协议分析与模式匹配相结合的IDS的设计研究

分析了传统的模式匹配和协议分析检测方法的优缺点。使用协议分析和模式匹配相结合的入侵检测技术,设计与实现了一个网络入侵检测系统。该系统中,利用Libpcap函数库实现网络数据包的捕获,采用内存映射技术来提高数据包捕获效率;应用改进后的Tuned BM模式匹配算法,提高模式匹配的速度,减少比较的次数。这样的体系设计可以减少计算量,提高算法的效率,并通过协议分类减少不必要的误报率。     

基于特征值的多模式匹配算法

高速网是当今网络发展的必然趋势,采用现行匹配算法的入侵检测系统(IDS)很难在高速网中有效地运行。本文主要从特征值的多模式匹配算法、模式库的组织和逻辑实现这三个方面来大幅度地提高系统检测速率,完全适应于高速网络的入侵检测。     

一种快速模式匹配算法及其在IDS中的应用

模式匹配算法是基于规则的入侵检测系统的核心.对snort的模式匹配原理及其基础BM算法做了描述,在此基础上提出了一种效率更高的2CBM算法,通过每次比较两个字符,并在失配时参考两个Shift值来跳转,实现了更好的向右跳跃性.分析了算法的时间复杂度,基于snort进行了算法验证与测试.新算法极大地提高了匹配效率.     

NIDS中协议分析和模式匹配的研究

对入侵检测系统中的关键部分一检测引擎的数据分析中的模式匹配技术和协议分析技术进行了介绍。讨论了模式匹配中最常用的两种算法一KMP算法和BM算法，重点分析了模式匹配技术运用在网络级入侵检测系统中的不足，并指出结合使用协议分析和模式匹配进行数据分析的优越性。     

协议分析在入侵检测系统中的应用

模式匹配是入侵检测系统中常用的方法,这种算法速度快、效率高。但是单独使用模式匹配方法来检测入侵还存在一些弊端。为此,给出了一种高效、可靠的检测方法,即结合使用协议分析与模式匹配的分析方法,同时给出一个例子来说明协议分析的实现过程。     

基于IPv6的动态网络入侵检测系统的研究与设计

随着互联网应用的普及,网络攻击行为愈来愈严重.依据IPv6协议的扩展头、包头结构、地址结构和安全机制,设计了IPv6环境下的协议解码和协议分析的过程.提出了一种新的基于协议分析的网络入侵检测系统框架.通过对协议解码和分析,给出了IPv6环境下基于协议分析的网络入侵检测系统的设计方案.     

深度包检测中的模式匹配算法研究

计算机网络技术飞速发展给人们生活带来便利的同时,也带来了严重的网络安全问题,由于各种网络攻击行为的不断出现,深度包检测逐渐成为网络安全的必然要求,作为影响深度包检测技术性能的模式匹配算法,成为研究的关键技术。对深度包检测中常见的一些模式匹配算法进行了分析和总结,并提出了进一步的研究方向。     

基于AC自动机匹配算法的入侵检测系统研究

基于特征的网络入侵检测系统性能与其所采用的匹配算法息息相关。本文对当前入侵检测系统中几种典型的匹配算法进行了分析，并指出了这些算法在入侵检测系统应用中存在的不足，同时，给出了完整的基于AC自动机匹配算法的入侵检测系统方案，理论分析和实验结果表明该系统能够实施快速高效的入侵检测。     

一种基于BM算法的改进模式匹配算法研究

基于模式匹配的检测方法是目前入侵检测系统的一种重要方法,因此作为模式匹配方法核心的字符串匹配算法直接影响入侵检测系统的性能和效率.在研究现有算法的基础上提出一种改进的模式匹配算法--New-Search算法.该算法以BM算法为基础,通过预处理阶段处理,首末字符部分定位的思想,增加字符跳转距离,比较稳定地减少匹配过程中字符比较的次数,提高了匹配的速度和效率.     

一种个人入侵防御系统方案研究

入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而新发展起来的一种信息安全技术。系统采用NDIS Hooking技术捕获本机进出的网络数据流，通过模式匹配算法可以一次在数据包的负载中查找多个入侵模式。该系统不仅能够实现入侵检测的功能，而且可以在入侵检测的基础上提供有效的阻断。     

基于网络事件和深度协议分析的入侵检测研究

针对制约NIDS(基于网络的入侵检测系统)的问题,提出了基于网络事件和深度协议分析的入侵检测模型MIDM,实现了对入侵的分析与综合。扩展了ABNF范式形式化定义网络事件,基于所提出模型重新实现了入侵检测系统。实验证明与当前主流NIDS相比,新模型有效降低了误检率和特征库冗余;具有随网络流量和特征库快速增长,而CPU占用率维持低水平增长的特性,能更好地适应高速网络环境;同时还具有一定的特征泛化和检测未知入侵的能力。     

基于点模式匹配的芯片缺陷检测算法研究

针对高速与高精度场景下芯片缺陷检测实时性和准确性难以同时保证的问题,提出一种基于方位环境特征的点模式匹配定位算法(Azimuth Environment Feature Vector-Based Point Pattern Matching Localization Algorithm,AEF-PPMLA),提升检测的实时性、准确性和易用性。该算法含两个部分:方位环境特征向量计算方法(Azimuthal Environment Feature Vector Calculator Method,AEF-VCM)和相似度计算方法 (Matching Degree Calculator Method,MDCM)。AEF-VCM对芯片的方位环境特征进行向量描述,减少点匹配的计算量,提高检测的实时性; MDCM采用卡方检验算法来度量特征向量的相似度,提高检测的准确度。实验部分验证算法的定位精度、耗时以及缺陷识别的准确率,结果表明所提出的AEF-PPMLA能够快速准确定位芯片并识别引脚缺陷,满足高质量生产需要。     

一种支持SMP的高性能入侵检测通信机制研究

提出并实现了一种适用于宽带网的支持SMP的高性能入侵检测通信协议框架-ULNP(user level network protocol)。该框架通过采用旁路内核协议栈的零拷贝技术实现用户级虚拟网络接口，同时针对入侵检测的特点，优化了用户层的通信协议栈，从而有效地降低了入侵检测系统的通信开销。实验结果表明在本文的试验环境下，相对于传统入侵检测通信框架而言，ULNP的报文处理带宽提高了大约2-7倍，CPU空闲率提高大约1～2倍。     

协议分析在入侵检测中的应用研究

模式匹配是入侵检测系统中常用的方法,其优点就是分析速度快、误报率小。但是随着网络高速发展,传统的模式匹配方法已不能满足网络安全的发展需要。在分析模式匹配技术和协议分析技术的基础上,提出了协议分析技术和模式匹配方法相结合的网络入侵监测系统的协议分析模型。     

分布式网络性能智能监测系统的设计与实现

设计并实现了一种分布式网络性能智能监测系统。系统由很多分布式的客户端组成，可以监测跨交换机域网络。系统同时将神经网络算法引入到流量分析，形成了智能流量分析功能。最后提出了一种基于Hash表的可视化的入侵检测机制，可以简单直观实时地反应网络入侵。     

HashTrie：一种空间高效的多模式串匹配算法

The famous multiple string matching algorithm AC consumed huge memory when the string signatures were massive,thus unable to process high speed network traffic efficiently.To solve this problem,a space-efficient multiple string matching algorithm-HashTrie was proposed.This algorithm adopted recursive hash function to store the patterns in bit-vectors in place of the state transition table in order to reduce space consumption.Further more it made use of the rank operation for fast verification.Theoretic analysis shows that the space complexity of HashTrie is O(|P|),which is linear with the size of pattern set |P|and is independent of the alphabetsize σ.The space complexity is superior to the complexity O(|P|σlog|P|)of AC.Experiments on synthetic datasets and real-world datasets(such as Snort,ClamAV and URL)show that HashTrie saves up to 99.6% storage cost compared with AC,and in the meanwhile it runs at a matching speed that is about half of AC.HashTrie is a space-efficient multiple string matching algorithm that is appropriate to search large scale pattern strings with short lengths.     

线速硬件网络入侵检测系统的范围匹配研究

为解决硬件入侵检测系统的规则匹配问题，提出了一种降低存储资源的范围匹配算法LRC—RM，将规则中的端口范围映射成压缩位向量，并将位向量组织成扩展平衡二叉树，然后对实现的系统进行了评估。采用该技术的网络入侵检测系统，使用的存储空间只有已有算法的1％，有利于硬件在片内完成查找过程，可实现端13范围在OC192链路的线速匹配。