的入侵检测传感器相结合,从而可以将入侵检测扩展应用到更高的网络带宽中;通过使用高效地址翻译技术和缓冲区管理机制实现了旁路操作系统的高性能用户级网络报文传输模型,以便提高单传感器的报文处理性能;通过采用有限自动机的方法构建了基于用户层的多规则报文过滤器以消除多余数据包的处理开销.模拟环境和实际环境下的测试结果表明,SEIMA在提高网络入侵检测系统数据获取效率的同时,能够降低系统CPU的利用率,从而可以将更多的系统资源用于更复杂的数据分析过程.     

基于Snort的入侵检测引擎比较分析

基于误用的入侵检测系统性能在很大程度上取决于其检测引擎的性能。为了满足网络流量和速度的增大,设计高性能的入侵检测引擎将成为一项紧迫的任务。首先介绍了Snort系统的工作原理和检测引擎的分类,然后对在Snort2．0和Snort-ng中实现的最新检测引擎进行了详细分析。实验结果表明,Snort2,0在速度和内存消耗上都优于Snort-ng,但Snort-ng的检测引擎为今后入侵检测引擎的设计开辟了一条新的思路,但将它作为发展下一代Snort技术中的检测引擎还需要不断完善。     

高速网络下的分布式实时入侵检测系统

随着网络技术的飞速发展，网络安全问题日益突出。网络入侵检测系统需要处理大量的数据，处理能力的缺乏会引起入侵事件的漏报，提高入侵检测系统的处理能力是目前急需解决的关键问题。DRTIDS(distributed real-time intrusion detection system for high-speed networks)是一个由单个分析节点和多个探测节点组成的、工作在高速网络下的分布式网络入侵检测系统。DRTIDS的分析节点执行基于网络主机的流量分配策略，保证尽可能地平衡分配网络流量，从而尽可能地发挥整个系统的处理能力。     

基于移动代理的分布式入侵检测系统的研究

分析了现行的移动代理入侵检测系统的缺点,在此基础上,针对性地提出了一种基于移动Agent的分布式入侵检测系统模型MADIDS(mobile agent-based distributed intrusion detection system).该模型为每一个移动代理添加了独立的ID,并加入身份验证、完整性鉴定和加密机制.通过多Agent技术来实现检测自治化和多主机间检测信息的协调,提高了入侵检测系统自身的安全性,有效地检测了分布式的攻击行为.实验测试结果表明了其良好的性能.     

一种基于马尔可夫的负载均衡方法

对于采用并行的高速网络入侵检测系统,负载均衡能力是一个重要的性能指标。多数的负载均衡算法都是根据检测引擎的负载情况来动态地分配数据流。提出了一种基于马尔可夫的负载均衡方法,根据流量分配的历史序列,来决定当前数据流的分配。同时结合当前系统的负载情况,来实现数据流的合理分配。     

智能网格入侵检测系统

结合智能检测技术,并采用先进的分布式体系结构是当前入侵检测研究的一个主要方向.通过对网格与智能检测技术的深入研究,提出了一种智能网格入侵检测系统(intelligent grid intrusion detection system,简称GIDS).该系统部署于网格环境并采用基于神经网络的检测技术;为了实现各数据分析引擎的负载平衡,采用基于资源可用度的调度算法决定任务的分配;为了减少告警数量,采用基于乘性递增线性递减(multiplicative increase linear decrease,简称MILD)的动态窗口调整算法进行警报合成.该入侵检测系统不仅能够充分利用网格上的资源进行入侵行为的发现,而且实现了资源使用的负载均衡,在网络流量大的情况下能够获得较高的检测效率.最后介绍了相应的实验结果分析,表明了该系统的优越性.     

基于通用多核平台的入侵检测系统研究

为应对网络流量快速增长问题,提出一种基于通用多核平台的入侵检测系统结构。在系统设计基础上,分析、验证了硬件平台、资源分配模式和流量特征等关键因素对系统处理性能的影响。实验表明,网络流量的流数、单位时间内报文包数等指标对系统性能的影响更大;在启用多核处理器超线程技术并将检测引擎与CPU绑定时,系统性能可以得到有效提高;系统易于实现,性价比高。     

基于移动Agent的智能化入侵检测系统结构研究

在对IDS及移动Agent技术进行深入研究的基础上,结合现有的基于Agent的入侵检测模型提出了一种新的基于移动Agent技术的入侵检测系统结构.本结构模型在充分利用基于主机的入侵检测系统和基于网络的入侵检测系统优点的基础上,利用移动Agent技术,克服目前入侵检测系统之间的通信和协同合作方面的弱点,使二者结合在一起,提高入侵检测系统的整体功能和安全性能.分析了系统实现的关键技术和移动Agent自身的安全解决方案.     

基于分布式学习的大规模网络入侵检测算法

计算机网络的高速发展,使处理器的速度明显低于骨干网的传输速度,这使得传统的入侵检测方法无法应用于大规模网络的检测.目前,解决这一问题的有效办法是将海量数据分割成小块数据,由分布的处理节点并行处理.这种分布式并行处理的难点是分割机制,为了不破坏数据的完整性,只有采用复杂的分割算法,这同时也使分割模块成为检测系统新的瓶颈.为了克服这个问题,提出了分布式神经网络学习算法,并将其用于大规模网络入侵检测.该算法的优点是,大数据集可被随机分割后分发给独立的神经网络进行并行学习,在降低分割算法复杂度的同时,保证学习结果的完整性.对该算法的测试实验首先采用基准测试数据circle-in-the-square测试了其学习能力,并与ARTMAP(adaptive resonance theory supervised predictive mapping)和BP(back propagation)神经网络进行了比较;然后采用标准的入侵检测测试数据集KDD'99 Data Set测试了其对大规模入侵的检测性能.通过与其他方法在相同数据集上的测试结果的比较表明,分布式学习算法同样具有较高的检测效率和较低的误报率.     

基于Agent人工智能的异构网络多重覆盖节点入侵检测系统设计

异构网络具有结构复杂、多重覆盖面积大等特征,使得网络入侵检测较为隐蔽,为网络安全运行造成威胁,为此,设计基于Agent人工智能的异构网络多重覆盖节点入侵检测系统。通过检测Agent和通信Agent装设主机Agent,以Cisco Stealthwatch流量传感器作为异构网络传感器检测攻击行为,采用STM32L151RDT6 64位微控制器传输批量数据,由MAX3232芯片实现系统电平转化,实现硬件系统设计。软件部分设计入侵检测标准,利用传感器设备捕获网络实时数据,通过Agent技术解析异构网络协议并提取数据运行特征,综合考虑协议解析结果及与检测标准匹配度,实现异构网络多重覆盖节点入侵检测。通过系统测试得出结论:设计的基于Agent人工智能的异构网络多重覆盖节点入侵检测系统入侵行为的漏检率和入侵类型误检率的平均值仅为6%和5%,能够有效提高检测精度,减小检测误差。     

Large-scale network intrusion detection based on distributed learning algorithm

As network traffic bandwidth is increasing at an exponential rate, it’s impossible to keep up with the speed of networks by just increasing the speed of processors. Besides, increasingly complex intrusion detection methods only add further to the pressure on network intrusion detection (NIDS) platforms, so the continuous increasing speed and throughput of network poses new challenges to NIDS. To make NIDS usable in Gigabit Ethernet, the ideal policy is using a load balancer to split the traffic data and forward those to different detection sensors, which can analyze the splitting data in parallel. In order to make each slice contains all the evidence necessary to detect a specific attack, the load balancer design must be complicated and it becomes a new bottleneck of NIDS. To simplify the load balancer this paper put forward a distributed neural network learning algorithm (DNNL). Using DNNL a large data set can be split randomly and each slice of data is presented to an independent neural network; these networks can be trained in distribution and each one in parallel. Completeness analysis shows that DNNL’s learning algorithm is equivalent to training by one neural network which uses the technique of regularization. The experiments to check the completeness and efficiency of DNNL are performed on the KDD’99 Data Set which is a standard intrusion detection benchmark. Compared with other approaches on the same benchmark, DNNL achieves a high detection rate and low false alarm rate.     

反馈神经网络在入侵检测系统中的应用

对基于网络的入侵检测系统进行了研究,提出了将反馈网络应用于入侵检测系统中,使用一种改进的Jordan神经网络算法,借助于反馈神经网络提取描述攻击模式的特征和进行规则推导,然后用神经网络建立的规则集进行入侵检测,实验证明利用反馈神经网络提高了入侵检测系统的性能。     

Functional verification of signature detection architectures for high speed network applications

To meet the future internet traffic challenges, enhancement of hardware architectures related to network security has vital role where software security algorithms are incompatible with high speed in terms of Giga bits per second (Gbps). In this paper, we discuss signature detection technique (SDT) used in network intrusion detection system (NIDS). Design of most commonly used hardware based techniques for signature detection such as finite automata, discrete comparators, Knuth-Morris-Pratt (KMP) algorithm, content addressable memory (CAM) and Bloom filter are discussed. Two novel architectures, XOR based pre computation CAM (XPCAM) and multi stage look up technique (MSLT) Bloom filter architectures are proposed and implemented in third party field programmable gate array (FPGA), and area and power consumptions are compared. 10 Gbps network traffic generator (TNTG) is used to test the functionality and ensure the reliability of the proposed architectures. Our approach involves a unique combination of algorithmic and architectural techniques that outperform some of the current techniques in terms of performance, speed and power-efficiency.     

并行数据包采集代理系统中的故障检测与恢复

在基于网络的IDS中，并行多采集代理技术可以有效地降低系统丢包率，但这种并行结构也造成了系统的可靠性下降。为了提高系组统可靠性．给出了并行采集代理的故障模型，针对并行采集代理中包选择算法的特点和并行采集所应用的环境，提出了基于检测代理和基于故障状态广播的两种故障检测与恢复模型，并分析了两者各自的优势和适用范围。最后定量给出了系统性能和可靠性之间的关系     

Intrusion Detection Systems in Internet of Things and Mobile Ad-Hoc Networks

Internet of Things (IoT) devices work mainly in wireless mediums; requiring different Intrusion Detection System (IDS) kind of solutions to leverage 802.11 header information for intrusion detection. Wireless-specific traffic features with high information gain are primarily found in data link layers rather than application layers in wired networks. This survey investigates some of the complexities and challenges in deploying wireless IDS in terms of data collection methods, IDS techniques, IDS placement strategies, and traffic data analysis techniques. This paper’s main finding highlights the lack of available network traces for training modern machine-learning models against IoT specific intrusions. Specifically, the Knowledge Discovery in Databases (KDD) Cup dataset is reviewed to highlight the design challenges of wireless intrusion detection based on current data attributes and proposed several guidelines to future-proof following traffic capture methods in the wireless network (WN). The paper starts with a review of various intrusion detection techniques, data collection methods and placement methods. The main goal of this paper is to study the design challenges of deploying intrusion detection system in a wireless environment. Intrusion detection system deployment in a wireless environment is not as straightforward as in the wired network environment due to the architectural complexities. So this paper reviews the traditional wired intrusion detection deployment methods and discusses how these techniques could be adopted into the wireless environment and also highlights the design challenges in the wireless environment. The main wireless environments to look into would be Wireless Sensor Networks (WSN), Mobile Ad Hoc Networks (MANET) and IoT as this are the future trends and a lot of attacks have been targeted into these networks. So it is very crucial to design an IDS specifically to target on the wireless networks.     

网络入侵检测技术综述

入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。     

基于人工示例训练的神经网络集成入侵检测

提出一种基于人工示例训练的神经网络集成入侵检测方法。使用不同的训练数据集训练不同的成员网络,以此提高成员网络之间的差异度。在保证成员网络个数的基础上,选择差异度较大的成员网络构成集成,以提高系统的整体性能。实验结果表明,与当前流行的集成算法相比,该方法在保证较高入侵检测率的前提下,可保持较低的误检率,并对未知入侵也具有较高的检测率。