共查询到20条相似文献,搜索用时 171 毫秒
1.
入侵检测关键技术研究与实现 总被引:4,自引:0,他引:4
目前的网络入侵检测系统(NIDS)主要存在误报,漏报率高、自身的性能难以适应迅速增长的网络流量的需要等缺点,论文以提高检测的速度和准确率为目的对网络入侵检测简单模型进行分析,针对其三个关键处理点提出了高速网络数据处理技术、高准确度的检测技术、高速模式匹配技术,并在文章最后展望了入侵检测将来可能使用的一些关键技术。论文所讨论的关键技术得到了比较好的运用,并建立了完善的原型系统。 相似文献
2.
3.
高为民 《计算机测量与控制》2008,16(1):112-113,140
在高速网络环境中,网络入侵检测需要解决信息量繁多、计算量大、实时高等系列技术问题;分析了高性能计算与网络入侵检测研究背景,概括高性能网络入侵检测技术研究发展状况,然后提出了一个基于并行计算网络入侵检测系统(简称PNIDS),并给出相应的高性能算法,同时,构建了PNIDS实验原型系统,做了有关网络入侵检测实验;其结果表明PNIDS能利用机群计算优点,降低NIDS漏警率。 相似文献
4.
网络入侵检测系统(NIDS)是安全防范机制的重要组成部分。当前,对入侵检测的理论研究取得了多方面的成果,提出了专家系统,神经网络,数据挖掘,移动代理等等检测方法。但在实际应用中仍然局限于异常检测和误用检测,实际入侵检测的难点主要在于检测的效率,即误报和漏报问题。该问题可以通过软件硬化来解决。阐述了实现一种基于Intel网络处理器IXP2400的网络入侵检测系统。重点讨论了入侵检测分析引擎的模式匹配算法和网络处理器各线程间数据的通信问题。实验表明该系统能在保证检测效率的同时,减少误报和漏报,对保证当前高速企业网络安全有一定的实用性。 相似文献
5.
6.
模式匹配既是网络入侵检测系统(NIDS)的关键,也是NIDS中消耗资源最多的部分。随着网络速度和入侵检测规则的持续增长,模式匹配正在成为NIDS的性能瓶颈。提出了一种基于非确定有限自动机结构的Aho-Corasick算法,通过压缩状态表,把状态和状态变迁存储在一个单一向量中,显著降低了内存需求,获得了良好的cache性能。测试表明,与其他Aho-Corasick 算法相比,MEAC的内存消耗平均减少了92.3%~98.4%,同时保持了Aho-Corasick算法的良好性能。 相似文献
7.
基于网络的入侵检测方法研究 总被引:18,自引:0,他引:18
综述了基于网络的入侵检测系统(NetworkBasedIntrusionDetectionSystem,NIDS)研究方面的一些最新的工作,分析了NIDS的体系结构、NIDS的典型技术,并着重论述了大型网络入侵检测所面临的问题,包括NIDS体系结构的可扩展性、基于知识的NIDS、NIDS的海量数据处理技术及其进一步的研究方向。 相似文献
8.
9.
由于网络入侵检测系统(NIDS)固有的特点,很难从各个NIDS产品厂家宣传的检测"率来评价不同NIDS的检测能力。本文先介绍了网络入侵检测系统检测能力的测评指标,然后建立了一个采用模拟数据的简单的测评方案,并简要介绍了模拟数据的获取方法。该方案简单,易于实施,通过该方案测评的NIDS的检测能力具有可比性、公正性、客观性。 相似文献
10.
入侵检测系统中的快速多模式匹配算法 总被引:7,自引:0,他引:7
网络入侵检测系统常常依赖于精确的模式匹配技术,依赖于算法的选择、实现以及使用频率。这种模式匹配技术可能成为入侵检测系统的瓶颈,为了跟上快速增长的网络速度和网络流量,Snort(开放源代码的网络入侵检测系统)中采用了快速多模式匹配算法,本文描述了Snort中一种引入注目的快速多模式匹配算法及其对系统性能的改进。 相似文献
11.
针对网络入侵检测系统(NIDS)的处理速度无法跟上网络通讯及其数量的增长速度,提出了基于Netfilter的分布式NIDS系统和负载均衡算法,在Netfilter上实现了数据包的分流,使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明,分布式NIDS中每个NIDS的负载基本相等,漏检率减少到了单个NIDS的1/4。 相似文献
12.
多媒体应用程序的一个最突出的特点就是其内在的并行性,要求同时对多个数据单元进行相同的规则操作,这种并行性被称为子字并行。如何让编译器产生有效的并行代码,如何从普通的串行C程序中识别出子字并行指令,是一个前沿性的研究课题。提出了一种用于实现对串行源代码进行显式表示的方法,该方法对数字信号处理领域常用的同步数据流图方法进行改进,结合模式匹配技术,着眼于内层循环,通过扩展规范的模式库,对带模式识别的数据流、控制流进行分析,能够从串行应用程序中自动地提取其固有的子字并行,得到显式的并行化中间表示,基于这种数据流图表示,采用改进的树模式匹配实现子字并行指令选择和代码生成。实验测试表明了该方法的有效性。 相似文献
13.
The paper puts forward a new method of densitybased anomaly data mining, the method is used to design the engine of network intrusion detection system (NIDS), thus a new NIDS is constructed based on the engine. The NIDS can find new unknown intrusion behaviors, which are used to updated the intrusion rule-base, based on which intrusion detections can be carried out online by the BM pattern match algorithm. Finally all modules of the NIDS are described by formalized language. 相似文献
14.
15.
16.
17.
随着网络带宽的不断增加,以及处理能力的限制,传统的网络入侵检测系统(Network Intrusion Detecting System,NIDS)面临挑战,如何提高NIDS的处理能力备受关注。通过专用设备提高检测速度,不但价格昂贵且无法大规模普及。通过对Linux网络协议栈的优化,以及常用入侵检测系统Snort的多线程化,结合了图形处理器(Graphic Processing Unit,GPU)的高性能并行计算能力,设计了一种高性能的软件入侵检测架构,突破现有NIDS使用普通CPU的计算瓶颈,以应对高速链路对入侵检测性能的要求。实验结果表明,高速网络中的数据包可以采用GPU来处理。 相似文献
18.
通过对目前NIDS的检测技术、IP分片形成以及重组机制的分析,发现常用的NIDS的检测方法不能很好地检测包含在IP分片中的攻击特征,这是由于不同的系统对于分片的处理策略是不同的,不能根据NIDS的处理结果推断终端主机的处理结果,从而包含攻击特征的IP分片可以轻松地逃避NIDS的检测。为此,提出了一种针对于抵抗IP分片攻击的方法,通过在NIDS的前端串行地加入一个流量预处理引擎TPE,对IP分片进行预定的规则处理。实验结果表明,此种方法能够有效地抵御90%以上的IP分片攻击。 相似文献
19.
当网络流量超出网络入侵检测系统(NIDS)负载能力时,漏检将不可避免,此时应选择较危险的数据包优先处理。因多媒体数据包在流量中所占比例较大,故曾提出对其识别和特殊处理的方法,收效良好。在此基础上,提出结合遗传算法的NIDS多媒体包多线程择危模型,该模型能在漏检发生时,根据不同线程的最大处理能力,按照多媒体数据包的危险程度择危优先处理。实验结果表明,使用该模型能够有效提高NIDS在每个线程内所选择的多媒体数据包序列的危险系数。 相似文献
20.
为了在更高带宽的网络中进行有效的入侵检测分析,研究了入侵检测中的数据获取技术,提出了一种可扩展的高效入侵监测框架SEIMA(scalable efficient intrusion monitoring architecture).在SEIMA结构模型中,通过将高效网络流量负载分割器与多个并行工作的入侵检测传感器相结合,从而可以将入侵检测扩展应用到更高的网络带宽中;通过使用高效地址翻译技术和缓冲区管理机制实现了旁路操作系统的高性能用户级网络报文传输模型,以便提高单传感器的报文处理性能;通过采用有限自动机的方法构建了基于用户层的多规则报文过滤器以消除多余数据包的处理开销.模拟环境和实际环境下的测试结果表明,SEIMA在提高网络入侵检测系统数据获取效率的同时,能够降低系统CPU的利用率,从而可以将更多的系统资源用于更复杂的数据分析过程. 相似文献