基于分布式存储的正则表达式匹配算法设计与实现

随着网络带宽的快速增长,互联网正面临着日益严重的安全威胁。网络入侵检测系统(KIDS)利用模式匹配等技术对网络报文进行分析和检测,是防范网络威胁、保护网络安全的一种有效手段。但模式匹配消耗巨大的计算量,现有的技术难以满足10Gbps以上骨干网络KIDS的需求。提出了基于B1oom filter的细粒度并行模式匹配技术PBPM(Parallel-B1oom-filter-based multi-Pattern Matching) , PBPM利用多个相同的B1oom filter分别从输入文本的不同位置处并行匹配,每个周期可完成多个字符的匹配,显著提高了匹配速率。详细讨论了在FPGA上的实现方式,在Snort 2.9规则集上的测试结果表明,PBPM能够提供超过20Gbps的模式匹配需求。     

基于IXP2400的高速网络入侵检测系统

随着网络应用的增长,信息安全问题日益突出,入侵检测系统成为网络安全动态防护技术的核心,目前的网络入侵检测系统或者是纯软件编写或是纯硬件实现,它们都不能同时满足在高速网络中性能和灵活性的要求,文章利用网络处理器高处理能力和高编程性,提出了一个基于网络处理器IXP2400的网络入侵检测系统。     

基于网络处理器的高速网络数据过滤

随着网络应用的增长,网络数据流量在以翻番的速度增长,网络数据的采集和过滤作为实时性要求高的入侵检测系统的支撑系统,其数据处理能力直接影响入侵检测系统的效率。高处理能力和高编程性的网络处理器的出现,克服了基于传统CPU架构的数据采集和过滤系统的性能局限,在高速网络中实现了性能和灵活性的结合,达到了高速数据处理和检测规则的动态更新。在此架构基础上,通过多种方式能够提高数据处理效率,文章提出了在网络处理器实现的NIDS中集成优化规则集的方式实现高效数据过滤。     

Local outlier factor and stronger one class classifier based hierarchical model for detection of attacks in network intrusion detection dataset

Identification of attacks by a network intrusion detection system (NIDS) is an important task. In signature or rule based detection, the previously encountered attacks are modeled, and signatures/rules are extracted. These rules are used to detect such attacks in future, but in anomaly or outlier detection system, the normal network traffic is modeled. Any deviation from the normal model is deemed to be an outlier/ attack. Data mining and machine learning techniques are widely used in offline NIDS. Unsupervised and supervised learning techniques differ the way NIDS dataset is treated. The characteristic features of unsupervised and supervised learning are finding patterns in data, detecting outliers, and determining a learned function for input features, generalizing the data instances respectively. The intuition is that if these two techniques are combined, better performance may be obtained. Hence, in this paper the advantages of unsupervised and supervised techniques are inherited in the proposed hierarchical model and devised into three stages to detect attacks in NIDS dataset. NIDS dataset is clustered using Dirichlet process (DP) clustering based on the underlying data distribution. Iteratively on each cluster, local denser areas are identified using local outlier factor (LOF) which in turn is discretized into four bins of separation based on LOF score. Further, in each bin the normal data instances are modeled using one class classifier (OCC). A combination of Density Estimation method, Reconstruction method, and Boundary methods are used for OCC model. A product rule combination of the threemethods takes into consideration the strengths of each method in building a stronger OCC model. Any deviation from this model is considered as an attack. Experiments are conducted on KDD CUP’99 and SSENet-2011 datasets. The results show that the proposed model is able to identify attacks with higher detection rate and low false alarms.     

基于数据分流实现高速网入侵检测的研究与实践

随着以太网的发展,目前基于网络的入侵检测系统已经无法适应高速增长的网络速度,提出了一种数据分流的方法,将捕获的网络数据按某种规则分流转发至多个检测设备进行处理,以达到提高整个系统的检测性能,解决高速网络下网络入侵检测设备因性能缺陷而带来的丢包问题。     

基于前馈多层感知器的网络入侵检测的多数据包分析

提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与传统采用单数据包检测方式的网络入侵检测系统(NIDS)模型相比,具有更低的漏检率。     

基于FSM的高速网络协议识别研究*

〖提出的高速网络协议识别方案用FSM表示RegExp,用硬件完成模式匹配,实现了高速的网络协议识别,解决了基于软件的字符串匹配不能适应高速网络发展的问题。测试表明其模式匹配速度可达到Gbps以上性能。     

利用网络入侵检测系统与防火墙的功能结合构建安全网络模型

通过剖析防火墙以及网络入侵检测系统的特点，提出了实现网络入侵检测系统与防火墙的功能结合的观点，并就利用这种功能结合在构建安全网络模型的应用问题上进行了阐述。     

如何充分发挥NIDS的作用

网络入侵检测系统对实现网络安全问题的可视化与可管理具有重要意义,通过利用虚拟引擎和事件自定义功能可以实现面向对象的检测。     

基于Linux的网络入侵检测与防火墙集成系统的设计与实现

作为网络安全领域的两大技术，入侵检测系统与防火墙仍然存在一些自身无法解决的问题。在入侵检测系统与Linux内核Netfilter总体框架的基础上，文章提出了集成网络入侵检测系统（NIDS）与防火墙（iptables）系统总体框架．详细介绍了对该框架各模块的初步实现，最后分析了该系统的优缺点。