位并行多维数据包分类算法研究

位并行算法是一种快速的包分类算法,由于空间占用量过大,不能扩展到大规模规则库。该文从位并行算法出发,比较分析了它的两种改进算法,通过引入位图映射及元组空间的概念,提出了一种新的改进算法,在时间复杂度与空间复杂度上都较位并行算法有很大提高并具有很好的扩展性。在模拟环境下对算法进行了评测,给出了试验数据的分析结果。     

使用Hash表和树位图的两级IPv6地址查找算法

为了提高IPv6地址查找效率,在分析IPv6路由前缀长度分布规律的基础上,提出了基于哈希表及树位图(Tree-bitmap)的两级IPv6地址查找算法.算法将长度为16,32,48和64比特的前缀分别存储在4个Hash表中,其余前缀的前16,32和48比特利用已有的Hash表存储,剩余的不足16比特的部分前缀利用树位图存储,并将树位图的入口地址保存在Hash表中.IP地址查找时在Hash表和树位图中进行两级查找.实验表明,该查找算法的平均内存访问次数为1～2,最坏情况下为7,适用于高速IPv6地址查找.     

网络入侵检测发展的几点思考

本文介绍了当前网络入侵检测产品(NIDS)在实用性方面体现出的几个问题，并深入剖析了形成这些问题的根源，并对如何解决这些问题提出了自己的见解和建议，对于开发NIDS产品的厂商以及使用NIDS的用户具有一定的借鉴作用。     

选择分类器进行入侵检测

使用集成分类器的方法进行入侵检测,但差的个体分类器往往会对集成性能造成不良影响。因此,使用信息增益法评价各分类器性能,并剔除表现不好的若干个分类器。一方面,降低了分类器空间维数。另一方面,提高了集成效果。在公用的入侵检测数据集上的实验结果表明,本文方法具有较好的集成效果,优于单分类器性能。     

网络入侵检测系统中数据包捕获的分析与设计

通过对Windows平台下网络入侵榆测系统的数据包捕获模块进行研究,提出采用Winpcap方法对其进行开发,提高了数据包捕获模块的过滤和分析能力,降低了数据包的丢包率.     

浅谈网络入侵检测技术

本文主要阐述了网络入侵检测技术的定义,以及主机的入侵检测系统、基于网络的入侵检测系统、混合入侵监测系统的三种入侵检测系统的分类;接着探讨了网络入侵检测的过程;最后分析了网络入侵检测技术方法。例如：遗传算法、数据挖掘、聚类算法、行为模式、神经网络、智能分布等。     

使用Flash软件快速制作网络动画初探

Flash动画作为现代网络的一种新的设计方式和娱乐方式,在网络媒体中正扮演着重要角色。它使原本静止的文字、图片像获得生命一样鲜活起来,给人以想象和活力。本文将通过实例,来阐述即使没有多少绘画基础的人士,也可以使用Flash软件快速地制作出较好的网络动画,创造出属于自己的"梦工厂"。     

基于FPGA的数据包分类研究

随着Internet规模的不断扩大和应用技术的不断进步,越来越多的业务需要对数据包进行实时快速的分类.可编程片上系统（SOPC）的设计是一个崭新的富有生机的嵌入式系统设计研究方向.在阐述可编程逻辑器件特点及其发展趋势的基础上,探讨了智力产权复用理念、基于嵌入式处理器内核和XilinxFPGA的SOPC软硬件设计技术,介绍了基于Internet的可重配置逻辑（IRL）技术并提出了设计实现方法.     

使用Winpcap开发网络数据包分析器

使用Winpcap开发包实现了一个网络数据包分析器。该分析器可以捕获UDP或TCP数据包,并对数据包头进行分析。     

基于FPGA的高速网络入侵检测系统

处理速度成为制约基于软件的网络入侵检测系统性能的瓶颈。文中提出了用可重配置硬件(FPGA)和商用千兆以太网MAC实现的网络入侵检测系统体系结构。在该体系结构中,网络数据包的特征匹配以及复杂协议分析等高强度的计算均由可重配置硬件电路完成,而使主机CPU更专注于对复杂入侵方式的检测和对入侵行为的实时响应。分析表明,该体系结构能够快速适应入侵特征变化对硬件电路的重配置需求,使网络入侵检测系统可以以线速处理网络数据包。     

一种高效的网络安全设备IP数据包转发机制

通过对IP数据包转发机制研究,针对网络安全设备对数据包转发的特殊需求,提出了一种基于(IFPLUT TCAM)的IP数据包转发机制。该机制将查找表根据输出端口分割为若干个小查找表,并允许查找引擎对每个小查找表进行并行处理,有效地将寻找“最长前缀匹配”的复杂问题简化为“第一前缀匹配”问题。     

一种基于TCAM的有效包分类方法

基于三态内容可寻址内存(TCAM)的包分类方法不能有效解决区间膨胀的问题。为此,提出一种有效包分类方法。对包分类规则集中各个域的不同区间进行分组,利用Shadow Encoding方法对同一分组中的所有区间进行重新编码,依据重新编码的区间结果改写原始规则集。实验结果表明,该方法可以平均压缩75.90%的TCAM存储空间。     

基于FPGA实现的报文分类智能网卡

一般的网络安全应用软件,只对网络中的某类报文进行处理,基于通用的网卡采集网络数据,会收到大量的无用报文,降低系统效率。本文基于FPGA和零拷贝技术,设计并实现了一种智能网卡,将报文分类过滤工作下移到网卡硬件中实现,智能网卡完成了网络数据包报文捕获、报文分析、规则匹配等工作,可以过滤掉无用报文,只把应用关心的报文提交给到主机系统。与普通网卡相比,智能网卡可以有效提升网络数据采集的效率。     

基于网络处理器的高速包分类机制设计

三元按内容寻址寄存器(TCAM)是内容寻址存储器(CAM)的一种变形,较CAM而言可以使查找更加灵活,对其工作（如包处理）效率的提高也起着极大的优化作用。文章从TCAM的原理及结构特点出发,阐述了其适用于提高NP性能的原因,通过一个设计实例说明了采用TCAM协处理器在网络处理器中加速包处理过程的方法和技术。     

病毒入侵检测系统Snort的软硬件实现研究

本文深入的研究了病毒入侵检测系统Snort规则首部的两种不同的分类:软件分类和硬件分类,并且讨论了两种分类实现之间的区别.     

一个分布式高效网络入侵检测系统

本文提出并实现了一种基于层次协作的分布式高效网络入侵检测系统-DENIDS(DistributedEfficientNetworkIntrusionDetectionSystem)。DENIDS系统结合了层次式IDS和结构式IDS的优点,并在系统中使用了目录服务器,从而提高了系统的可扩展性、容错性以及可用性。同时引入信息融合和多传感器集成的观点,将多点生成的警报信息进行融合判定,消除虚假警报或无关紧要的警报,降低误报和漏报,从而能够在大规模、大流量、多管理域的网络环境下对各种分布式攻击和未知攻击方式进行准确而有效的检测。     

基于CNN和SVM的报文入侵检测方法

为了进一步提高网络异常检测的准确率,本文在对现有入侵检测模型分析的基础上,提出了一种基于卷积神经网络和支持向量机的网络报文入侵检测方法.该方法首先将数据预处理成二维矩阵,为了防止算法模型过拟合,利用permutation函数将数据随机打乱,然后利用卷积神经网络CNN从预处理后的数据中学习有效特征,最后通过支持向量机SVM分类器将得到的向量进行分类处理.在数据集选择上,采用网络入侵检测常用的权威数据集—京都大学蜜罐系统数据集,通过与GRU-Softmax、GRU-SVM等现有检测率较高的模型进行实验对比,该模型在准确率上最高分别提高了19.39%和12.83%,进一步提升了网络异常检测的准确度.同时,本研究所提出方法在训练速度和测试速度上有较大提高.     

基于高速网络的入侵检测系统研究

目前基于网络的入侵检测系统已经无法适应高速增长的网络速度,因此研究在高速以太网上实现的网络入侵检测系统是十分必要的。介绍了两种基于高速网络的入侵检测系统。一种是基于FPGA的高速网络入侵检测系统,另一种是基于数据分流的高速网络入侵检测系统。     

一种基于IXP2400的多维包分类引擎设计

包分类在基于策略的路由、Qos和防火墙等网络应用中至关重要,在网络中提供这些区分服务的关键机制是数据包分类功能。网络处理器是一种优化处理网络分组数据的可编程集成电路,其高并行性和可编程特点适合用来实现包分类等计算密集型任务。论文根据BV包分类算法的并行特点,提出了一种基于IXP2400的包分类引擎机制,为高速网络环境下实现网络数据的线速处理提供了借鉴价值。