分布式入侵检测系统中自保护代理的系统设计

采用分布式结构的基于网络的入侵检测系统(NIDS)自身的安全性已经成为一个重要问题。在分析了已有NIDS的技术特点的基础上，根据其特性引入了报文过滤、进程控制、报文确认和安全通信的思想，提出了面向NIDS的向保护代理(Sclf-protcction Agent)的模型，并给出了SPA的体系结构与详细设计。在与已有的基于代理的入侵检测系统结合后，SPA可以提高NIDS的安全性。     

利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。     

NIDS歧义流量矫正系统

基于网络的入侵检测系统通过分析网络流量识别攻击,但隐藏在歧义网络数据中的Insertion和Evasion攻击利用不同系统实现网络协议栈的差异以及各系统所处不同的网络位置,逃避NIDS检测,以致漏报。文章回顾了歧义问题的相关研究,分析了其产生原因,并以重叠IP分片重组和重叠TCP段重构为例进行讨论。针对以逃避NIDS检测为目的的歧义流量问题,提出了NIDS歧义流量矫正系统,通过分析相关网络协议在实现中产生的歧义,对网络流量进行相应的矫正,使NIDS有效检测出隐藏在歧义网络流量中的特定的Insertion和Evasion攻击。     

基于网络的入侵检测系统和基于主机的入侵检测系统的比较分析

论述了基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）是现阶段主要构建入侵检测系统的两种方法，并重点比较分析了现存NIDS和HIDS的优缺点，只有NIDS和HIDS结合才是入侵检测发展的趋势。     

利用机群技术实现高带宽网络环境入侵检测

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题,本文介绍了利用NIDS机群在高速网络环境下实现入侵检测的方法,本文从NIDS机群体系结构的角度出发就利用NIDS机群进行数据分流实现入侵检测的方法及进行了探讨,提出了NIDS机群的框架结构,和适用于NIDS机群的负载均衡策略。     

基于NIDS入侵检测模型的研究和探讨

本文首先介绍入侵检测系统的基本原理，包括检测方法和分析技术，然后给出了一个网络入侵检测具体模型和事例，阐述了NIDS的重要性以及将来发展的趋势。     

一种NIDS检测能力的测评方法

由于网络入侵检测系统(NIDS)固有的特点,很难从各个NIDS产品厂家宣传的检测"率来评价不同NIDS的检测能力。本文先介绍了网络入侵检测系统检测能力的测评指标,然后建立了一个采用模拟数据的简单的测评方案,并简要介绍了模拟数据的获取方法。该方案简单,易于实施,通过该方案测评的NIDS的检测能力具有可比性、公正性、客观性。     

分布式网络安全性分析

分析了当前的Internet安全性问题,阐述了多种网络管理模式的特性和网络入侵检测技术,并基于网络入侵检测系统(NIDS),分析应用于分布式网络架构的安全性问题,并描述出改善传统网络入侵检测系统的模型。     

基于前馈多层感知器的网络入侵检测的多数据包分析

提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与传统采用单数据包检测方式的网络入侵检测系统(NIDS)模型相比,具有更低的漏检率。     

分布式网络安全性分析

分析了当前的Internet安全性问题,阐述了多种网络管理模式的特性和网络入侵检测技术,并基于网络入侵检测系统(NIDS),分析应用于分布式网络架构的安全性问题,并描述出改善传统网络入侵检测系统的模型.     

基于Agent的分布式入侵检测系统研究

提出了一种基于Agent的分布式入侵检测系统模型,实现HIDS和NIDS的互补,充分利用Agent自身的独立性与自主性,有效解决了传统集中式处理的单点失效问题,同时降低各个部件之间的相互联系,实现了入侵检测系统计算的分布化,提高了入侵检测系统的性能及其可靠性,具有良好的扩展性,能更好的满足大规模网络环境的要求。     

基于snort的校园分布式IDS

本文在分析现有分布式NIDS结构的基础上,结合校园网的特点,设计了一种区域集中整体层次化结构的NIDS,并使用免费的入侵检测工具snort予以实现。     

The placement-configuration problem for intrusion detection nodes in wireless sensor networks

The deployment and configuration of a distributed network intrusion detection system (NIDS) in a large Wireless Sensor Network (WSN) is an enormous challenge. A reduced number of devices equipped with detection capabilities have to be placed on strategic network locations and then appropriately configured in order to maximise the detection rate and minimise the amount of computational and physical resources consumed – fundamentally energy, which in turn depends on CPU, memory, and network usage. In practice, a major difficulty lies in the fact that the relationship between each node’s tuning parameters and the overall cost/benefit rate achieved by the deployment is poorly understood. We call this the Placement-Configuration Problem (PCP). In this paper we formalise and study this problem both theoretically and empirically. We introduce a formal model of distributed NIDS upon which the cost/benefit tradeoffs can be appropriately derived. Subsequently we show that, in general, the PCP is hard (NP-complete) and present a heuristic local search algorithm to find near-optimal solutions for practical scenarios. Our analysis framework is general in the sense that it is applicable to a number of existing detection technologies for WSNs, and we discuss how further aspects can be easily introduced if required.     

网络入侵检测系统整体设计分析

随着网络信息量的迅猛增长,网络攻击方式的不断翻新,网络入侵检测系统经过了由集中式处理到分布式处理、由简单软件结构到通用功能模块设计的变化过程。文中对入侵检测系统的功能模块进行了详细研究,重点设计分析了NIDS中重要的模块:HTTP协议流分析器和检测引擎部分,给出了设计中考虑到的部分增强性能。因模块具有的灵活结构,所以该设计提供了很好的模块复用性和扩展性。     

基于校园网的网络入侵检测系统的研究与实现

讨论了传统网络安全保障机制的不足,研究了入侵检测系统的发展及其体系结构,基于校园网实现了一套网络入侵检测系统,通过实验应用证明,该系统有较好的性能和安全性。     

基于分布式学习的大规模网络入侵检测算法

计算机网络的高速发展,使处理器的速度明显低于骨干网的传输速度,这使得传统的入侵检测方法无法应用于大规模网络的检测.目前,解决这一问题的有效办法是将海量数据分割成小块数据,由分布的处理节点并行处理.这种分布式并行处理的难点是分割机制,为了不破坏数据的完整性,只有采用复杂的分割算法,这同时也使分割模块成为检测系统新的瓶颈.为了克服这个问题,提出了分布式神经网络学习算法,并将其用于大规模网络入侵检测.该算法的优点是,大数据集可被随机分割后分发给独立的神经网络进行并行学习,在降低分割算法复杂度的同时,保证学习结果的完整性.对该算法的测试实验首先采用基准测试数据circle-in-the-square测试了其学习能力,并与ARTMAP(adaptive resonance theory supervised predictive mapping)和BP(back propagation)神经网络进行了比较;然后采用标准的入侵检测测试数据集KDD'99 Data Set测试了其对大规模入侵的检测性能.通过与其他方法在相同数据集上的测试结果的比较表明,分布式学习算法同样具有较高的检测效率和较低的误报率.     

基于Jini的分布式入侵检测系统

文章设计了一个分布式自适应入侵检测系统(DAIDS)，它通过各个检测节点之间的协同工作，共同检测和防范对系统的入侵行为，并且有机结合了主机型IDS和网络型IDS，给出了该系统的分布式体系结构和基于Jini的实现，介绍了一些系统实现中的关键问题及其解决方法。     

网络入侵检测系统(NIDS)的分析与研究

论述了网络安全的重要性并简要介绍几种传统的网络安全技术 ,分析和研究了入侵检测系统的模型及其原理 ,并介绍信息网络入侵检测系统的国内外研究动态 ,指出其发展趋势     

基于Agent的分布式入侵检测系统研究

提出了一种基于Agent的分布式入侵检测系统模型,实现HIDS和NIDS的互补,充分利用Agent自身的独立性与自主性,有效解决了传统集中式处理的单点失效问题,同时降低各个部件之间的相互联系,实现了入侵检测系统计算的分布化,提高了入侵检测系统的性能及其可靠性,具有良好的扩展性,能更好的满足大规模网络环境的要求。     

Local outlier factor and stronger one class classifier based hierarchical model for detection of attacks in network intrusion detection dataset

Identification of attacks by a network intrusion detection system (NIDS) is an important task. In signature or rule based detection, the previously encountered attacks are modeled, and signatures/rules are extracted. These rules are used to detect such attacks in future, but in anomaly or outlier detection system, the normal network traffic is modeled. Any deviation from the normal model is deemed to be an outlier/ attack. Data mining and machine learning techniques are widely used in offline NIDS. Unsupervised and supervised learning techniques differ the way NIDS dataset is treated. The characteristic features of unsupervised and supervised learning are finding patterns in data, detecting outliers, and determining a learned function for input features, generalizing the data instances respectively. The intuition is that if these two techniques are combined, better performance may be obtained. Hence, in this paper the advantages of unsupervised and supervised techniques are inherited in the proposed hierarchical model and devised into three stages to detect attacks in NIDS dataset. NIDS dataset is clustered using Dirichlet process (DP) clustering based on the underlying data distribution. Iteratively on each cluster, local denser areas are identified using local outlier factor (LOF) which in turn is discretized into four bins of separation based on LOF score. Further, in each bin the normal data instances are modeled using one class classifier (OCC). A combination of Density Estimation method, Reconstruction method, and Boundary methods are used for OCC model. A product rule combination of the threemethods takes into consideration the strengths of each method in building a stronger OCC model. Any deviation from this model is considered as an attack. Experiments are conducted on KDD CUP’99 and SSENet-2011 datasets. The results show that the proposed model is able to identify attacks with higher detection rate and low false alarms.