入侵检测中一种节约内存的多模式匹配算法

模式匹配既是网络入侵检测系统（NIDS）的关键,也是NIDS中消耗资源最多的部分。随着网络速度和入侵检测规则的持续增长,模式匹配正在成为NIDS的性能瓶颈。提出了一种基于非确定有限自动机结构的Aho-Corasick算法,通过压缩状态表,把状态和状态变迁存储在一个单一向量中,显著降低了内存需求,获得了良好的cache性能。测试表明,与其他Aho-Corasick 算法相比,MEAC的内存消耗平均减少了92.3%~98.4%,同时保持了Aho-Corasick算法的良好性能。     

入侵检测系统中的快速多模式匹配算法

网络入侵检测系统常常依赖于精确的模式匹配技术，依赖于算法的选择、实现以及使用频率。这种模式匹配技术可能成为入侵检测系统的瓶颈，为了跟上快速增长的网络速度和网络流量，Snort(开放源代码的网络入侵检测系统)中采用了快速多模式匹配算法，本文描述了Snort中一种引入注目的快速多模式匹配算法及其对系统性能的改进。     

快速高效的模式匹配算法的剖析与改进

考虑到处理性能和内存开销两大因素,模式匹配成为网络入侵检测系统(NIDS)中最为关键的一环,而现有内存消耗较少的算法性能一般较差.因此,提出一种专为入侵检测领域设计的Modified-Piranha(MP)算法,它基于排斥思想,并采用位图法、优化高速缓存和状态重排思想对Pranha算法中的哈希表进行了改进,进一步减少了匹配步骤和内存访问次数,极大地提升了模式匹配的效率.实验结果表明,相对目前先进的模式匹配算法,MP算法能显著提升Snort的性能,能减少10.8%～36.7%的处理时间,节省5.6%～38.9%的内存使用.     

网络入侵检测系统的性能分析

网络入侵检测系统(NIDS)的流行使NIDS的性能评估也逐渐变得很有挑战性。测试评估入侵检测系统比较复杂，涉及到操作系统、工具、软件、硬件和数据库等方面的问题，而NIDS的性能评估又会涉及到一些实验参数，如流量特征、规则集、匹配算法和处理器结构等。本文主要从入侵辨认能力和传感器的吞吐能力两方面对NIDS的性能进行讨论。     

基于入侵检测系统双数组散列空间模式匹配算法

针对目前网络流量不断增大、入侵特征规则数量迅速增加的情况,提出了一种双数组散列空间的模式匹配算法,可以有效地提高网络入侵检测系统的工作效率,并降低误报率。     

入侵检测系统中模式匹配算法的研究与改进

入侵检测系统的性能很大程度上取决于规则检测的效率,模式匹配算法是规则检测引擎的核心算法。对模式匹配算法进行了研究,重点分析了多模式匹配算法Wu—Manber算法。针对Wu—Manber算法在单字节模式串下移动距离短的不足,并结合网络数据包和入侵检测系统中规则的特点,提出了一种适合入侵检测系统的改进的模式匹配算法。该算法利用位示图方法解决了单字节模式串匹配的问题,增加了移动距离,提高了检测数据包与规则匹配的速度,提升了系统运行的效率。     

入侵检测系统中模式匹配算法的研究与改进

入侵检测系统的性能很大程度上取决于规则检测的效率,模式匹配算法是规则检测引擎的核心算法。对模式匹配算法进行了研究,重点分析了多模式匹配算法Wu—Manber算法。针对Wu—Manber算法在单字节模式串下移动距离短的不足,并结合网络数据包和入侵检测系统中规则的特点,提出了一种适合入侵检测系统的改进的模式匹配算法。该算法利用位示图方法解决了单字节模式串匹配的问题,增加了移动距离,提高了检测数据包与规则匹配的速度,提升了系统运行的效率。     

利用URL Cache提升网络入侵检测系统性能

网络入侵检测系统(NIDS)已经成为了信息保障中的一个重要组件.然而,当特征规则的数量或网络流量增加时,相当费CPU时间的NIDS可能无法检查所有经过的包.文中讨论了使用URL cache来加速网络入侵检测系统.通过存储正常的请求URL,以前请求过的、无恶意的Web访问可以跳过所有相关的Web特征规则匹配.以此方式修改Snort获得了较明显的性能改善.     

面向入侵检测的单模式匹配算法性能分析

对基于规则的入侵检测系统来说,模式匹配算法非常重要,它直接影响到系统的准确性和实时性。文章针对入侵检测系统中的模式匹配问题,通过实验模拟,对若干种单模式匹配算法的性能进行分析,以得到适用于对大规模数据实时定位的高效单模式匹配算法。     

入侵检测关键技术研究与实现

目前的网络入侵检测系统(NIDS)主要存在误报,漏报率高、自身的性能难以适应迅速增长的网络流量的需要等缺点,论文以提高检测的速度和准确率为目的对网络入侵检测简单模型进行分析,针对其三个关键处理点提出了高速网络数据处理技术、高准确度的检测技术、高速模式匹配技术,并在文章最后展望了入侵检测将来可能使用的一些关键技术。论文所讨论的关键技术得到了比较好的运用,并建立了完善的原型系统。     

入侵检测系统中高效模式匹配算法的研究

基于特征匹配的网络入侵检测系统的性能主要受模式匹配算法的影响。文章在对流行的网络入侵检测系统snort深入剖析的基础上，侧重研究如何利用各种高效模式匹配算法来优化snort的性能。重点介绍了一种基于BM思想的多模式匹配算法——SSPBM算法，结果表明采用SSPBM算法可以较大提高网络入侵检测系统的检测性能。     

网络入侵检测系统模式匹配算法研究

模式匹配算法是网络入侵检测中的关键所在,它直接影响到网络入侵检测系统的实时检测性能.引入4种模式匹配算法,分析其工作原理,通过实验对上述4种算法进行了性能测试.根据实验结果,得出了不同算法的应用范围,为今后入侵检测系统开发者选择模式匹配算法提供了有价值的参考.     

基于FPGA的Gigabit入侵检测系统设计与实现

随着网络带宽的增长,基于软件的入侵检测系统已不能适应千兆网络安全的需求。本文基于FPGA实现了千兆网入侵检测系统,其中的流量捕获、数据包解析、规则集模式匹配等计算密集的任务模块由FPGA中的高速运算逻辑实现,而人机交互部分由嵌入式系统实现。测试结果显示,系统在1Gbps最小包压力流量下进行数据包分析与检测时,可以达到0丢包率。     

高速网络入侵检测系统应用瓶颈解决方案

文章提出的网络入侵检测系统是基于协议分析技术,并结合特征模式匹配方法,采用高速采集器采集数据源并分发给多处理机进行数据处理的新型系统,它有效地解决了传统网络入侵检测系统在高速网络环境下的应用瓶颈问题。     

一种面向入侵检测的快速多模式匹配算法

随着网络速度和入侵检测规则的持续增长,模式匹配正在成为网络入侵检测系统的性能瓶颈。提出了一种新的Wu-Manber类型的模式匹配算法,通过将模式分组,对不同子模式组采用不同匹配方法,显著提高了模式匹配的效率。对比实验表明,当模式组中含有长度小于3的模式时,新算法性能比原算法平均提高了29%~44%。     

利用主机软件信息消除NIDS虚警

由于缺乏对网络主机上下文的了解,多数基于特征的NIDS(网络入侵检测系统)产生的虚警数量太多,使得管理员无法尽快将注意力集中到真正有威胁的报警上.通过改进已有的MDS使其能够有效利用网络主机上的软件信息消除MDS虚警的有效方法,改进后的MDS根据已知的受监控网段内的主机软件信息,在与入侵规则做匹配之前进行预先判断,过滤掉不需要匹配的入侵规则,从而减少很多没有实际意义的报警记录.改进后的NIDS原型系统在企业内部网实施的实测结果显示,该方法确实可以达到减少虚警数量提高报警质量的目的.     

AC-BM算法的改进及其在入侵检测中的应用

分析了入侵检测和网络流量中存在的问题。如果没有很快的处理速度，字符串匹配就会成为一个瓶颈。对于网络入侵检测系统来说，单一的字符串搜索包负载是缺乏效率的。它不能跟上日益增长的网络速度。因此，提出了一种改进的AC—BM算法。它是多模式匹配的算法。正如本文中所显示的一样，由于采用了改进的AC—BM算法，网络入侵枪测的性能有了改善。