并行入侵检测系统的预测负载均衡方法

数据流的高速化使得网络入侵检测系统(network intrusion detection system,NIDS)往往会出现严重的漏报率,并且面对某连接上突发流量的情况,基于连接的负载均衡很难做出较好的应对措施,针对该问题,提出了一种基于包预测的并行入侵检测的负载均衡方案。该方案通过观察每个探测器上数据包的进出情况,由包预测负载均衡算法预测下一个时刻各探测器上的负载情况,避免了将新连接加入到流量突发探测器的可能,提高了负载均衡的效率。仿真实验结果表明了该方案的可行性及有效性,它能有效的均衡负载,减少系统的丢包率。     

基于负载预测的通信网络入侵检测系统设计

针对传统通信网络入侵检测系统负载不均而导致检测精准度低的问题,提出了基于负载预测的通信网络入侵检测系统设计;设计系统硬件结构,使用T-KOKO型监听器及带有监听面板AP-9812M的语音信息监听工具,使用HDMI分配器传输监听信号,选择JY211-QTQ-04型号光缆探测器,其内部含有发射机和接收机,用于发射和接收数据,采用TCP继电器控制器用于改变指令正常执行的顺序;确定负载指标,动态调整负载预测策略,保证负载均衡,并通过hash函数获取网络攻击行初始判别概率向量,实现通信网络入侵检测;由实验结果可知,该系统的运行时间平均值为86.3 s,吞吐率平均为74 Mbps,网络入侵检测准确率平均值为95%,证明所设计通信网络入侵检测系统运行时间较短,吞吐量较高,证明了该系统的检测速度较快,且检测准确率较好,能够为通信网络的安全运行提供系统支持。     

高速网络下基于负载均衡的入侵检测系统研究

高速网络环境下的入侵检测是一个新的研究方向.针对该技术研究了基于负载均衡技术的入侵检测系统并建立了系统模型,在该模型的基础上对负载均衡器进行了改进.其中使用了负载均衡算法中的最快响应法和加权法相结合的方法对高速网络中的数据进行处理,这样的改进优化了处理结果,提高了高速网络环境下入侵检测的准确性和有效性.     

高速网络环境下的入侵检测技术研究

首先介绍了目前高速网络环境下的入侵检测系统的研究概况,接着对基于FPGA和基于负载均衡技术的两类入侵检测系统模型进行了分析,并重点研究了基于网络处理器的采用负载均衡技术的入侵检测系统中的关键技术即数据捕获技术、负载均衡技术和数据分析技术.     

多Agent负载均衡在入侵检测系统中的应用

针对在高速网络环境中实现入侵检测系统的动态负载均衡问题,提出一种基于多Agent的负载识别和基于改进遗传算法的动态负载均衡策略,实现入侵检测系统中的智能负载均衡,给出相应的系统模型,并以实验结果证明其有效性。     

基于分流技术的高速网络入侵检测系统设计

针对网络入侵检测系统因自身性能缘故在高速网络上难以有效地进行实时入侵检测,设计了一种基于动态流量负载均衡的分流式入侵检测系统模型,模型中的数据分流器将捕获的网络数据包在数据链路层转发至多个探测机进行处理,并通过动态负载均衡分流算法实现数据的均衡分流.该设计方法能够充分利用系统的计算资源,具有良好的扩展性、动态流量均衡性和检测性能.实验结果表明,通过分流器分流到各个探测器的数据包个数基本上能平均分配,系统的检测分析能力随探测机数量的增加而明显增强.     

基于分布式入侵检测系统的负载均衡算法的比较

随着网络带宽的增长,分布式NIDS逐渐成为入侵检测系统的主流,而其中的负载均衡技术是提高系统性能的关键技术之一。通过模拟的方法,利用真实的网络数据,将多种负载均衡算法分为无连接约束算法和有连接约束算法进行了比较、评价,为分布式入侵检测系统的设计提供负载均衡算法的选择依据。     

一种基于hash函数的IDS动态分层负载均衡算法

为解决高速网络环境下,网络入侵检测系统(NIDS)性能瓶颈这一问题,本文设计一种基于hash函数的动态分层负载均衡算法。实验结果表明,在高速网络环境下,采用该算法能有效提高系统的检测率。     

SIP DDoS分布式入侵防御系统及其负载均衡策略

对SIP DDoS攻击的原理和检测算法进行研究,结合SIP协议本身的特点和一般网络中的分布式入侵防御系统,提出一种在高效防御SIP DDoS攻击的同时使用检测算法检测攻击的分布式防御系统,并为该系统设计了负载交互流程和防火墙模块.根据SIP负载均衡算法和检测算法的要求,为分布式防御系统设计了两级负载均衡策略并给出了实现方法,其中一级负载均衡模块根据SIP消息的头域进行转发,保证对话的完整性和检测算法的要求;二级负载均衡模块根据防御检测节点负载进行转发,保证防御检测节点的负载均衡特性.仿真实验结果表明系统的两级负载均衡算法能够在保证检测算法要求的前提下表现出良好的负载均衡特性.     

高速网络环境下的网络入侵检测系统的研究

高速网络环境下的入侵检测是一个新的研究方向。基于负载均衡技术和协议分析技术,提出了一个能够应用在高速环境下的网络入侵检测系统。负载均衡技术把在前端捕获的高速数据流进行分化,以利于后端处理;协议分析技术利用网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在。基于代理的分布式体系结构,增强了系统的可扩展性,提高了系统的检测效率。     

基于分布式学习的大规模网络入侵检测算法

计算机网络的高速发展,使处理器的速度明显低于骨干网的传输速度,这使得传统的入侵检测方法无法应用于大规模网络的检测.目前,解决这一问题的有效办法是将海量数据分割成小块数据,由分布的处理节点并行处理.这种分布式并行处理的难点是分割机制,为了不破坏数据的完整性,只有采用复杂的分割算法,这同时也使分割模块成为检测系统新的瓶颈.为了克服这个问题,提出了分布式神经网络学习算法,并将其用于大规模网络入侵检测.该算法的优点是,大数据集可被随机分割后分发给独立的神经网络进行并行学习,在降低分割算法复杂度的同时,保证学习结果的完整性.对该算法的测试实验首先采用基准测试数据circle-in-the-square测试了其学习能力,并与ARTMAP(adaptive resonance theory supervised predictive mapping)和BP(back propagation)神经网络进行了比较;然后采用标准的入侵检测测试数据集KDD'99 Data Set测试了其对大规模入侵的检测性能.通过与其他方法在相同数据集上的测试结果的比较表明,分布式学习算法同样具有较高的检测效率和较低的误报率.     

基于B+树快速调优的反馈式负载平衡算法

网络带宽飞速发展,应用并行处理技术可以大幅度提高网络入侵检测系统（NIDS）的性能。并行处理环境下的NIDS要求在对报文进行负载均衡分配时要保持连接的完整性,即相关的报文要分配到同一个处理节点。基于B+树的稳定和均衡特性,提出基于B+树快速调优的反馈式负载平衡算法(BLB)。该算法利用B+树搜索性能高、完全平衡的特性,当负载不均衡时,对B+树结构的流表进行快速调优,重映射流表,达到负载均衡。通过仿真实验,证明了该方案能快速使B+树结构连接密集度达到平衡,有效地均衡负载,降低系统的丢包率。     

Large-scale network intrusion detection based on distributed learning algorithm

As network traffic bandwidth is increasing at an exponential rate, it’s impossible to keep up with the speed of networks by just increasing the speed of processors. Besides, increasingly complex intrusion detection methods only add further to the pressure on network intrusion detection (NIDS) platforms, so the continuous increasing speed and throughput of network poses new challenges to NIDS. To make NIDS usable in Gigabit Ethernet, the ideal policy is using a load balancer to split the traffic data and forward those to different detection sensors, which can analyze the splitting data in parallel. In order to make each slice contains all the evidence necessary to detect a specific attack, the load balancer design must be complicated and it becomes a new bottleneck of NIDS. To simplify the load balancer this paper put forward a distributed neural network learning algorithm (DNNL). Using DNNL a large data set can be split randomly and each slice of data is presented to an independent neural network; these networks can be trained in distribution and each one in parallel. Completeness analysis shows that DNNL’s learning algorithm is equivalent to training by one neural network which uses the technique of regularization. The experiments to check the completeness and efficiency of DNNL are performed on the KDD’99 Data Set which is a standard intrusion detection benchmark. Compared with other approaches on the same benchmark, DNNL achieves a high detection rate and low false alarm rate.     

网络入侵检测系统中动态负载平衡策略的设计

随着互联网的广泛应用,网络信息量迅猛增长,网络攻击数量和方式大大增加,网络入侵检测系统需要部署多个感知器(Sensor)时网络监测和保护,通过增加Sensor,可以增强系统分析检测能力。然而,为了充分利用系统处理能力,需要动态分配处理节点任务,实现动态负载平衡。该文在分析网络入侵检测系统的基础上,提出负载值计算方法,结合通用负载平衡策略,提出了分布式入侵检测系统的动态负载平衡策略,实现了良好的动态负载平衡效果,提高了系统性能。     

基于环境信息降低入侵检测误报率

采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境条件。当入侵检测系统发现可疑入侵时,依据环境条件加以实时确认查核,从而减少误报。     

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统（NIDS）的处理速度无法跟上网络通讯及其数量的增长速度,提出了基于Netfilter的分布式NIDS系统和负载均衡算法,在Netfilter上实现了数据包的分流,使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明,分布式NIDS中每个NIDS的负载基本相等,漏检率减少到了单个NIDS的1/4。     

一种可扩展的高效入侵监测平台技术

为了在更高带宽的网络中进行有效的入侵检测分析,研究了入侵检测中的数据获取技术,提出了一种可扩展的高效入侵监测框架SEIMA(scalable efficient intrusion monitoring architecture).在SEIMA结构模型中,通过将高效网络流量负载分割器与多个并行工作的入侵检测传感器相结合,从而可以将入侵检测扩展应用到更高的网络带宽中;通过使用高效地址翻译技术和缓冲区管理机制实现了旁路操作系统的高性能用户级网络报文传输模型,以便提高单传感器的报文处理性能;通过采用有限自动机的方法构建了基于用户层的多规则报文过滤器以消除多余数据包的处理开销.模拟环境和实际环境下的测试结果表明,SEIMA在提高网络入侵检测系统数据获取效率的同时,能够降低系统CPU的利用率,从而可以将更多的系统资源用于更复杂的数据分析过程.     

利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。     

一种新的恶意代码检测方法

基于主机的检测系统对文件检测能力更强．但是因为开销,成本过高,因此实际中基于网络的检测系统应用场景更广泛,可以部署的节点更多,提升网络恶意代码检测系统的检测能力可以更有效地为之后的恶意代码防御做出支持。但是其节点设备数量虽然多,却相对低端,单台成本更低,不能像主机检测一样将捕捉到的网络数据包还原,即使可以,也费时费力,处理速度跟不上网络流量,将会造成大量的丢包。因此,如果能让检测系统的前端主机在能够不重组数据包就检测出数据包是否为恶意代码意义重大,在不还原数据包的情况下,通过对单包的内容进行检测从而对有问题的包产生告警信息,可以显著增强基于网络的恶意代码检测系统前端主机的检测能力,使其在病毒种植过程中就能探测到异常。