利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。     

并行入侵检测系统的负载均衡算法

提出了并行入侵检测系统 (IDS)的负载均衡算法 ,该算法给每个 IDS探测器设置了一个数据包接受区间 ,通过对数据包的目的 IP地址做散列 (Hash)运算 ,把数据包映射到某个探测器的接受区间内 ;根据探测器的处理能力和负载调节各个探测器接受区间的宽度 ,从而合理分配各个探测器上的网络流量 ,充分利用所有探测器的计算资源 .理论分析和实验结果表明 ,该算法在高带宽环境中有较高的效率     

SOINN多视图网络入侵检测

检测准确性是入侵检测系统(IDS)的关键性能。针对入侵检测中训练样本数目不平衡的问题,提出使用拓扑学习的方法训练网络数据分类器,并且使用多视图入侵检测方法进一步提高检测率。实验结果表明,提出的方法对于某些攻击类型的检测能力优于现有的方法。特别是提升了对非法远程闯入(R2L)攻击,与非法提升权限(U2R)攻击的检测能力。     

入侵检测系统在IPv6环境下的研究与实现

设计并实现了同时支持IPv4/IPv6协议的入侵检测系统（IPv6IDS）。重点研究了特征库检测及规则管理、主动阻断、大流量数据包高速捕获、可视化等关键模块,采用Web客户浏览的形式实现前端控制。IPv6IDS软件在百兆流量下入侵漏报率 < 5%,误报率 < 8%。     

高速网络入侵检测系统中基于Hash函数的分流算法

如何使入侵检测系统能适用于高速网络环境,成为当今入侵检测领域急需解决的技术难题.结合机群系统,提出一种基于散列函数的分流算法,将高流量数据流通过该分流算法分为多个数据流,交由机群系统中各节点上的IDS分析引擎处理.实验结果表明,该算法保证同一连接的所有数据报文由同一IDS分析引擎处理,在高速网络环境下保持高检测率,并有效地解决负载平衡问题.     

基于免疫计算的IDS误警率问题研究

误警率较高是入侵检测系统（IDS）存在的一个主要问题,极大影响了检测结果的可信性。形式化分析了IDS可信问题与误报率的关系以及异常IDS误警率问题产生原因,借鉴生物免疫系统,提出了基于人工免疫思想,动态构建正常系统轮廓,抑制误警率的方法。给出了抗原、抗体的形式化描述及检测的具体过程,并进行了仿真和对比实验。理论分析和实验表明,该方法有效降低了IDS的误警率。     

针对IP分片攻击的IDS反欺骗技术研究

针对当前入侵检测系统(IDS)在处理IP分片时存在易被欺骗的问题,提出一种应对这类攻击的反欺骗方案.通过在IDS前端加入一个预分析器,对捕获的数据包进行分析,预测信息源端的行为特征,从而有效识别IDS欺骗行为.测试表明,采用这种方案能有效检测出针对IDS实施的分片期骗攻击.     

Snort入侵检测系统中数据包捕获模块的分析与设计

随着网络的高速发展,网络带宽得到了极大的提升。高速网络环境下对入侵检测系统提出了更高的要求,其中入侵检测系统的数据包捕获能力成为其发展的瓶颈。目前大多数系统使用传统的Libpcap库来实现数据包捕获功能,文章对一个基于Snort入侵检测系统中数据包捕获模块进行了分析设计,给出了设计架构,详细说明了工作流程,并对系统的性能进行了对比分析。     

基于分流技术的高速网络入侵检测系统设计

针对网络入侵检测系统因自身性能缘故在高速网络上难以有效地进行实时入侵检测,设计了一种基于动态流量负载均衡的分流式入侵检测系统模型,模型中的数据分流器将捕获的网络数据包在数据链路层转发至多个探测机进行处理,并通过动态负载均衡分流算法实现数据的均衡分流.该设计方法能够充分利用系统的计算资源,具有良好的扩展性、动态流量均衡性和检测性能.实验结果表明,通过分流器分流到各个探测器的数据包个数基本上能平均分配,系统的检测分析能力随探测机数量的增加而明显增强.     

基于流量分析的网络安全检测研究

流量监控系统是以网络数据包作为信息源的入侵检测系统,从数据包流量分析角度,通过实时收集和分析数据包信息,来检查是否有违反安全策略的行为。基于此,笔者首先阐述流量分析应用于入侵检测的意义,然后探讨入侵检测分类和入侵检测系统的工作流程,以期为学生的相关研究提供参考。     

An efficient parallel-network packet pattern-matching approach using GPUs

In the past few years, the increase in interest usage has been substantial. The high network bandwidth speed and the large amount of threats pose challenges to current network intrusion detection systems, which manage high amounts of network traffic and perform complicated packet processing. Pattern matching is a computationally intensive process included in network intrusion detection systems. In this paper, we present an efficient graphics processing unit (GPU)-based network packet pattern-matching algorithm by leveraging the computational power of GPUs to accelerate pattern-matching operations and subsequently increase the overall processing throughput. According to the experimental results, the proposed algorithm achieved a maximal traffic processing throughput of over 2 Gbit/s. The results demonstrate that the proposed GPU-based algorithm can effectively enhance the performance of network intrusion detection systems.     

网络协议分析与决策树挖掘的入侵检测模型研究

在入侵检测系统中,采用网络协议分析技术可以有效地减少数据包的搜索空间。结合网络协议分析技术和决策树挖掘技术,提出一种新型的入侵检测模型。该模型首先分析数据包的协议类型,然后根据协议类型来确定最佳的决策树算法以进行入侵检测。实证研究表明,该模型较传统的基于决策树的入侵检测模型具有更高的准确性,更适合于目前高速网络环境中的入侵检测要求。     

多检测引擎监测的动态负载均衡算法

为解决多引擎入侵检测系统的负载均衡问题,提出一种检测引擎的动态负载调节算法。首先,监测各引擎节点计算负载;然后,以过载或空载节点出现为调度时机,以会话为单位调度重负载节点的流量到低负载节点,并遍历节点进行负载均衡的调节。由于以会话为调度单位,算法并不以负载的绝对平均为目的,只需保障各引擎节点不出现过载或空载即达到基本目标。采用KDD cup99数据集进行模拟实验,实验结果表明,与平均分配流量算法和基于较大流调整的安全分流算法相比,所提算法对检测引擎基于会话的负载均衡效果显著,运行开销较低且降低了重负载状态下的丢包率,有利于提高入侵检测系统的检测率。     

一种基于协议分析的入侵检测模型

对于入侵检测系统来说,选择好的入侵检测方法有利于提高检测效率,传统的入侵检测系统由于计算量大、漏报率和误报率高,已经不适应于当前网络系统的需求。协议分析是网络入侵检测中的一种关键技术,基于这种思想,介绍了协议分析的内容、过程、入侵特征的提取及协议分析在入侵检测中的应用,主要实现了对IP数据包内容分析,同时提出了一种与传统模式匹配算法相结合的可行入侵检测模型。经分析,该检测模型比传统的检测模型有着明显的优势。     

动态规划理论在DSAMDP方法中的优化研究

网络入侵检测系统在流量大的情况下经常会出现较高的丢包率,曾提出通过DSAMDP（Dynamic Self-Adapting Multimedia Data Processing,动态自适应多媒体数据处理）方法来解决这一问题,收效良好。在此基础上,使用动态规划理论对DSAMDP方法的决策过程进行优化,在兼顾系统负载能力的同时,使每个时间片内选取的多媒体数据包序列的危险度达到最高。这种方法可使网络入侵检测系统将有限的处理能力集中处理那些更具危险性的多媒体数据包。实验结果表明,该方法可提高系统对高危多媒体信息的检测率。     

基于混合模式匹配算法的网络入侵检测

为了提升中央处理单元(CPU)和图形处理单元(GPU)协同检测网络入侵的性能,本文提出了一种具有数据包有效载荷长度约束的CPU/GPU混合模式匹配算法(LHPMA)。在分析CPU/GPU混合模式匹配算法(HPMA)的基础上,设计了长度约束分离算法(LBSA)对传入数据包进行提前分类。利用CPU中的预过滤缓冲区对较长数据包进行快速预过滤,结合全匹配缓冲区将较短数据包直接分配给GPU进行全模式匹配,通过减少有效载荷长度的多样性,提升了CPU/GPU协同检测网络入侵的性能。实验结果表明,LHPMA增强了HPMA的处理性能,充分发挥了GPU并行处理较短数据包的优势,并且LHPMA提高了网络入侵检测的吞吐量。     

类图像处理面向大数据XSS入侵智能检测研究

通过类图像处理方法对访问流量语料库大数据进行词向量化处理,实现面向大数据XSS入侵智能检测研究。利用类图像处理方法进行数据获取、数据清洗、数据抽样、特征提取等数据预处理;设计基于神经网络的词向量化算法,实现词向量化得到词向量大数据;通过理论分析和推导,实现多种不同深度的深层神经网络智能检测算法;设计不同的超参数并进行反复的实验,分别得到最高识别率、最低识别率、识别率均值、方差、标准差、识别率变化曲线图和平均绝对误差变化曲线图等结果。实验结果表明,该方法具有识别率高、稳定性好、总体性能优良等特点。     

分布式入侵检测中基于能力与负载的数据分割算法

针对高速网络环境下分布式入侵检测中海量数据并行检测处理的效率和检测率问题,提出一种基于能力与负载的数据分割算法。该算法依据采集到的集群内各数据分析节点的系统性能指标及运行状态,评估节点的数据处理能力与负载程度。基于节点的能力与负载适应因子,权衡节点在集群中检测和分析数据能力的权重,实现海量数据在集群内各数据分析节点间的动态数据分割,为节点分配适应其能力与实时负载的数据粒度。仿真测试结果表明,该算法具有较好的负载均衡性,降低了系统的检测时间,提高了数据并行处理的效率和检测率。     

无线局域网非授权用户入侵行为分析及检测*

针对当前流行的破解有线等效加密无线局域网密钥进而盗用上网资源的现象,研究了相关产品的攻击手段.对其提供的交互式重放攻击、ARP注入攻击、chopchop攻击和分片攻击四种攻击方式,通过跟踪记录攻击过程,分析了它们的攻击原理.在借鉴KDD99等特征提取方法的基础上,提取了9个用于识别攻击的流量统计特征,并利用支持向量机设...     

0/1背包问题在动态自适应多媒体处理方法中的应用研究

针对Snort网络入侵检测系统在大网络流量下丢包率高的问题,曾提出使用动态自适应多媒体处理方法来降低其丢包率,收到良好效果。本文在前期研究基础上,将0/1背包问题的最优化思想用于动态自适应多媒体处理方法的主要决策步骤中,分别利用动态规划的向前处理法和向后处理法从正反两个方向做出决策并求解。通过这种方法,使Snort在一段网络流量区间内,能够将有限的处理能力集中在更具危险性的多媒体数据包上。实验证明,该方法能有效提高易带危险信息的多媒体数据包的检测率。