Design and implementation of self-protection agent for network-based intrusion detection system 被引量：3

1

作者 ZHU Shu-ren(朱树人) LI Wei-qin(李伟琴) 《Journal of Central South University of Technology》 2003年第1期69-73,共5页

Static secure techniques, such as firewall, hierarchy filtering, distributed disposing,layer management, autonomy agent, secure communication, were introduced in distributed intrusion detection. The self-protection ag... Static secure techniques, such as firewall, hierarchy filtering, distributed disposing,layer management, autonomy agent, secure communication, were introduced in distributed intrusion detection. The self-protection agents were designed, which have the distributed architecture,cooperate with the agents in intrusion detection in a loose-coupled manner, protect the security of intrusion detection system, and respond to the intrusion actively. A prototype self-protection agent was implemented by using the packet filter in operation system kernel. The results show that all the hosts with the part of network-based intrusion detection system and the whole intrusion detection system are invisible from the outside and network scanning, and cannot apperceive the existence of network-based intrusion detection system. The communication between every part is secure. In the low layer, the packet streams are controlled to avoid the buffer leaks exist ing in some system service process and back-door programs, so as to prevent users from misusing and vicious attack like Trojan Horse effectively. 展开更多

关键词 intrusion detection SYSTEM (IDS) network-based intrusion detection system(nids) SELF-PROTECTION AGENT IP filter

在线阅读 下载PDF 职称材料

NIDS中正则表达式匹配电路的改进与优化 被引量：1

2

作者 田里 《计算机工程》 CAS CSCD 北大核心 2010年第3期136-138,共3页

对网络入侵检测系统(NIDS)中复杂正则表达式匹配电路进行改进和优化。为达到最大吞吐量和最小的单位字符占用资源量,设计利用预译码、前缀树、规则分组、并行处理等方法进行结构优化。实验结果表明,改进后的电路结构提高了约47%匹配速度... 对网络入侵检测系统(NIDS)中复杂正则表达式匹配电路进行改进和优化。为达到最大吞吐量和最小的单位字符占用资源量,设计利用预译码、前缀树、规则分组、并行处理等方法进行结构优化。实验结果表明,改进后的电路结构提高了约47%匹配速度,缩减了约39%的电路面积,具有较低的资源占用和更广泛的适用性。 展开更多

关键词 网络入侵检测系统 正则表达式 预译码 前缀树 规则分组 并行处理

在线阅读 下载PDF 职称材料

NIDS警报分析系统模型设计与分析

3

作者 叶震 钱焜 白永志 《合肥工业大学学报（自然科学版）》 CAS CSCD 北大核心 2005年第11期1377-1380,共4页

网络入侵检测系统(N IDS)是一种检测网络入侵行为的工具,但在实际应用中,警报量多、误警率高,已经严重制约了N IDS的发展。文章分析了其产生的原因,提出了一种基于异常检测技术的N IDS警报分析系统模型;重点讨论了数据挖掘技术在该模型... 网络入侵检测系统(N IDS)是一种检测网络入侵行为的工具,但在实际应用中,警报量多、误警率高,已经严重制约了N IDS的发展。文章分析了其产生的原因,提出了一种基于异常检测技术的N IDS警报分析系统模型;重点讨论了数据挖掘技术在该模型中的应用。 展开更多

关键词 网络入侵检测系统 误警率 数据挖掘 异常检测 入侵警报

在线阅读 下载PDF 职称材料

NIDS的改进研究 被引量：6

4

作者 隋毅 杜跃进 《计算机工程》 CAS CSCD 北大核心 2007年第9期120-122,共3页

作为网络安全体系的重要组成部分,IDS在现实中应用并不理想。该文分析了当前NIDS存在的“无效告警信息过多,对所处网络环境一无所知”这一根本问题,提出了对现有NIDS的改进思路,通过对所处网络状况的被动发现和分析,发现当前网络的环境... 作为网络安全体系的重要组成部分,IDS在现实中应用并不理想。该文分析了当前NIDS存在的“无效告警信息过多,对所处网络环境一无所知”这一根本问题,提出了对现有NIDS的改进思路,通过对所处网络状况的被动发现和分析,发现当前网络的环境信息,NIDS能更有针对性、更加有效地工作。 展开更多

关键词 基于网络的入侵检测系统 入侵检测 被动网络发现 数据有效性

在线阅读 下载PDF 职称材料

利用主机软件信息消除NIDS虚警

5

作者 龙小飞 冯雁 王瑞杰 《计算机工程与设计》 CSCD 北大核心 2007年第3期538-541,共4页

由于缺乏对网络主机上下文的了解,多数基于特征的NIDS(网络入侵检测系统)产生的虚警数量太多,使得管理员无法尽快将注意力集中到真正有威胁的报警上。通过改进已有的NIDS使其能够有效利用网络主机上的软件信息消除NIDS虚警的有效方法,... 由于缺乏对网络主机上下文的了解,多数基于特征的NIDS(网络入侵检测系统)产生的虚警数量太多,使得管理员无法尽快将注意力集中到真正有威胁的报警上。通过改进已有的NIDS使其能够有效利用网络主机上的软件信息消除NIDS虚警的有效方法,改进后的NIDS根据已知的受监控网段内的主机软件信息,在与入侵规则做匹配之前进行预先判断,过滤掉不需要匹配的入侵规则,从而减少很多没有实际意义的报警记录。改进后的NIDS原型系统在企业内部网实施的实测结果显示,该方法确实可以达到减少虚警数量提高报警质量的目的。 展开更多

关键词 网络入侵检测系统 入侵检测 主机上下文 基于特征 虚警

在线阅读 下载PDF 职称材料

基于有状态Bloom filter引擎的高速分组检测 被引量：13

6

作者 叶明江 崔勇 +1 位作者 徐恪 吴建平 《软件学报》 EI CSCD 北大核心 2007年第1期117-126,共10页

越来越多的网络安全技术通过分析网络分组中的内容来检测报文中是否含有恶意攻击代码.为了能够在线检测攻击,部署在路由器中的分组检测模块对于分组检测的速度也提出了越来越高的要求.虽然在这个领域已有很多研究工作,然而在性能、可扩... 越来越多的网络安全技术通过分析网络分组中的内容来检测报文中是否含有恶意攻击代码.为了能够在线检测攻击,部署在路由器中的分组检测模块对于分组检测的速度也提出了越来越高的要求.虽然在这个领域已有很多研究工作,然而在性能、可扩展性和适用性方面还有很多可研究的空间.提出了一种基于有状态Bloomfilter引擎的高速分组检测方法State-BasedBloomfilterengine(SABFE).通过并行查找Bloomfilter和前缀寄存器堆,以及利用多个并行的Bloomfilter引擎进行流并行检测,达到了较高的吞吐性能.同时,利用快速查找表和前缀寄存器堆保存当前子串的匹配状态来检测长的规则.分析和模拟实验表明:该方法在规则长度增加时依然保持了较高的吞吐性能,可以实现线速的分组检测,同时,极大地减少了硬件资源开销,提高了可扩展性. 展开更多

关键词 网络安全 网络入侵检测 分组检测 串匹配 BLOOM FILTER

在线阅读 下载PDF 职称材料

基于前馈多层感知器的网络入侵检测的多数据包分析 被引量：5

7

作者 周炎涛 郭如冰 +1 位作者 李肯立 吴正国 《计算机应用》 CSCD 北大核心 2006年第4期806-808,共3页

提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与... 提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与传统采用单数据包检测方式的网络入侵检测系统(NIDS)模型相比,具有更低的漏检率。 展开更多

关键词 网络入侵检测系统 数据挖掘 前馈多层感知器 协议分析

在线阅读 下载PDF 职称材料

基于活跃规则集的Snort高效规则匹配方法 被引量：7

8

作者 张亚玲 谢少春 汤来锋 《计算机工程与应用》 CSCD 北大核心 2008年第24期124-127,共4页

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹... 对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。 展开更多

关键词 基于网络的入侵检测系统(nids) 规则树 规则匹配 活跃规则集 匹配频度

在线阅读 下载PDF 职称材料

一种基于网络的入侵检测模型及其实现 被引量：4

9

作者 胡军华 周炎涛 郭如冰 《湖南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2006年第6期119-122,共4页

在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一... 在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一类关联事件进行回归分析,最终发现潜在的协同攻击和分布式入侵行为.仿真试验说明该算法模型能够检测出传统入侵检测系统难以发现的分布式入侵行为. 展开更多

关键词 回归分析 凝聚聚类 数据挖掘 网络入侵检测

在线阅读 下载PDF 职称材料

利用网络入侵检测系统与防火墙的功能结合构建安全网络模型 被引量：6

10

作者 路璐 马先立 《计算机应用研究》 CSCD 北大核心 2002年第10期93-95,108,共4页

通过剖析防火墙以及网络入侵检测系统的特点 ,提出了实现网络入侵检测系统与防火墙的功能结合的观点 ;并就利用这种功能结合在构建安全网络模型的应用问题上进行了阐述。

关键词 计算机网络 网络入侵检测系统 防火墙 功能结合 安全网络模型

在线阅读 下载PDF 职称材料

基于粗粒度遗传算法的网络入侵检测系统 被引量：5

11

作者 李甦 罗安坤 《计算机工程》 CAS CSCD 北大核心 2008年第13期166-168,171,共4页

分析遗传算法在入侵检测系统中的可应用情况,提出一种基于粗粒度模型遗传算法的网络入侵检测系统。通过对协议特征的分析,找出有可能被非法利用和更改的特征属性,经过组合和编码后构成系统的初始种群,在各个处理器(终端点)并行地进行遗... 分析遗传算法在入侵检测系统中的可应用情况,提出一种基于粗粒度模型遗传算法的网络入侵检测系统。通过对协议特征的分析,找出有可能被非法利用和更改的特征属性,经过组合和编码后构成系统的初始种群,在各个处理器(终端点)并行地进行遗传算法的操作,使种群的进化在所有检测点同时进行,通过迁移相互交流,合理地设计适应度函数,使遗传"基因"的取舍和利用更加合理。实验数据表明,系统的检测率达到90%以上。 展开更多

关键词 网络入侵检测系统 遗传算法 种群 适应度函数 粗粒度模型

在线阅读 下载PDF 职称材料

网络入侵检测系统的负载均衡方案 被引量：2

12

作者 陈宇 梁刚 李涛 《计算机工程与应用》 CSCD 北大核心 2011年第7期117-119,142,共4页

在高速网络环境下,数据流的高速化使得网络入侵检测系统往往会出现严重的漏报率,针对此性能瓶颈,提出了一种基于预测的并行入侵检测系统的负载均衡方案。该方案主动测量各探测器的负载为预测依据,采用混沌时间序列的全域预测法为预测手... 在高速网络环境下,数据流的高速化使得网络入侵检测系统往往会出现严重的漏报率,针对此性能瓶颈,提出了一种基于预测的并行入侵检测系统的负载均衡方案。该方案主动测量各探测器的负载为预测依据,采用混沌时间序列的全域预测法为预测手段,利用预测的负载值为负载均衡的根据。通过仿真实验,证明了该方案的可行性及有效性,它能有效地均衡负载、减少系统的丢包率。 展开更多

关键词 网络入侵检测系统 负载均衡 预测

在线阅读 下载PDF 职称材料

一种快速高效的模式匹配算法的应用研究 被引量：6

13

作者 王杰 刘亚宾 孙珂珂 《计算机工程与应用》 CSCD 北大核心 2008年第32期93-95,185,共4页

提出一种高性能的模式匹配算法——MAC算法,它通过使用从确定性有限状态机(DFA)中得到的特征等同态,在保证高速匹配的前提下,极大地减少了内存需求。同时,该算法具有高度的灵活性,即通过调整就可以适应不同的特定性能和资源限制的要求... 提出一种高性能的模式匹配算法——MAC算法,它通过使用从确定性有限状态机(DFA)中得到的特征等同态,在保证高速匹配的前提下,极大地减少了内存需求。同时,该算法具有高度的灵活性,即通过调整就可以适应不同的特定性能和资源限制的要求。在软件使用环境中的实验结果表明,MAC算法的内存使用性能相对目前先进的模式匹配算法提高了1.51～2.40倍。 展开更多

关键词 MAC算法 网络入侵检测系统 模式匹配 确定性有限状态机 非确定性有限状态机

在线阅读 下载PDF 职称材料

用于网络入侵检测的模式匹配新方法 被引量：4

14

作者 樊爱京 杨照峰 《计算机应用》 CSCD 北大核心 2011年第11期2961-2964,2985,共5页

针对新一代网络入侵检测系统(NIDS)的创建需要先进的模式匹配引擎,提出一种模式匹配的新方案,利用基于硬件的可编程状态机技术(B-FSM)来实现确定性处理过程。该技术可以在一个输入流中同时获取大量模式,并高效地映射成转换规则。通过对... 针对新一代网络入侵检测系统(NIDS)的创建需要先进的模式匹配引擎,提出一种模式匹配的新方案,利用基于硬件的可编程状态机技术(B-FSM)来实现确定性处理过程。该技术可以在一个输入流中同时获取大量模式,并高效地映射成转换规则。通过对网络入侵检测系统中普遍采用的规则集(Snort)进行实验,实验结果表明该方法具有存储高效、执行速度快、动态可更新等特点,可以满足NIDS的需要。 展开更多

关键词 网络入侵检测系统 可编程状态机 模式匹配 转换规则

在线阅读 下载PDF 职称材料

基于字节频度的异常入侵检测影响因素研究 被引量：1

15

作者 翁广安 余胜生 周敬利 《计算机工程》 CAS CSCD 2012年第14期119-121,127,共4页

目前数据包负载异常检测缺乏针对性的测试数据。为此,构建一个模拟网络数据集,对基于字节频度分布的异常检测模型进行测试分析。实验结果表明,该数据集对模型测试具有可行性;数据包大小的分布特性对检测准确度有较大影响,必须根据特定... 目前数据包负载异常检测缺乏针对性的测试数据。为此,构建一个模拟网络数据集,对基于字节频度分布的异常检测模型进行测试分析。实验结果表明,该数据集对模型测试具有可行性;数据包大小的分布特性对检测准确度有较大影响,必须根据特定网络服务数据包尺寸的密集分布区确定检测阈值,并尽量向小尺寸方向校准;数据包之间的频度差异对分组求频度平均值的模型有很大影响,组内数据包之间过大的频度差异将导致包模型失效,连接模型性能降低较大,改进的包模型则不受影响。 展开更多

关键词 字节频度分布 n—gram序列 负载异常检测 数据包负载 网络入侵检测系统

在线阅读 下载PDF 职称材料

基于时空约束的IDS系统能力评估方法 被引量：1

16

作者 杨望 龚俭 《东南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2011年第2期274-279,共6页

为了提高入侵检测系统评估结果的准确性和合理性,提出了基于时空约束的评估方法.该方法把承载攻击的报文序列作为描述入侵检测系统检测能力的基础,通过时空约束及其对应的内容约束对入侵检测系统的检测能力空间进行等价划分,完善基于分... 为了提高入侵检测系统评估结果的准确性和合理性,提出了基于时空约束的评估方法.该方法把承载攻击的报文序列作为描述入侵检测系统检测能力的基础,通过时空约束及其对应的内容约束对入侵检测系统的检测能力空间进行等价划分,完善基于分辨率方法提出的系统能力测度体系.实验表明,基于时空约束的入侵检测系统能力评估方法相对于传统评估方法可以在更精确的维度上对入侵检测系统的能力进行评估,并根据不同阶的时间约束具体指出入侵检测系统能力的弱点.使用基于时空约束的入侵检测系统能力评估方法提高了入侵检测系统评估结果的公平性、合理性和准确性. 展开更多

关键词 网络入侵检测系统 评估 系统能力 等价划分

在线阅读 下载PDF 职称材料

众核处理器上的高性能网络入侵检测系统 被引量：1

17

作者 姜海洋 谢高岗 《高技术通讯》 CAS CSCD 北大核心 2014年第9期935-941,共7页

为提高网络入侵检测系统(NIDS)在互联网流量和网络攻击数量增长下的性能,进行了在多核处理器上利用并行结构提高NIDS处理能力的研究。首先实现了NIDS在TILERA-GX36众核处理器上的数据并行(RTC)和任务并行(SPL)这两种并行机构方法,实验... 为提高网络入侵检测系统(NIDS)在互联网流量和网络攻击数量增长下的性能,进行了在多核处理器上利用并行结构提高NIDS处理能力的研究。首先实现了NIDS在TILERA-GX36众核处理器上的数据并行(RTC)和任务并行(SPL)这两种并行机构方法,实验结果表明众核处理器上丰富的计算资源支持大量并行的NIDS实例,但同时也带来严重的资源竞争和冲突,系统并行化开销大大增加。为此,提出了一种基于共享的RTC方法,即SRTC方法,和已有方法相比,SRTC方法解决了RTC模型内存占用线性增长的问题,同时避免了SPL模型中的线程间通信开销。以开源NIDS软件Snort为基础,在TILERA-GX36众核处理器上对SRTC方法进行了实现和验证,实验结果证明采用SRTC的并行系统获得了类似线性的加速比,当加载超过7000条NIDS真实规则条目时,系统能够处理包长为1K字节的10Gbps的网络流量。 展开更多

关键词 众核处理器 网络入侵检测系统(nids) 并行结构

在线阅读 下载PDF 职称材料

基于模拟数据集的字节频度入侵检测研究 被引量：3

18

作者 翁广安 《计算机工程与应用》 CSCD 2014年第12期96-99,119,共5页

为解决目前网络负载异常入侵检测领域缺乏有效、针对性的测试数据集的问题,提出一种基于虚拟关键字的构造模拟网络数据集的方法。并用它对基于字节频度分布的异常检测模型进行了测试分析。实验结果表明,模拟数据集提供了一种负载内容异... 为解决目前网络负载异常入侵检测领域缺乏有效、针对性的测试数据集的问题,提出一种基于虚拟关键字的构造模拟网络数据集的方法。并用它对基于字节频度分布的异常检测模型进行了测试分析。实验结果表明,模拟数据集提供了一种负载内容异常程度可控的测试数据集;检测阈值和网络环境的数据特性包括数据包尺寸分布情况、异常和正常访问相对于训练数据的偏离程度等有关。单包频度分布模型相比连接模型对负载数据异常程度的变动有更好的灵敏度。 展开更多

关键词 模拟数据集 字节频度分布 负载异常检测 网络入侵检测系统

在线阅读 下载PDF 职称材料

分布式入侵检测系统中自保护代理的系统设计

19

作者 朱树人 黄辰林 李伟琴 《计算机工程》 CAS CSCD 北大核心 2003年第16期18-20,共3页

采用分布式结构的基于网络的入侵检测系统(NIDS)自身的安全性已经成为一个重要问题。在分析了已有NIDS的技术特点的基础上，根据其特性引入了报文过滤、进程控制、报文确认和安全通信的思想，提出了面向NIDS的自保护代理(Self-protectio... 采用分布式结构的基于网络的入侵检测系统(NIDS)自身的安全性已经成为一个重要问题。在分析了已有NIDS的技术特点的基础上，根据其特性引入了报文过滤、进程控制、报文确认和安全通信的思想，提出了面向NIDS的自保护代理(Self-protection Agent)的模型，并给出了SPA的体系结构与详细设计。在与已有的基于代理的入侵检测系统结合后，SPA可以提高NIDS的安全性。 展开更多

关键词 入侵检测系统 基于网络的入侵检测系统 自保护代理 报文过滤

在线阅读 下载PDF 职称材料

网络入侵检测系统的分析与设计 被引量：7

20

作者 何晓慧 顾兆军 《计算机工程》 CAS CSCD 北大核心 2005年第B07期160-161,共2页

随着网络的高速发展,网络信息安全问题不断暴露出来。介绍了入侵检测系统中的网络入侵检测系统(NIDS)的基本概念和分析设计原理。系统采用了模块化设计,对各模块都进行了分析设计介绍。

关键词 网络入侵检测系统 入侵检测 信息安全

在线阅读 下载PDF 职称材料