共查询到19条相似文献,搜索用时 0 毫秒
1.
入侵检测技术是安全防护的重要手段,但是传统的入侵检测系统在高速网络环境下由于误报率和漏报率过高而难以满足实际需要。文中分析了基于模式匹配的入侵检测系统的不足,提出了把协议分析技术和模式匹配技术相结合的检测模型,最后讨论了一种对入侵检测系统的规则库进行精简的方法。这些方法提高了检测准确率和效率,使得入侵检测系统能够适应高速网络环境。 相似文献
2.
协议分析技术在入侵检测中的应用 总被引:3,自引:0,他引:3
入侵检测技术是安全防护的重要手段,但是传统的入侵检测系统在高速网络环境下由于误报率和漏报率过高而难以满足实际需要。文中分析了基于模式匹配的入侵检测系统的不足,提出了把协议分析技术和模式匹配技术相结合的检测模型,最后讨论了一种对入侵检测系统的规则库进行精简的方法。这些方法提高了检测准确率和效率,使得入侵检测系统能够适应高速网络环境。 相似文献
3.
目前基于网络的入侵检测系统已经无法适应高速增长的网络速度,因此研究在高速以太网上实现的网络入侵检测系统是十分必要的。介绍了两种基于高速网络的入侵检测系统。一种是基于FPGA的高速网络入侵检测系统,另一种是基于数据分流的高速网络入侵检测系统。 相似文献
4.
5.
随着互联网的广泛应用,网络信息量迅速增长,高速网络下的安全问题日趋突出.入侵检测作为网络安全的重要组成部分,在高速网络环境下如何实现高效的检测是目前研究的热点.本文主要从动态负载平衡方面对入侵检测系统进行了设计,使其能适应大数据流的环境,并具有较好地适应性和灵活性. 相似文献
6.
本文在研究当前高速网络入侵检测系统的各种类型后,重点探讨了一种适合高速网络环境下入侵检测系统的高速处理模型-可扩展多级并行处理入侵检测系统(XMLPP)的结构组成和功能特点,并对它的技术优点进行了进一步的研究和探讨。 相似文献
7.
8.
在高速主干网络环境中的入侵检测系统应该满足两个要求:第一,需要尽早发现入侵企图;第二,要努力降低入侵检测的操作代价。两者的解决办法与入侵检测模型和测度密切相关。本文在一般的滥用检测系统中嵌入反馈预测机制,它不仅能预测用户当前行为是否入侵,而且能大幅度降低该入侵检测系统的操作代价,可适应在高速网络中的实时检测需要。实际测试结果表明反馈预测机制能比较精确地预测入侵,嵌入了反馈预测机制的滥用检测系统的数据处理能力有了较大的改善。 相似文献
9.
高速网络环境下的入侵检测是一个新的研究方向.针对该技术研究了基于负载均衡技术的入侵检测系统并建立了系统模型,在该模型的基础上对负载均衡器进行了改进.其中使用了负载均衡算法中的最快响应法和加权法相结合的方法对高速网络中的数据进行处理,这样的改进优化了处理结果,提高了高速网络环境下入侵检测的准确性和有效性. 相似文献
10.
入侵检测系统中网络数据采集技术研究 总被引:2,自引:0,他引:2
网络数据采集是入侵检测系统的基础组件。入侵检测系统采集到数据后,将首先通过过滤机制过滤掉无用的数据,然后对数据进行协议分析和模式匹配,以检测攻击的发生。本文对流行的网络数据采集工具Libpcap进行了详细分析,该工具只适合在普通网络环境下运行,不能满足高速入侵检测系统的需求。为此,本文又对零拷贝技术进行了研究与试验,并成功实现了该技术,从软件上满足了高速入侵检测系统的要求。 相似文献
11.
流量异常检测是网络入侵检测的主要途径之一,也是网络安全领域的一个热门研究方向。通过对网络流量进行实时监控,可及时有效地对网络异常进行预警。目前,网络流量异常检测方法主要分为基于规则和基于特征工程的方法,但现有方法需针对网络流量特征的变化需重新人工收集规则或
构造特征,工作量大且繁杂。为解决上述问题,该文提出一种基于卷积神经网络和循环神经网络的深度学习方法来自动提取网络流量的时空特征,可同时提取不同数据包之间的时序特征和同一数据包内字节流的空间特征,并减少了大量的人工工作。在 MAWILab 网络轨迹数据集上进行的验证分析结果表明,该文所提出的网络流时空特征提取方法优于已有的深度表示学习方法。 相似文献
12.
13.
针对高速网络环境下基于知识的入侵检测系统因搜索的知识库庞大,耗时过多,导致丢包而影响到系统的性能等问题,通过引入网络流量的反馈机制,采用随机投影算法,灵活调整模式匹配过程中知识库的规模,以提高入侵检测系统的实时性,减少系统的丢包率,从而有效降低系统的误漏报率,以此改善入侵检测系统的性能。 相似文献
14.
Botnet detection is one of the most imminent tasks for cyber security. Among popular botnet countermeasures, an intrusion detection system is the prominent mechanism. In the past, packet-based intrusion detection systems were popular. However, flow-based intrusion detection systems have been preferred in recent years due to their ability to adapt to modern high-speed networks. A collection of flows from an enterprise network usually contains both botnet traffic and normal traffic. To classify this traffic, supervised machine learning algorithms, i.e., classifications, have been applied and achieved a high accuracy. In an effort to improve the ability of intrusion detection systems against botnets, some studies have suggested partitioning flows into clusters before applying the classifications and this step could significantly reduce the complexity of a flow set. However, the instability of individual clustering algorithms is still a constraint for botnet detection.To overcome this bottleneck, we propose a novel method that combines individual partitions to become a strong learner through the use of a link-based algorithm. Our experiments show that our cluster ensemble model outperforms existing botnet detection mechanisms with a high reliability. We also determine the balance between accuracy and computer resources for botnet detection, and thereby propose a range for the maximum duration time of flows in botnet research. 相似文献
15.
针对复杂高速网络环境风险评估面临的性能瓶颈以及实时准确性低的问题,提出了多核构架的网络风险评估模型。该模型利用多核网络处理平台资源,提出了高速并行处理网络流量构架和实时入侵检测均衡算法。同时以人工免疫为基础,模拟了人体记忆细胞对外部抗原的免疫过程,采用克隆选择算法增扩抗体浓度,为实时风险评估提供理论依据。理论分析和仿真实验结果表明,该模型能够定量实时评估高速网络环境风险,能够保证处理性能和评估准确性。 相似文献
16.
Xinidis K. Charitakis I. Antonatos S. Anagnostakis K.G. Markatos E.P. 《Dependable and Secure Computing, IEEE Transactions on》2006,3(1):31-44
State-of-the-art high-speed network intrusion detection and prevention systems are often designed using multiple intrusion detection sensors operating in parallel coupled with a suitable front-end load-balancing traffic splitter. In this paper, we argue that, rather than just passively providing generic load distribution, traffic splitters should implement more active operations on the traffic stream, with the goal of reducing the load on the sensors. We present an active splitter architecture and three methods for improving performance. The first is early filtering/forwarding, where a fraction of the packets is processed on the splitter instead of the sensors. The second is the use of locality buffering, where the splitter reorders packets in a way that improves memory access locality on the sensors. The third is the use of cumulative acknowledgments, a method that optimizes the coordination between the traffic splitter and the sensors. Our experiments suggest that early filtering reduces the number of packets to be processed by 32 percent, giving an 8 percent increase in sensor performance, locality buffers improve sensor performance by 10-18 percent, while cumulative acknowledgments improve performance by 50-90 percent. We have also developed a prototype active splitter on an IXP1200 network processor and show that the cost of the proposed approach is reasonable. 相似文献
17.
在网络入侵检测系统中,通常需要在内存中开辟缓冲区对网络报文进行采集和分析,但是传统的读写缓冲区的互斥机制在高速网络环境中的效率都不甚理想,无法满足对高速IDS系统的性能需求。该文提出的一种基于并发锁机制的双缓冲区互斥机制可以改善传统锁机制的资源利用率,很好地解决了报文到达流和报文处理能力之间的性能瓶颈问题,显著地提高了IDS系统的性能。 相似文献
18.
在线自适应网络异常检测系统模型与算法 总被引:1,自引:0,他引:1
随着因特网等计算机网络应用的增加,安全问题越来越突出,对具有主动防御特征的入侵检测系统的需求日趋紧迫.提出一个轻量级的在线自适应网络异常检测系统模型,给出了相关算法.系统能够对实时网络数据流进行在线学习和检测,在少量指导下逐渐构建网络的正常模式库和入侵模式库,并根据网络使用特点动态进行更新.在检测阶段,系统能够对异常数据进行报警,并识别未曾见过的新入侵.系统结构简单,计算的时间复杂度和空间复杂度都很低,满足在线处理网络数据的要求.在DARPAKDD99入侵检测数据集上进行测试,10%训练集数据和测试集数据以数据流方式顺序一次输入系统,在40s之内系统完成所有学习和检测任务,并达到检测率91.32%和误报率0.43%的结果.实验结果表明系统实用性强,检测效果令人满意,而且在识别新入侵上有良好的表现. 相似文献
