动态规划理论在DSAMDP方法中的优化研究

网络入侵检测系统在流量大的情况下经常会出现较高的丢包率,曾提出通过DSAMDP（Dynamic Self-Adapting Multimedia Data Processing,动态自适应多媒体数据处理）方法来解决这一问题,收效良好。在此基础上,使用动态规划理论对DSAMDP方法的决策过程进行优化,在兼顾系统负载能力的同时,使每个时间片内选取的多媒体数据包序列的危险度达到最高。这种方法可使网络入侵检测系统将有限的处理能力集中处理那些更具危险性的多媒体数据包。实验结果表明,该方法可提高系统对高危多媒体信息的检测率。     

基于FSM的高速网络协议识别研究*

〖提出的高速网络协议识别方案用FSM表示RegExp,用硬件完成模式匹配,实现了高速的网络协议识别,解决了基于软件的字符串匹配不能适应高速网络发展的问题。测试表明其模式匹配速度可达到Gbps以上性能。     

利用网络入侵检测系统与防火墙的功能结合构建安全网络模型

通过剖析防火墙以及网络入侵检测系统的特点，提出了实现网络入侵检测系统与防火墙的功能结合的观点，并就利用这种功能结合在构建安全网络模型的应用问题上进行了阐述。     

企业级多层分布式入侵检测系统模型设计

目前,随着我国企业级网络的迅速普及和发展,网络安全问题越来越突出.因此,如何选择或定制开发一套既安全、高效、灵活,又保证最低成本的网络安全产品也变得越来越困难.从适于简单的小型网络的单点嗅探设计入手,进一步完成适于中等规模的多层入侵检测防御体系设计,最后提出了适于企业级的分布式预警体系设计的安全模型,并对关键技术部分做了详细的说明.与昂贵的商业化安全产品相比,该模型虽然还有很多不足,但在成本、灵活性及实用性、易用性等方面却有明显的优势.     

分布式入侵检测系统中自保护代理的系统设计

采用分布式结构的基于网络的入侵检测系统(NIDS)自身的安全性已经成为一个重要问题。在分析了已有NIDS的技术特点的基础上,根据其特性引入了报文过滤、进程控制、报文确认和安全通信的思想,提出了面向NIDS的向保护代理(Sclf-protcction Agent)的模型,并给出了SPA的体系结构与详细设计。在与已有的基于代理的入侵检测系统结合后,SPA可以提高NIDS的安全性。     

基于网络的入侵检测系统及其实现

随着各种网络应用的迅速普及与发展,政府上网,企业上网已成为当今社会发展的必然趋势。如何保证信息访问的合法性,安全性已成为人们关注的焦点,而旧的以防火墙为基础的安全体系已经越来越不适应人们的要求,文中给出了一种新的安全防护手段（NIDS）及其实现（Snort),较好地解决了这个问题。     

基于蚁群的无线传感器网络双簇头算法

分析遗传算法在入侵检测系统中的可应用情况,提出一种基于粗粒度模型遗传算法的网络入侵检测系统.通过对协议特征的分析,找出有可能被非法利用和更改的特征属性,经过组合和编码后构成系统的初始种群,在各个处理器(终端点)并行地进行遗传算法的操作,使种群的进化在所有检测点同时进行,通过迁移相互交流,合理地设计适应度函数,使遗传"基因"的取舍和利用更加合理.实验数据表明,系统的检测率达到90%以上.     

基于Linux的网络入侵检测与防火墙集成系统的设计与实现

作为网络安全领域的两大技术，入侵检测系统与防火墙仍然存在一些自身无法解决的问题。在入侵检测系统与Linux内核Netfilter总体框架的基础上，文章提出了集成网络入侵检测系统（NIDS）与防火墙（iptables）系统总体框架．详细介绍了对该框架各模块的初步实现，最后分析了该系统的优缺点。     

无线局域网中辅助NIDS的蜜罐的实现

无线网络入侵监测系统(NIDS)还不能应对流量过载和新型攻击的问题,这制约着它的发展.蜜罐使用不同的实现方法可以达到不同的目的.文中主要研究无线局域网中如何利用蜜罐来辅助NIDS设计的问题.文中概述了无线NIDS中存在的安全问题,分析了802.11b中无线NIDS和蜜罐结合的可能性,提出了无线局域网中利用hot zone来辅助NIDS的方案.通过在校园网里部署这一系统,得到了针对客户机和AP的攻击信息,最后人工对整个系统进行测试,证明了这一设计的正确性.     

众核处理器上的高性能网络入侵检测系统

为提高网络入侵检测系统(NIDS)在互联网流量和网络攻击数量增长下的性能,进行了在多核处理器上利用并行结构提高NIDS处理能力的研究.首先实现了NIDS在TILERA-GX36众核处理器上的数据并行(RTC)和任务并行(SPL)这两种并行机构方法,实验结果表明众核处理器上丰富的计算资源支持大量并行的NIDS实例,但同时也带来严重的资源竞争和冲突,系统并行化开销大大增加.为此,提出了一种基于共享的RTC方法,即SRTC方法,和已有方法相比,SRTC方法解决了RTC模型内存占用线性增长的问题,同时避免了SPL模型中的线程间通信开销.以开源NIDS软件Snort为基础,在TILERA-GX36众核处理器上对SRTC方法进行了实现和验证,实验结果证明采用SRTC的并行系统获得了类似线性的加速比,当加载超过7000条NIDS真实规则条目时,系统能够处理包长为1K字节的10Gbps的网络流量.