共查询到20条相似文献,搜索用时 265 毫秒
1.
目前,入侵检测系统Snort还没有好的方法来检测和分析网络行为。文章通过对网络入侵检测流程的分析,基于网络的入侵攻击行为特征,构建出一种攻击树,按照攻击树的方法对数据流进行行为匹配,检测出入侵攻击行为。实验证明,这一基于网络行为匹配的入侵检测方法,大大提高了Snort的入侵检测能力。 相似文献
2.
特征匹配引擎设计与实现 总被引:1,自引:0,他引:1
网络入侵防御系统是维护网络安全的重要工具之一。特征匹配引擎是网络入侵防御系统的计算核心,用于从网络包中搜索出已知网络攻击的特征数据。对于现有的网络入侵防御系统,特征匹配引擎在整个系统中占据很大比例的计算时间。特征匹配属于计算密集型应用,对于底层的计算能力具有很高的要求。提出了一种并行特征匹配算法,并充分利用底层硬件特征,将提出的算法映射到现有的多核处理器上。在IBMSystemx3455上实现的系统具有高达17.2Gbps的处理速度和5万字条的特征字典容量,其处理速度和特征字典容量超过现有文献中的结果,包括FPGA、ASIC、网络处理器以及GPU上的实现。 相似文献
3.
入侵检测是近年来网络安全研究的重点,IXP2400是Intel公司推出的新一代网络处理器,具有较高的处理性能和较好的可扩展性。本文描述了一种基于IXP2400的入侵检测系统(IDS)的设计方案,采用了高效的特征匹配算法,使整个系统的处理性能达到高速网络环境的要求。 相似文献
4.
5.
对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。 相似文献
6.
目前基于网络的入侵检测系统已经无法适应高速增长的网络速度,因此研究在高速以太网上实现的网络入侵检测系统是十分必要的。介绍了两种基于高速网络的入侵检测系统。一种是基于FPGA的高速网络入侵检测系统,另一种是基于数据分流的高速网络入侵检测系统。 相似文献
7.
高速网络下如何进行入侵检测分析是当前网络安全研究的一个重要方向,该文基于动态负载和系统底层设计,通过嵌入底层内核代码,动态分发检测数据流,进行高速检测。该设计方法能够直接融入现有的分布式入侵检测系统或产品中,并且具有动态可扩展性、对入侵检测系统透明等优点。实测分析表明该方法能够在高速网中进行有效测试。 相似文献
8.
对基于入侵检测系统来说.模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,也是当前入侵检测设备中普遍应用的算法。它的效率直接影响到入侵检测系统的准确性和实时性,文章通过对模式匹配算法的改进,提出了一种改进的算法,在匹配文本中重复字符串较多时,该算法可以加快入侵检测系统的检测速度,提高现有入侵检测系统的检测能力。 相似文献
9.
汪大勇 《数字社区&智能家居》2010,(4):821-823
随着网络技术的高速发展,网络安全问题日益突出,入侵检测技术成为当今关注的焦点。模式匹配算法的性能对入侵检测系统影.响很大。在分析现有模式区配算法的基础上,提出了改进的AC_BM算法,该算法在文本与模式某次匹配失败后,跳过尽可能多的字符,实现更快的匹配过程。实验证明,改进后的算法大大提高了检测的性能。 相似文献
10.
该文论述了实时网络入侵检测系统现有的缺陷,并通过对系统审计数据的分析,提出了一种基于小波变换时序分析的入侵检测方法。将该算法运用于入侵检测的时序分析中,可以较好地解决高速宽带下网络实时扫描检测的瓶颈问题,提高了实时网络入侵检测的效率。 相似文献
11.
张华 《网络安全技术与应用》2010,(6):28-30
传统的基于模式匹配的入侵检测系统没有充分利用网络协议的规则,存在计算量大、准确率低等缺点。本文在网络协议分析的基础上,提出了基于网络协议解析的新的入侵检测系统模型。该系统能大大减少数据运算匹配量,为基于协议解析的入侵检测方法提供了一个更加广阔的发展平台。 相似文献
12.
入侵检测技术是安全防护的重要手段,但是传统的入侵检测系统在高速网络环境下由于误报率和漏报率过高而难以满足实际需要。文中分析了基于模式匹配的入侵检测系统的不足,提出了把协议分析技术和模式匹配技术相结合的检测模型,最后讨论了一种对入侵检测系统的规则库进行精简的方法。这些方法提高了检测准确率和效率,使得入侵检测系统能够适应高速网络环境。 相似文献
13.
基于特征值的多模式匹配算法及硬件实现 总被引:3,自引:0,他引:3
针对当前各种模式匹配算法处理速率缓慢,无法满足高速网络入侵检测需求的现状,文章首次提出了一种全新的基于特征值的多模式匹配算法。该算法运用两次匹配的思想,并且由简单硬件实现,解决了多模式匹配算法很难用硬件实现的难题,大幅度地提高了系统的匹配速率。通过实验验证该算法完全可以满足高速网络中入侵检测、文本搜索、病毒扫描、信息查询等数据处理的要求。 相似文献
14.
近几年来千兆以太网的出现,对传统入侵检测的监测速度提出了新的考验.通过对传统的基于网络的入侵检测的分析,提出了一种基于多层次特征匹配的网络入侵检测模式,有效地提高了入侵检测的速度,并且易于对不同级别的入侵提出不同的告警. 相似文献
15.
网络入侵方式已日趋多样化,其隐蔽性强且变异性快,开发灵活度高、适应性强的实时网络安全监测系统面临严峻挑战.对此,提出一种基于模糊粗糙集属性约简(FRS-AR)和GMM-LDA最优聚类簇特征学习(GMM-LDA-OCFL)的自适应网络入侵检测(ANID)方法.首先,引入一种基于模糊粗糙集(FRS)信息增益率的属性约简(AR)方法以实现网络连接数据最优属性集选择;然后,提出一种基于GMM-LDA的最优聚类簇特征学习方法,以获得正常模式特征库和入侵模式库的最优特征表示,同时引入模式库自适应更新机制,使入侵检测模型能够适应网络环境动态变化.KDD99数据集和基于Nidsbench的网络虚拟仿真实验平台的入侵检测结果表明,所提出的ANID方法能有效适应网络环境动态变化,可实时检测出真实网络连接数据中的各种入侵行为,其性能优于当前常用的入侵检测方法,应用前景广阔. 相似文献
16.
引入偏移量递阶控制的网络入侵HHT检测算法 总被引:3,自引:0,他引:3
在强干扰背景低信噪比下对网络潜质入侵信号的准确检测是决定网络安全的关键。传统的Hilbert-Huang变换(HHT)入侵信号检测算法在求解入侵信号的瞬时频率特征时,因包络线失真引起的边界控制误差,会造成频谱泄漏,从而导致检测性能较差。提出了一种基于时间-频率联合分布特征和偏移量递阶控制HHT匹配的网络入侵信号检测算法,即构建网络潜质入侵数学演化模型,把复杂的入侵信号分解成IMF单频信号,得到入侵检测系统的状态转移方程,基于Hilbert变换对入侵信号进行离散解析化处理,构建入侵信号解析模型。对每个入侵信号经验模态分解后的解析模型IMF分量用Hilbert变换进行谱分析,通过递阶控制调整HHT频谱偏移,将残差信号投影与入侵信号的Hilbert边际谱进行匹配,减小包络线失真引起的边界控制误差,抑制频谱泄漏,实现对入侵信号的精确检测和参数估计。实验表明,该算法进行网络入侵信号检测时,具有较强的抗干扰性,能从低信噪比背景下有效检测出入侵信号,检测性能有较大提高。 相似文献
17.
基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。 相似文献
18.
网络攻击隐蔽性高,手段多样。传统检测系统特征提取不全,数据包易丢失,漏报、错报率高。为提高检测率,提出一种基于加权特征筛选的入侵检测算法。首先对网络数据包进行特征提取;然后采用支持向量机交叉验证对全部特征进行筛选,并计算各特征的权值;最后以加权保留特征构建入侵检测模型。仿真实例结果表明,该检测算法提高了入侵检测率,是一种有效的网络入侵检测方法。 相似文献
19.
传统的基于模式匹配的入侵监测系统没有充分利用网络协议的规则,存在计算量大、准确率低等缺点。在网络协议分析的基础上,提出了基于网络协议解析的新的入侵检测系统模型。该系统能大大减少数据运算匹配量,为基于协议解析的入侵检测方法提供了一个更加广阔的发展平台。 相似文献
20.
基于移动Agent的分布式入侵检测系统设计与实现 总被引:1,自引:2,他引:1
针对目前入侵检测系统的不足,提出了一种基于移动Agent的分布式入侵检测系统模型,设计并实现了一个基于该模型的入侵检测系统MABDIDS。系统在设计上采用分层和网络混合的体系结构,有效解决了集中处理数据所带来的网络负载问题;通过在关键节点间建立网状结构,能够较好地解决入侵检测系统存在的单点失效问题。实验结果表明所设计的系统能够对大型分布式网络进行有效的入侵检测。 相似文献
