基于漏洞扫描的入侵检测规则屏蔽方法研究

网络入侵检测系统的规则数在不断地增加,规则匹配的过程越来越复杂.在高速网络的环境下,NIDS(Network Intrusion Detection System)难以适应,产生漏检.将漏洞扫描与入侵检测进行融合,通过对保护对象扫描,找出存在的漏洞,根据漏洞信息将无用的规则屏蔽.实验结果表明,可以大量减少无用的检测规则;同时可以减少相应的警报信息.提高了检测效率、降低丢包率.     

改进的关联规则挖掘算法在入侵检测中的应用

研究关联规则的高效挖掘算法对于提高入侵检测的检测率和效率具有重要的意义.针对当前关联规则挖掘采用的支持度-置信度框架在具体应用中存在的问题,本文将PSA兴趣度模型和增量链表规则结合起来应用到入侵检测中,提出新的入侵检测方法-PSAIL.实验测试结果表明,该算法在挖掘速度、检测率上有较大提高,说明该算法的优化策略是有效的.     

基于PCA与R-连续位匹配的亲和力改进算法

人工免疫算法中传统亲和力计算方法一般采用r-连续位匹配规则,但这种匹配规则不能有效识别已知入侵的变种,且编码长度直接影响入侵检测的效率.为提高检测率,在PCA特征提取的基础上,采用分段加权的思想改进亲和力算法.实验结果表明,改进的亲和力算法能有效提高入侵检测的检测率.     

基于动态规则的IPv6入侵检测系统研究与实现

分析了snort规则检测及Snort入侵检测系统工作原理,结合IPv6协议本身的特点及其安全性,提出一种IPv6动态规则匹配机制,通过增加选项索引链表,对规则匹配的次序进行动态调整,实现了一个快速高效的IPv6入侵检测系统.实验结果表明,该系统可有效地检测IPv6各种攻击,平均每包检测速度提高了约12.53%.     

基于入侵检测的模式匹配算法的改进研究

针对入侵检测系统针对入侵检测系统对基于攻击特征的网络数据包的检测效率低和丢包率高的问题,在分析典型的模式匹配算法的基础上,结合入侵检测模式匹配特点,提出了一种改进的匹配算法。首先找到模式串中无重复字符集,然后在目标串中找到字符集中出现频率最小的字符进行目标串的模式匹配。实验证明,此算法对于入侵检测的模式匹配具有良好的匹配效率。     

基于动态规则的IPv6入侵检测系统研究

本文在分析snort规则检测及Snort入侵检测系统工作原理的基础上,结合IPv6协议本身的特点及其安全性,提出一种IPv6动态规则匹配机制,通过增加选项索引链表,对规则匹配的次序进行动态调整,实现了一个快速高效的IPv6入侵检测系统.实验表明,该系统可有效地检测IPv6各种攻击,平均每包检测速度提高了约12.53%.     

动态规划理论在DSAMDP方法中的优化研究

网络入侵检测系统在流量大的情况下经常会出现较高的丢包率,曾提出通过DSAMDP（Dynamic Self-Adapting Multimedia Data Processing,动态自适应多媒体数据处理）方法来解决这一问题,收效良好。在此基础上,使用动态规划理论对DSAMDP方法的决策过程进行优化,在兼顾系统负载能力的同时,使每个时间片内选取的多媒体数据包序列的危险度达到最高。这种方法可使网络入侵检测系统将有限的处理能力集中处理那些更具危险性的多媒体数据包。实验结果表明,该方法可提高系统对高危多媒体信息的检测率。     

基于Snort的动态自适应多媒体数据处理方法

针对Snort网络入侵检测系统在大网络流量下出现丢包率高的问题,通过对多媒体数据特征进行分析,设计了对网络流量中多媒体数据包的识别方法和两种处理方法,并提出动态自适应多媒体数据处理方法,该方法可以根据网络流量变化和系统处理能力变化自动调整对多媒体数据的处理方式,从而有效降低丢包率.     

一种Snort规则的优化方法

Snort是一款基于规则发现入侵行为的网络入侵检测系统,为了提高入侵检测系统中检测引擎的速度和效益,在分析Snort的规则组织结构和规则匹配过程的基础上,提出了一种规则优化的方法。该方法充分利用了协议特征和规则内容,能有效地加快检测引擎的速度,提高入侵检测的效率。     

基于频率的Snort规则集构造方法

为提高Snort入侵检测系统的规则匹配效率,提出一种基于频率的Snort规则集构造方法。Snort系统使用规则集对网络数据包进行匹配分析,发现入侵行为。通过计算数据包样本中各选项的频率,在构造规则树时,采用频率小先匹配的原则,减少匹配次数,提高系统效率。实验结果表明,与Snort2方法相比,该方法配合参数集合匹配的匹配效率较高。     

基于目标预判的网络入侵检测频率自调整算法

在集群环境中,入侵者攻击特定目标是提高攻击效率一种常规手段,有针对性地调度计算资源可有效提高检测效率。提出一种基于攻击目标预判的网络入侵检测系统（NIDS）的检测频率自调整算法DFSATP,检测分析采集到的数据,将发往潜在被攻击目标范围的数据列为高危数据,其余数据为低危数据,指引网络入侵检测系统高频检测发往预测目标的高危数据包,低频检测低危数据包,从而提高NIDS的检测效率,保障在有限的计算资源情况下提高异常数据的检出率。模拟实验结果表明,在高速网络环境下,DFSATP对NIDS检测频率的调整,使得异常数据的检出率得到了一定程度的提升。     

一种新的恶意代码检测方法

基于主机的检测系统对文件检测能力更强．但是因为开销,成本过高,因此实际中基于网络的检测系统应用场景更广泛,可以部署的节点更多,提升网络恶意代码检测系统的检测能力可以更有效地为之后的恶意代码防御做出支持。但是其节点设备数量虽然多,却相对低端,单台成本更低,不能像主机检测一样将捕捉到的网络数据包还原,即使可以,也费时费力,处理速度跟不上网络流量,将会造成大量的丢包。因此,如果能让检测系统的前端主机在能够不重组数据包就检测出数据包是否为恶意代码意义重大,在不还原数据包的情况下,通过对单包的内容进行检测从而对有问题的包产生告警信息,可以显著增强基于网络的恶意代码检测系统前端主机的检测能力,使其在病毒种植过程中就能探测到异常。     

Snort的高效规则匹配算法

对入侵检测系统Snort的规则匹配算法进行了系统的分析，为了进一步提高Snort的规则匹配效率，提出了在匹配过程中，对于条件匹配处理函数应用参数链表驱动的方法。从而避免重复调用处理函数，充分利用参数之间的关系，并能动态地减少无效规则的匹配。通过两个实验来评估此方法的效率，结果表明改进方案较明显地提高了Snort的检测性能。     

高效自适应的抗污染攻击网络编码传输方案

本文主要研究网络编码在抗污染攻击中的应用,针对中间节点对收到的所有编码包进行验证浪费网络资源和目的节点解码速率慢等问题,提出一种高效自适应的抗污染攻击网络编码传输方案-EANC(Efficient and Adaptive Network Coding transmission scheme against pollution attack)。EANC方案在数据分组编码阶段,利用按照网络编码的时间和空间特性构造的线性子空间签名方案准确地验证数据分组是否被污染从而有效控制污染数据分组的传播,并且能使中间节点调节验证步骤使之自适应于当前网络的污染程度,从而提高验证效率;在目的节点解码阶段,EANC方案利用目的节点重传恢复机制降低解码恢复时延。仿真结果表明,EANC方案能够减少子空间的签名长度并且降低目的节点解码恢复的平均时延。     

嵌入式浏览器CSS引擎的研究与改进

层叠样式表(CSS)引擎的效率提升是嵌入式浏览器的性能瓶颈。为此,提出提升CSS引擎效率样式管理的改进和设计方法。该方法增加对用户操作相关伪类样式规则的分类,以减少对非必要的伪类样式规则匹配,匹配完全失效节点的记忆能够为兄弟节点提供样式规则匹配的指示,并减少样式规则匹配次数。实验结果表明,对于不同网页的样式规则匹配总时间消耗减少3%~15%左右。     

Ad hoc无线网络负载自适应平衡跨层多径路由算法

提出了一种Ad hoc无线网络流量自适应平衡的多径路由选择算法LACLMRA。算法LACLMRA利用网络的跨层信息：传输层提供的数据端到端传输延迟、节点MAC层提供的最近一次传输成功前重传次数、网络层的缓存队列长度等信息,构建多条不相交的多径路由。在实际的数据传输过程中,根据路由的质量,在多条路径中自适应分配流量,缓解节点的拥塞,延长Ad hoc无线网络的生存时间。仿真结果也显示该算法与SMR、AOMDV等多径路由算法相比,在降低网络平均延迟、提高吞吐量、延长网络生存时间方面,有更好的表现。     

结合遗传算法的NIDS多媒体包多线程择危模型

当网络流量超出网络入侵检测系统（NIDS）负载能力时,漏检将不可避免,此时应选择较危险的数据包优先处理。因多媒体数据包在流量中所占比例较大,故曾提出对其识别和特殊处理的方法,收效良好。在此基础上,提出结合遗传算法的NIDS多媒体包多线程择危模型,该模型能在漏检发生时,根据不同线程的最大处理能力,按照多媒体数据包的危险程度择危优先处理。实验结果表明,使用该模型能够有效提高NIDS在每个线程内所选择的多媒体数据包序列的危险系数。     

Towards adaptive character frequency-based exclusive signature matching scheme and its applications in distributed intrusion detection

Network intrusion detection systems (NIDSs), especially signature-based NIDSs, are being widely deployed in a distributed network environment with the purpose of defending against a variety of network attacks. However, signature matching is a key limiting factor to limit and lower the performance of a signature-based NIDS in a large-scale network environment, in which the cost is at least linear to the size of an input string. The overhead network packets can greatly reduce the effectiveness of such detection systems and heavily consume computer resources. To mitigate this issue, a more efficient signature matching algorithm is desirable. In this paper, we therefore develop an adaptive character frequency-based exclusive signature matching scheme (named ACF-EX) that can improve the process of signature matching for a signature-based NIDS. In the experiment, we implemented the ACF-EX scheme in a distributed network environment, evaluated it by comparing with the performance of Snort. In addition, we further apply this scheme to constructing a packet filter that can filter out network packets by conducting exclusive signature matching for a signature-based NIDS, which can avoid implementation issues and improve the flexibility of the scheme. The experimental results demonstrate that, in the distributed network environment, the proposed ACF-EX scheme can positively reduce the time consumption of signature matching and that our scheme is promising in constructing a packet filter to reduce the burden of a signature-based NIDS.     

非线性自适应拥塞控制算法研究

研究丢弃概率的变化率与队列长度稳定性间的关系,分析ARED算法及REM算法的丢弃概率计算函数,采用非线性化函数计算丢弃概率,提出一种非线性自适应拥塞控制算法(NLACCA),根据队列长度与目标队列长度中值的偏离程度动态地调整丢弃概率的变化率,从而减小队列长度波动,提高算法稳定性。在NS-2上进行的大量实验结果表明,该算法具有队列长度抖动性小、平均时延低、丢包数少等特点。