高速网络环境下的入侵检测技术研究

首先介绍了目前高速网络环境下的入侵检测系统的研究概况,接着对基于FPGA和基于负载均衡技术的两类入侵检测系统模型进行了分析,并重点研究了基于网络处理器的采用负载均衡技术的入侵检测系统中的关键技术即数据捕获技术、负载均衡技术和数据分析技术.     

一个千兆网络入侵防御系统的设计与实现

随着网络速度的日益提高和网络入侵行为的越来越复杂化，高速高性能的网络入侵检测和防御系统越来越受到重视，但是目前绝大部分研究都集中在网络入侵检测系统方面．但是由于入侵检测系统的局限性，同时不具有实时阻断的功能，目前入侵防御技术和系统更受人们的重视．由于入侵防御系统涉及很多关键技术和技术难点，因此目前千兆级的实用的入侵防御系统并不多见，论文提出了一个实现网络入侵防御系统的基于硬件的框架，这个框架实现了网络入侵防御系统的所有功能．测试表明具有实用性．     

协议分析技术在入侵检测中的应用

入侵检测技术是安全防护的重要手段,但是传统的入侵检测系统在高速网络环境下由于误报率和漏报率过高而难以满足实际需要。文中分析了基于模式匹配的入侵检测系统的不足,提出了把协议分析技术和模式匹配技术相结合的检测模型,最后讨论了一种对入侵检测系统的规则库进行精简的方法。这些方法提高了检测准确率和效率,使得入侵检测系统能够适应高速网络环境。     

协议分析技术在入侵检测中的应用

入侵检测技术是安全防护的重要手段，但是传统的入侵检测系统在高速网络环境下由于误报率和漏报率过高而难以满足实际需要。文中分析了基于模式匹配的入侵检测系统的不足，提出了把协议分析技术和模式匹配技术相结合的检测模型，最后讨论了一种对入侵检测系统的规则库进行精简的方法。这些方法提高了检测准确率和效率，使得入侵检测系统能够适应高速网络环境。     

高速网络入侵检测系统应用瓶颈解决方案

文章提出的网络入侵检测系统是基于协议分析技术,并结合特征模式匹配方法,采用高速采集器采集数据源并分发给多处理机进行数据处理的新型系统,它有效地解决了传统网络入侵检测系统在高速网络环境下的应用瓶颈问题。     

基于Linux的高速网络环境下入侵检测技术

针对现有入侵检测系统在高速网络环境下存在的弊端,本文介绍了一些前沿技术及实现原理,并设计新型的基于Linux的高速网络入侵检测防护系统。采用了高速数据采集技术和协议分析技术,提高了检测的速度和准确率。     

协议分析技术在入侵检测系统中的应用

入侵检测作为一种动态的网络安全技术,是计算机安全不可缺少的组成部分。目前的入侵检测系统大都采用模式匹配算法,针对高速网络环境下此类系统的检测引擎所面临的性能瓶颈问题,介绍了基于协议分析的入侵检测技术的实现原理,提出利用网络协议的高度规则性快速探测攻击的方法,借此减少虚警和误判的可能性,并提高了网络入侵检测系统的性能和效率。     

高速网络环境下入侵检测技术探讨

本文在研究当前高速网络入侵检测系统的各种类型后,重点探讨了一种适合高速网络环境下入侵检测系统的高速处理模型-可扩展多级并行处理入侵检测系统（XMLPP）的结构组成和功能特点,并对它的技术优点进行了进一步的研究和探讨。     

入侵检测技术的研究与进展

入侵检测系统(IDS)作为一门新兴的安全技术，是网络安全系统中的重要组成部分。该文阐述了入侵检测系统的基本原理和功能模块，从数据源、检测方法和检测定时三个方面描述了入侵检测系统的分类，并对目前国内外入侵检测技术的研究现状作了介绍和分析。随着计算机技术和网络技术的高速发展，海量存储和高带宽的传输技术，都使得集中式的入侵检测越来越不能满足系统需求。由此指出，分布式入侵检测(DID)必将逐渐成为入侵检测乃至整个网络安全领域的研究重点，为进行入侵检测技术的研究提供一定的技术和理论依据。     

高速网络环境下的网络入侵检测系统的研究

高速网络环境下的入侵检测是一个新的研究方向。基于负载均衡技术和协议分析技术,提出了一个能够应用在高速环境下的网络入侵检测系统。负载均衡技术把在前端捕获的高速数据流进行分化,以利于后端处理;协议分析技术利用网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在。基于代理的分布式体系结构,增强了系统的可扩展性,提高了系统的检测效率。     

Large-scale network intrusion detection based on distributed learning algorithm

As network traffic bandwidth is increasing at an exponential rate, it’s impossible to keep up with the speed of networks by just increasing the speed of processors. Besides, increasingly complex intrusion detection methods only add further to the pressure on network intrusion detection (NIDS) platforms, so the continuous increasing speed and throughput of network poses new challenges to NIDS. To make NIDS usable in Gigabit Ethernet, the ideal policy is using a load balancer to split the traffic data and forward those to different detection sensors, which can analyze the splitting data in parallel. In order to make each slice contains all the evidence necessary to detect a specific attack, the load balancer design must be complicated and it becomes a new bottleneck of NIDS. To simplify the load balancer this paper put forward a distributed neural network learning algorithm (DNNL). Using DNNL a large data set can be split randomly and each slice of data is presented to an independent neural network; these networks can be trained in distribution and each one in parallel. Completeness analysis shows that DNNL’s learning algorithm is equivalent to training by one neural network which uses the technique of regularization. The experiments to check the completeness and efficiency of DNNL are performed on the KDD’99 Data Set which is a standard intrusion detection benchmark. Compared with other approaches on the same benchmark, DNNL achieves a high detection rate and low false alarm rate.     

基于分布式学习的大规模网络入侵检测算法

计算机网络的高速发展,使处理器的速度明显低于骨干网的传输速度,这使得传统的入侵检测方法无法应用于大规模网络的检测.目前,解决这一问题的有效办法是将海量数据分割成小块数据,由分布的处理节点并行处理.这种分布式并行处理的难点是分割机制,为了不破坏数据的完整性,只有采用复杂的分割算法,这同时也使分割模块成为检测系统新的瓶颈.为了克服这个问题,提出了分布式神经网络学习算法,并将其用于大规模网络入侵检测.该算法的优点是,大数据集可被随机分割后分发给独立的神经网络进行并行学习,在降低分割算法复杂度的同时,保证学习结果的完整性.对该算法的测试实验首先采用基准测试数据circle-in-the-square测试了其学习能力,并与ARTMAP(adaptive resonance theory supervised predictive mapping)和BP(back propagation)神经网络进行了比较;然后采用标准的入侵检测测试数据集KDD'99 Data Set测试了其对大规模入侵的检测性能.通过与其他方法在相同数据集上的测试结果的比较表明,分布式学习算法同样具有较高的检测效率和较低的误报率.     

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统（NIDS）的处理速度无法跟上网络通讯及其数量的增长速度,提出了基于Netfilter的分布式NIDS系统和负载均衡算法,在Netfilter上实现了数据包的分流,使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明,分布式NIDS中每个NIDS的负载基本相等,漏检率减少到了单个NIDS的1/4。     

一种新的恶意代码检测方法

基于主机的检测系统对文件检测能力更强．但是因为开销,成本过高,因此实际中基于网络的检测系统应用场景更广泛,可以部署的节点更多,提升网络恶意代码检测系统的检测能力可以更有效地为之后的恶意代码防御做出支持。但是其节点设备数量虽然多,却相对低端,单台成本更低,不能像主机检测一样将捕捉到的网络数据包还原,即使可以,也费时费力,处理速度跟不上网络流量,将会造成大量的丢包。因此,如果能让检测系统的前端主机在能够不重组数据包就检测出数据包是否为恶意代码意义重大,在不还原数据包的情况下,通过对单包的内容进行检测从而对有问题的包产生告警信息,可以显著增强基于网络的恶意代码检测系统前端主机的检测能力,使其在病毒种植过程中就能探测到异常。     

利用主机软件信息消除NIDS虚警

由于缺乏对网络主机上下文的了解,多数基于特征的NIDS(网络入侵检测系统)产生的虚警数量太多,使得管理员无法尽快将注意力集中到真正有威胁的报警上.通过改进已有的MDS使其能够有效利用网络主机上的软件信息消除MDS虚警的有效方法,改进后的MDS根据已知的受监控网段内的主机软件信息,在与入侵规则做匹配之前进行预先判断,过滤掉不需要匹配的入侵规则,从而减少很多没有实际意义的报警记录.改进后的NIDS原型系统在企业内部网实施的实测结果显示,该方法确实可以达到减少虚警数量提高报警质量的目的.     

基于深度学习的网络流量异常预测方法

针对网络入侵检测系统（NIDS）能够检测当前系统中存在的网络安全事件,但由于自身的高误报率和识别安全事件产生的时延,无法提前对网络安全事件进行准确率较高的预警功能,严重制约了NIDS的实际应用和未来发展的问题,提出了基于深度学习的网络流量异常预测方法。该方法提出了一种结合深度学习算法中长短期记忆网络和卷积神经网络的预测模型,能够训练得到网络流量数据的时空特征,实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。实验通过使用设计好的神经网络框架对入侵检测系统流量数据集CICIDS2017进行了训练和性能测试,在该方法下流量分类的误报率下降到0.26%,总体准确率达到了99.57%,流量特征预测模型R2的最佳效果达到了0.762。     

基于SOFM和快速最近邻搜索的网络入侵检测系统与攻击分析

近年来越来越多的机器学习算法被应用到入侵检测中．但是在网络入侵检测系统（NIDS）中,随着网络规模和速度的增加,一般机器学习算法难以满足入侵检测系统实时性的要求,这也是困扰机器学习算法在入侵检测领域进一步实用化的主要瓶颈之一．为了增加网络入侵检测系统的可用性和实时性．提出了一种基于自组织特征映射（SOFM）的网络入侵检测系统,并且在此基础上实现了一种面向提高入侵检测效率的快速最近邻搜索算法VENNS,以减少系统训练和系统检测时间开销．在DARPA1999入侵检测评估数据的基础上,进行了系统的综合性能评价和对比分析．实验证明,系统在维持较低误报率的基础上取得较高的检测率;系统效率大大提高：训练时间开销大约达到改进前的1／4,检测时间开销则约达到改进前的1／7．     

入侵检测中一种节约内存的多模式匹配算法

模式匹配既是网络入侵检测系统（NIDS）的关键,也是NIDS中消耗资源最多的部分。随着网络速度和入侵检测规则的持续增长,模式匹配正在成为NIDS的性能瓶颈。提出了一种基于非确定有限自动机结构的Aho-Corasick算法,通过压缩状态表,把状态和状态变迁存储在一个单一向量中,显著降低了内存需求,获得了良好的cache性能。测试表明,与其他Aho-Corasick 算法相比,MEAC的内存消耗平均减少了92.3%~98.4%,同时保持了Aho-Corasick算法的良好性能。     

基于环境信息降低入侵检测误报率

采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境条件。当入侵检测系统发现可疑入侵时,依据环境条件加以实时确认查核,从而减少误报。     

入侵检测中的自适应模式匹配技术

模式匹配既是网络入侵检测系统（NIDS）的核心技术,也是NIDS中消耗资源最多的部分,并正在成为NIDS的性能瓶颈。现有的模式匹配算法大多采用静态定义的优化策略,没有考虑网络流量和入侵检测规则的特性。该文提出一种自适应的模式匹配算法AMPM,动态统计网络流量和规则组的特性,根据统计结果自动选择最合适的模式匹配算法。测试表明,AMPM使现有NIDS的性能提高了9．4％-29．1％,且对于大规则集具有更好的适应性。