分布式实时网络入侵检测系统

各种网络攻击手段给网络安全造成了严重的威胁，并给人们带来了巨大的经济损失。文中描述了一个入侵检测系统，并提出了具体的设计方案，按照这个设计思想实现的系统能够满足大流量的网络入侵检测，并具有很好的扩展性和健壮性。     

一种分布式入侵检测系统构架

1 入侵检测和分布式入侵检测现状及问题计算机安全技术可划分为主动防御和被动防御两种。后者典型的有诸如防火墙、标识与认证、访问控制等手段。主动防御代表的是入侵检测,它主动实时跟踪系统入侵和误用,及时作出响应,是传统安全手段的很好补充和完善。入侵检测正成为热点,美国政府支持了诸如EMERALD、NIDES和DIDS等项目。分布式入侵检测因具有较强的容错和抗毁能力、分布式攻击检测能力和开放性架构等优势成为未来研究方向。分布式入侵检测要解决以下问题:容错和抗毁、对具体系统能方便裁剪以及系统随时间演化不断优化。在分布式架构中,当上级节点发生故障时,分级结构容易产生单点失效;纯分布式具有很好的容错性,但因开销和复杂度等因素没有一个实用化系统采用。分级构架系统有Centrax、NIDES、AAFID、NetStat等。对于两级结构的Centrax和NIDES,当唯一中心处理单元出故障时,系统将会失效;NetStat采用底层     

一种基于移动代理的分布式网络入侵检测系统模型

本文设计了一种基于移动代理的完全对等分布式网络入侵检测系统模型。并详细设计了模型中入侵检测代理、系统通信和报警信息日志等系统关键模块。分析结果表明。霞模型具有较好的可扩充性、较轻的通信负载和较好的检测性能。     

一种分布式协同入侵检测系统的设计与实现

提出了一种能够精确描述入侵检测技术的综合分类方法,针对多管理域环境设计了一个分布式协同入侵检测系统(distributedcooperativeintrusiondetectionsystem,简称DCIDS),通过不同管理域IDS(intrusiondetectionsystem)之间高效安全的通信,实现协同检测.介绍了DCIDS的系统结构和4个组成部分:传感器、分析器、管理器以及用户界面,并讨论了系统实现中的安全通信、入侵检测点的选择等关键问题.     

基于网络的分布式入侵检测系统

本文提出的基于移动代理的网络入侵检测系统，实现了全局范围内的入侵检测，具有清晰的系统结构和良好的可扩展性；协议分析与模式匹配相结合的检测方法，大大提高了检测效率，使得检测引擎具有更好的实时性能。     

一种基于MA的分布式入侵检测系统研究

分布式入侵检测系统有许多优点,如可测量性和抗破坏性。然而,在具体实施过程中存在着许多障碍。移动代理(MA)技术有着适合分布式入侵检测系统具体实施的许多特性。基于移动代理的分布式入侵检测系统利用移动代理技术同等地处理来自每台被监视主机的信息,然后完成对入侵行为的全局信息提取。本文深入分析了一种基于移动代理的分布式入侵检测系统。     

一种分布式入侵检测系统模型

本文提出一种分布式入侵检测系统模型。该模型由监视器、中心分析器、控制台和全局配置库四个部分组成,它不仅能够检测针对一台主机的攻击,而且还可以检测跨越多个 子网的攻击。几个空闲的中心分析器通过一种自举算法竞争成为协调者,避免了单个中心分析器带来的单点失效问题,提高了系统的健壮性。控制台和全局配置库使得整个系系统更加易于配置和管理。     

入侵检测系统的设计与实现

本文在分析了传统入侵检测系统和网络入侵检测系统的结构框架基础上,设计了分层的分布式入侵检测系统NETPolice-IDS,将系统分为主机探测响应单元、网络探测响应单元、分级控制台、总控制台四个部分,各部分之间通过标准的网络接口进行通信,并采取加密措施,提高了通信的安全性。文中给出了各个模块的具体设计方案。     

基于网络入侵检测的研究与实现

分析了目前网络入侵检测技术的现状及存在的问题，设计了一种基于代理的分布式网络入侵检测系统。并分别从主机Agent、分析Agent和中心Agent的实现方法进行了详细讨论，最后展望了当前入侵检测系统的研究内容与发展方向。     

基于多主体的分布式网络入侵检测系统

随着网络入侵行为变得越来越普遍和复杂,传统的单一入侵检测系统已不能满足网络安全的发展需求.针对当前形势,为了提高计算机及网络系统的防御能力,提出了一种基于多主体的分布式网络入侵检测模型,研究了基于多主体的分布式网络入侵检测系统.在对入侵检测系统的描述中,重点介绍了入侵检测系统功能、入侵检测系统框架、入侵检测系统工作流程和系统实现的关键技术.为了验证系统的有效性,对入侵检测系统进行了大量的测试.测试结果表明,入侵检测系统扫描网络花费时间不多,扫描结果准确率很高.     

基于分布式体系结构的网络入侵检测系统（DIDS）

随着计算机网络的迅速发展，网络信息量的迅猛增长，网络攻击方式也在不断翻新。同时，网络入侵检测系统也得到了很快的发展。最后展望当前入侵检测系统的研究内容和发展方向。     

MADIDS：基于移动代理的分布式入侵检测

传统的IDS在WAN上配置时，通常会出现计算瓶颈和维护更新不易等问题。本文提出了一种基于移动代理的新型分布式入侵检测系统（Mobile Agent Distributed IDS）。MADIDS是针对WAN环境专门设计的，数据的处理通过各节点所设置的代理来进行分布式计算，不仅能实现全网络范围内的入侵检测功能，具有良好的可移植性；而且对网络系统和主机的资源占用较低，减少出现网络瓶颈的可能。文中建立了MADIDS的体系结构和理论分析模型，并讨论了MADIDS的维护更新机制。     

基于事件驱动的入侵检测系统设计与实现

提出了一种新的入侵检测系统的设计,并给出实现概要,DEN系统实现了基于事件驱动的IDS系统。DEN在数据链路层被动动监听系统的网络连接,对各种异常生成相应的事件,并实时驱动DEN的事件引擎来处理,系统有一套自己的语言DEN Script,用于实现基于用户定制的事件处理代码,DEN系统的特点是适应高速的网络传输;实时提醒和良好的可扩展性。     

网络蠕虫与IDS防范

蠕虫的爆发给计算机用户带来巨大的损失,蠕虫的防范工作变得尤为重要。本文从蠕虫和IDS的相关技术出发,简要分析蠕虫爆发时IDS的网络特征,进而提出一个行之有效的蠕虫检测模型结构;最后提出在此领域未来的研究发展方向,为今后的科研工作提出新的研究思路。     

入侵检测系统在网络安全中面临的挑战及对策

入侵检测系统(IDS)在计算机网络安全领域所占的地位越来越重要,规模比以前有了很大的扩展。本文简述了入侵检测系统的概念,指出了入侵检测系统在网络安全中面临的挑战,并提出了入侵检测系统要适应挑战应采取的对策。     

MADIDS：一种基于移动代理的新型分布式入侵检测系统

When traditional Intrusion Detection System(IDS)is used to detect and analyze the great flow data transfer in high-speed network,it usually causes the computation bottleneck.This paper presents a new Mobile Agent Distributed IDS(MADIDS) system based on the mobile agents.This system is specifically designed to process the great flow data transfer in high-speed network.In MADIDS,the agents that are set at each node process the data transfer by distributed computation architecture.Meanwhile by using the reconfiguration quality of the mobile agents,the load balance of distributed computation can be dynamically implemented to gain the high-performance computing ability.This ability makes the detecting and analyzing of high-speed network possible.MADIDS can effectively solve the detection and analysis performance bottleneck caused by the great flow data transfer in high-speed network.It enhances the performance of IDS in high-speed network.In this paper,we construct the infrastructure and theoretical model of MADIDS,and the deficiencies of MADIDS and future research work are also indicated.     

多视点深入剖析分布式入侵检测系统

分布式入侵检测系统已经成为当今入侵检测领域的发展趋势和研究热点。通过对当前国内外出现的分布式入侵检测系统的深入研究,总结出分布式入侵检测系统的六类通用组件:采集器、分析器、协调器、管理器、响应器、用户界面;并提出了三个重要视点:管理视点、分析视点和协调视点。这在国内尚属首次。为了更详细阐明三个视点的涵义,笔者分别从这三个视点出发对国内外现有的各种分布式协同入侵检测系统进行了分类,并对几种典型入侵检测系统的体系结构、技术特点以及各自的优势与不足进行了深入分析;最后提出在大规模网络环境下分布式入侵检测系统所应该具备的一些功能特点;并且对该领域的一些发展方向与趋势进行了探讨。     

基于分流过滤算法的分布式高速网络监控

如何实时处理网络巨大的流量，是高速网络监控的核心。文章提出一种分流过滤算法，结合了分流和过滤的优点，通过并行的方法较好地解决了这个问题。同时基于这种分流过滤算法，提出了分布式的层次的高速网络监控体系结构，实现了对高速网络的监控。     

IDS中模式匹配算法及其并行化设计

分析了snort中采用的Boyer-Moore模式匹配算法,提出了改用更高效的KARP-RABIN模式匹配算法,并对该算法进行了并行化设计,给出了设计代码。实验结果表明可以提高IDS的实时检测性能。     

基于Agent的网络分布式动态防护体系

从系统科学的观点出发，提出了网络分布式动态防护体系的概念，研究了其基于系统工程与面向Agent的设计思想和方法。据此设计了基于Agent的分布式动态防护体系，论述了数据获取、信息处理、决策响应与辅助等Agent的功能原理及其动态协作关系。该体系具有本质的智能性和动态性，能有效检测并阻断多种入侵，实现了分布动态防护。