Design and implementation of self-protection agent for network-based intrusion detection system 被引量：3

1

作者 ZHU Shu-ren(朱树人) LI Wei-qin(李伟琴) 《Journal of Central South University of Technology》 2003年第1期69-73,共5页

Static secure techniques, such as firewall, hierarchy filtering, distributed disposing,layer management, autonomy agent, secure communication, were introduced in distributed intrusion detection. The self-protection ag... Static secure techniques, such as firewall, hierarchy filtering, distributed disposing,layer management, autonomy agent, secure communication, were introduced in distributed intrusion detection. The self-protection agents were designed, which have the distributed architecture,cooperate with the agents in intrusion detection in a loose-coupled manner, protect the security of intrusion detection system, and respond to the intrusion actively. A prototype self-protection agent was implemented by using the packet filter in operation system kernel. The results show that all the hosts with the part of network-based intrusion detection system and the whole intrusion detection system are invisible from the outside and network scanning, and cannot apperceive the existence of network-based intrusion detection system. The communication between every part is secure. In the low layer, the packet streams are controlled to avoid the buffer leaks exist ing in some system service process and back-door programs, so as to prevent users from misusing and vicious attack like Trojan Horse effectively. 展开更多

关键词 intrusion detection system (IDS) network-based intrusion detection system(nids) SELF-PROTECTION AGENT IP filter

在线阅读 下载PDF 职称材料

NIDS中正则表达式匹配电路的改进与优化 被引量：1

2

作者 田里 《计算机工程》 CAS CSCD 北大核心 2010年第3期136-138,共3页

对网络入侵检测系统(NIDS)中复杂正则表达式匹配电路进行改进和优化。为达到最大吞吐量和最小的单位字符占用资源量,设计利用预译码、前缀树、规则分组、并行处理等方法进行结构优化。实验结果表明,改进后的电路结构提高了约47%匹配速度... 对网络入侵检测系统(NIDS)中复杂正则表达式匹配电路进行改进和优化。为达到最大吞吐量和最小的单位字符占用资源量,设计利用预译码、前缀树、规则分组、并行处理等方法进行结构优化。实验结果表明,改进后的电路结构提高了约47%匹配速度,缩减了约39%的电路面积,具有较低的资源占用和更广泛的适用性。 展开更多

关键词 网络入侵检测系统 正则表达式 预译码 前缀树 规则分组 并行处理

在线阅读 下载PDF 职称材料

NIDS警报分析系统模型设计与分析

3

作者 叶震 钱焜 白永志 《合肥工业大学学报（自然科学版）》 CAS CSCD 北大核心 2005年第11期1377-1380,共4页

网络入侵检测系统(N IDS)是一种检测网络入侵行为的工具,但在实际应用中,警报量多、误警率高,已经严重制约了N IDS的发展。文章分析了其产生的原因,提出了一种基于异常检测技术的N IDS警报分析系统模型;重点讨论了数据挖掘技术在该模型... 网络入侵检测系统(N IDS)是一种检测网络入侵行为的工具,但在实际应用中,警报量多、误警率高,已经严重制约了N IDS的发展。文章分析了其产生的原因,提出了一种基于异常检测技术的N IDS警报分析系统模型;重点讨论了数据挖掘技术在该模型中的应用。 展开更多

关键词 网络入侵检测系统 误警率 数据挖掘 异常检测 入侵警报

在线阅读 下载PDF 职称材料

NIDS的改进研究 被引量：6

4

作者 隋毅 杜跃进 《计算机工程》 CAS CSCD 北大核心 2007年第9期120-122,共3页

作为网络安全体系的重要组成部分,IDS在现实中应用并不理想。该文分析了当前NIDS存在的“无效告警信息过多,对所处网络环境一无所知”这一根本问题,提出了对现有NIDS的改进思路,通过对所处网络状况的被动发现和分析,发现当前网络的环境... 作为网络安全体系的重要组成部分,IDS在现实中应用并不理想。该文分析了当前NIDS存在的“无效告警信息过多,对所处网络环境一无所知”这一根本问题,提出了对现有NIDS的改进思路,通过对所处网络状况的被动发现和分析,发现当前网络的环境信息,NIDS能更有针对性、更加有效地工作。 展开更多

关键词 基于网络的入侵检测系统 入侵检测 被动网络发现 数据有效性

在线阅读 下载PDF 职称材料

利用主机软件信息消除NIDS虚警

5

作者 龙小飞 冯雁 王瑞杰 《计算机工程与设计》 CSCD 北大核心 2007年第3期538-541,共4页

由于缺乏对网络主机上下文的了解,多数基于特征的NIDS(网络入侵检测系统)产生的虚警数量太多,使得管理员无法尽快将注意力集中到真正有威胁的报警上。通过改进已有的NIDS使其能够有效利用网络主机上的软件信息消除NIDS虚警的有效方法,... 由于缺乏对网络主机上下文的了解,多数基于特征的NIDS(网络入侵检测系统)产生的虚警数量太多,使得管理员无法尽快将注意力集中到真正有威胁的报警上。通过改进已有的NIDS使其能够有效利用网络主机上的软件信息消除NIDS虚警的有效方法,改进后的NIDS根据已知的受监控网段内的主机软件信息,在与入侵规则做匹配之前进行预先判断,过滤掉不需要匹配的入侵规则,从而减少很多没有实际意义的报警记录。改进后的NIDS原型系统在企业内部网实施的实测结果显示,该方法确实可以达到减少虚警数量提高报警质量的目的。 展开更多

关键词 网络入侵检测系统 入侵检测 主机上下文 基于特征 虚警

在线阅读 下载PDF 职称材料

应对零日攻击的混合车联网入侵检测系统 被引量：1

6

作者 方介泼 陶重犇 《计算机应用》 CSCD 北大核心 2024年第9期2763-2769,共7页

现有机器学习方法在面对零日攻击检测时,存在对样本数据过度依赖以及对异常数据不敏感的问题,从而导致入侵检测系统(IDS)难以有效防御零日攻击。因此,提出一种基于Transformer和自适应模糊神经网络推理系统(ANFIS)的混合车联网入侵检测... 现有机器学习方法在面对零日攻击检测时,存在对样本数据过度依赖以及对异常数据不敏感的问题,从而导致入侵检测系统(IDS)难以有效防御零日攻击。因此,提出一种基于Transformer和自适应模糊神经网络推理系统(ANFIS)的混合车联网入侵检测系统。首先,设计了一种数据增强算法,通过先去除噪声再生成的方法解决了数据样本不平衡的问题;其次,将非线性特征交互引入复杂的特征组合,设计了一个特征工程模块;最后,将Transformer的自注意力机制和ANFIS的自适应学习方法相结合,以提高特征表征能力,减少对样本数据的依赖。在CICIDS-2017和UNSW-NB15入侵数据集上将所提系统与Dual-IDS等先进(SOTA)算法进行比较。实验结果表明,对于零日攻击,所提系统在CICIDS-2017入侵数据集上实现了98.64%的检测精确率和98.31%的F1值,在UNSW-NB15入侵数据集上实现了93.07%的检测精确率和92.43%的F1值,验证了所提算法在零日攻击检测方面的高准确性和强泛化能力。 展开更多

关键词 车联网 入侵检测 零日攻击 TRANSFORMER 自适应模糊神经网络推理系统

在线阅读 下载PDF 职称材料

入侵检测系统研究 被引量：23

7

作者 薛英花 吕述望 +1 位作者 苏桂平 杨柱 《计算机工程与应用》 CSCD 北大核心 2003年第1期150-152,177,共4页

入侵检测系统是防火墙之后的第二道安全闸门。该文讨论了基于主机和基于网络的入侵检测系统的不同之处,以说明如何将这两种方式融合在一起,以提供更加有效的入侵检测和保护措施。并结合当今攻击技术的发展,提出今后入侵检测技术的发展... 入侵检测系统是防火墙之后的第二道安全闸门。该文讨论了基于主机和基于网络的入侵检测系统的不同之处,以说明如何将这两种方式融合在一起,以提供更加有效的入侵检测和保护措施。并结合当今攻击技术的发展,提出今后入侵检测技术的发展方向。 展开更多

关键词 入侵检测系统 防火墙 网络安全 计算机网络

在线阅读 下载PDF 职称材料

基于有状态Bloom filter引擎的高速分组检测 被引量：13

8

作者 叶明江 崔勇 +1 位作者 徐恪 吴建平 《软件学报》 EI CSCD 北大核心 2007年第1期117-126,共10页

越来越多的网络安全技术通过分析网络分组中的内容来检测报文中是否含有恶意攻击代码.为了能够在线检测攻击,部署在路由器中的分组检测模块对于分组检测的速度也提出了越来越高的要求.虽然在这个领域已有很多研究工作,然而在性能、可扩... 越来越多的网络安全技术通过分析网络分组中的内容来检测报文中是否含有恶意攻击代码.为了能够在线检测攻击,部署在路由器中的分组检测模块对于分组检测的速度也提出了越来越高的要求.虽然在这个领域已有很多研究工作,然而在性能、可扩展性和适用性方面还有很多可研究的空间.提出了一种基于有状态Bloomfilter引擎的高速分组检测方法State-BasedBloomfilterengine(SABFE).通过并行查找Bloomfilter和前缀寄存器堆,以及利用多个并行的Bloomfilter引擎进行流并行检测,达到了较高的吞吐性能.同时,利用快速查找表和前缀寄存器堆保存当前子串的匹配状态来检测长的规则.分析和模拟实验表明:该方法在规则长度增加时依然保持了较高的吞吐性能,可以实现线速的分组检测,同时,极大地减少了硬件资源开销,提高了可扩展性. 展开更多

关键词 网络安全 网络入侵检测 分组检测 串匹配 BLOOM FILTER

在线阅读 下载PDF 职称材料

基于协议分析的网络入侵检测技术 被引量：17

9

作者 景蕊 刘利军 怀进鹏 《计算机工程与应用》 CSCD 北大核心 2003年第36期128-133,共6页

网络协议分析是网络入侵检测中的一种关键技术,当前主要方法是对网络层和传输层协议进行分析。文章基于状态转换进行协议分析和检测,以充分利用协议的状态信息检测入侵,有效地完成包括应用层协议在内的网络各层协议的分析,更加精确地定... 网络协议分析是网络入侵检测中的一种关键技术,当前主要方法是对网络层和传输层协议进行分析。文章基于状态转换进行协议分析和检测,以充分利用协议的状态信息检测入侵,有效地完成包括应用层协议在内的网络各层协议的分析,更加精确地定位了检测域,提高了检测的全面性、准确性和检测效率;这种方法综合了异常检测和误用检测技术,可以更有效地检测协议执行时的异常和针对协议的攻击,并且可检测变体攻击、拒绝服务攻击等较难检测的攻击。 展开更多

关键词 防火墙 网络安全 网络协议 入侵检测技术 网络层 传输层协议 计算机网络

在线阅读 下载PDF 职称材料

入侵防御系统研究 被引量：18

10

作者 吴海燕 蒋东兴 +1 位作者 程志锐 高国柱 《计算机工程与设计》 CSCD 北大核心 2007年第24期5844-5846,5866,共4页

入侵防御系统(IPS)是能够检测到任何攻击行为,包括已知和未知攻击,并能够有效地阻断攻击的硬件或者软件系统。讨论了入侵防御系统的概念和特征,分析了当前IPS的4种实现模型(在线模型、7层交换模型、7层防火墙模型和混合模型)的优缺点。... 入侵防御系统(IPS)是能够检测到任何攻击行为,包括已知和未知攻击,并能够有效地阻断攻击的硬件或者软件系统。讨论了入侵防御系统的概念和特征,分析了当前IPS的4种实现模型(在线模型、7层交换模型、7层防火墙模型和混合模型)的优缺点。为解决这些模型在同时提高网络性能和入侵检测准确度方面的难题,给出了一个基于WindFofce千兆网络数据控制卡的嵌入式入侵防御系统的实现实例。 展开更多

关键词 入侵防御系统 网络入侵防御系统 嵌入式入侵防御系统 高速网络 入侵检测系统 防火墙 网络安全

在线阅读 下载PDF 职称材料

基于活跃规则集的Snort高效规则匹配方法 被引量：7

11

作者 张亚玲 谢少春 汤来锋 《计算机工程与应用》 CSCD 北大核心 2008年第24期124-127,共4页

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹... 对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。 展开更多

关键词 基于网络的入侵检测系统(nids) 规则树 规则匹配 活跃规则集 匹配频度

在线阅读 下载PDF 职称材料

基于代理的网络入侵检测系统的研制 被引量：9

12

作者 唐勇 胡华平 +3 位作者 陈海涛 余娜娜 张怡 岳虹 《计算机工程与科学》 CSCD 2002年第1期9-13,共5页

入侵检测系统可以对系统或网络资源进行实时检测 ,及时发现闯入系统或网络的入侵者 ,也可预防合法用户对资源的误操作 ,它是P2 DR (PolicyProtectionDetectionResponse ,简称P2 DR)安全模型的一个重要组成部分。本文首先介绍了入侵检测... 入侵检测系统可以对系统或网络资源进行实时检测 ,及时发现闯入系统或网络的入侵者 ,也可预防合法用户对资源的误操作 ,它是P2 DR (PolicyProtectionDetectionResponse ,简称P2 DR)安全模型的一个重要组成部分。本文首先介绍了入侵检测系统的研究难点与目前存在的问题 ,然后重点介绍我们所研制的基于代理的网络入侵检测系统的体系结构、总体设计与实现、关键技术以及系统的特色。目前该系统在入侵检测系统的体系结构、入侵检测技术、响应与恢复策略、分布式代理(Agent)技术。 展开更多

关键词 入侵检测系统 中心服务器 网络代理 入侵检测规则库 黑客攻击 网络安全 计算机网络

在线阅读 下载PDF 职称材料

分布式入侵检测系统研究与实现 被引量：5

13

作者 张建忠 徐敬东 +2 位作者 吴功宜 练书成 江罡 《计算机工程与应用》 CSCD 北大核心 2004年第36期160-162,173,共4页

该文提出了综合多种入侵检测与防范技术的分布式网络入侵检测系统平台(DistributedIntrusionDetectionSystemsPlatform,DIDSP)的总体框架,并对基于网络和基于主机的入侵检测系统的实现方法进行了详细讨论。系统采用插件机制,可以很容易... 该文提出了综合多种入侵检测与防范技术的分布式网络入侵检测系统平台(DistributedIntrusionDetectionSystemsPlatform,DIDSP)的总体框架,并对基于网络和基于主机的入侵检测系统的实现方法进行了详细讨论。系统采用插件机制,可以很容易地集成新的入侵检测技术,具有良好的可扩展性。 展开更多

关键词 入侵检测系统 基于网络入侵检测 基于主机入侵检测 异常检测

在线阅读 下载PDF 职称材料

基于前馈多层感知器的网络入侵检测的多数据包分析 被引量：5

14

作者 周炎涛 郭如冰 +1 位作者 李肯立 吴正国 《计算机应用》 CSCD 北大核心 2006年第4期806-808,共3页

提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与... 提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与传统采用单数据包检测方式的网络入侵检测系统(NIDS)模型相比,具有更低的漏检率。 展开更多

关键词 网络入侵检测系统 数据挖掘 前馈多层感知器 协议分析

在线阅读 下载PDF 职称材料

一种基于网络的入侵检测模型及其实现 被引量：4

15

作者 胡军华 周炎涛 郭如冰 《湖南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2006年第6期119-122,共4页

在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一... 在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一类关联事件进行回归分析,最终发现潜在的协同攻击和分布式入侵行为.仿真试验说明该算法模型能够检测出传统入侵检测系统难以发现的分布式入侵行为. 展开更多

关键词 回归分析 凝聚聚类 数据挖掘 网络入侵检测

在线阅读 下载PDF 职称材料

利用网络入侵检测系统与防火墙的功能结合构建安全网络模型 被引量：6

16

作者 路璐 马先立 《计算机应用研究》 CSCD 北大核心 2002年第10期93-95,108,共4页

通过剖析防火墙以及网络入侵检测系统的特点 ,提出了实现网络入侵检测系统与防火墙的功能结合的观点 ;并就利用这种功能结合在构建安全网络模型的应用问题上进行了阐述。

关键词 计算机网络 网络入侵检测系统 防火墙 功能结合 安全网络模型

在线阅读 下载PDF 职称材料

提高Snort规则匹配速度方法的研究与实现 被引量：15

17

作者 任晓峰 董占球 《计算机应用》 CSCD 北大核心 2003年第4期59-61,共3页

文中对开放源代码入侵检测系统Snort的规则匹配算法进行分析 ,在深度优先搜索算法的基础上增加宽度优先搜索算法 ,并对规则匹配的次序进行动态调整 ,从而提高规则匹配的速度。

关键词 规则匹配速度 入侵检测系统 规则树 规则匹配 网络安全 计算机网络 深度优先搜索算法

在线阅读 下载PDF 职称材料

Snort规则链表结构的分析与改进 被引量：13

18

作者 严书亭 刘佳新 王新生 《燕山大学学报》 CAS 2006年第3期272-275,共4页

Snort主要是根据规则树对数据进行递归匹配。因此规则树的结构是否合理,在很大程度上影响着Snort规则匹配的速度。本文对Snort规则链表结构进行了分析,并针对Snort规则树过于简单这一不足之处,对其进行改进,在保持原有规则匹配方法的基... Snort主要是根据规则树对数据进行递归匹配。因此规则树的结构是否合理,在很大程度上影响着Snort规则匹配的速度。本文对Snort规则链表结构进行了分析,并针对Snort规则树过于简单这一不足之处,对其进行改进,在保持原有规则匹配方法的基础上,增加宽度优先搜索算法,从而减少规则匹配所需时间。 展开更多

关键词 基于网络的入侵检测系统 规则树 宽度优先 规则匹配

在线阅读 下载PDF 职称材料

一种快速高效的模式匹配算法的应用研究 被引量：6

19

作者 王杰 刘亚宾 孙珂珂 《计算机工程与应用》 CSCD 北大核心 2008年第32期93-95,185,共4页

提出一种高性能的模式匹配算法——MAC算法,它通过使用从确定性有限状态机(DFA)中得到的特征等同态,在保证高速匹配的前提下,极大地减少了内存需求。同时,该算法具有高度的灵活性,即通过调整就可以适应不同的特定性能和资源限制的要求... 提出一种高性能的模式匹配算法——MAC算法,它通过使用从确定性有限状态机(DFA)中得到的特征等同态,在保证高速匹配的前提下,极大地减少了内存需求。同时,该算法具有高度的灵活性,即通过调整就可以适应不同的特定性能和资源限制的要求。在软件使用环境中的实验结果表明,MAC算法的内存使用性能相对目前先进的模式匹配算法提高了1.51～2.40倍。 展开更多

关键词 MAC算法 网络入侵检测系统 模式匹配 确定性有限状态机 非确定性有限状态机

在线阅读 下载PDF 职称材料

基于粗粒度遗传算法的网络入侵检测系统 被引量：5

20

作者 李甦 罗安坤 《计算机工程》 CAS CSCD 北大核心 2008年第13期166-168,171,共4页

分析遗传算法在入侵检测系统中的可应用情况,提出一种基于粗粒度模型遗传算法的网络入侵检测系统。通过对协议特征的分析,找出有可能被非法利用和更改的特征属性,经过组合和编码后构成系统的初始种群,在各个处理器(终端点)并行地进行遗... 分析遗传算法在入侵检测系统中的可应用情况,提出一种基于粗粒度模型遗传算法的网络入侵检测系统。通过对协议特征的分析,找出有可能被非法利用和更改的特征属性,经过组合和编码后构成系统的初始种群,在各个处理器(终端点)并行地进行遗传算法的操作,使种群的进化在所有检测点同时进行,通过迁移相互交流,合理地设计适应度函数,使遗传"基因"的取舍和利用更加合理。实验数据表明,系统的检测率达到90%以上。 展开更多

关键词 网络入侵检测系统 遗传算法 种群 适应度函数 粗粒度模型

在线阅读 下载PDF 职称材料