NIDS签名获取及其测试数据的生成

当实现一个新的NIDS检测算法时,很难获得一个实用的签名库及其测试数据。该文介绍了怎样利用Snort的签名库,以及怎样生成相应的测试数据,最后给出了一些测试数据。

面向骨干网NIDS的细粒度并行多模式匹配方法

随着网络带宽的快速增长,互联网正面临着日益严重的安全威胁。网络入侵检测系统(NIDS)利用模式匹配等技术对网络报文进行分析和检测,是防范网络威胁、保护网络安全的一种有效手段。但模式匹配消耗巨大的计算量,现有的技术难以满足10Gbps以上骨干网络NIDS的需求。提出了基于Bloom filter的细粒度并行模式匹配技术PBPM(Parallel-Bloom-filter-based multi-Pattern Matching),PBPM利用多个相同的Bloom filter分别从输入文本的不同位置处并行匹配,每个周期可完成多个字符的匹配,显著提高了匹配速率。详细讨论了在FPGA上的实现方式,在Snort 2.9规则集上的测试结果表明,PBPM能够提供超过20Gbps的模式匹配需求。

基于人工免疫的NIDS研究进展(英文)

现有网络入侵检测系统的关键不足在于不能识别未知模式的入侵 ,智能水平低 .生物免疫系统的自我保护机制对设计新的网络入侵检测系统具有很好的借鉴意义 .论文通过抽取生物免疫系统中所蕴涵的各种信息处理机制 ,将网络数据传输行为分为正常和异常行为 ,分别对应为网络的自我与非我 ,建立了一个基于人工免疫的网络入侵检测系统原型 .系统中蕴涵的生物免疫机制主要有非我识别机制、免疫进化机制等 .本文着重介绍此原型系统的结构和特征、免疫识别算法 ,并进行了实际检测实验 .实验结果表明生物免疫的自我保护机制在网络入侵检测系统方面具有很强的应用前景 .

用Honeypot改善NIDS性能

结合Honeypot和NIDS各自的特点,根据信息系统的数据保密性需要,构造Honeytoken诱饵数据,扩展NIDS的安全应用层模块.通过监视Honeytoken诱饵数据的访问情况,实时追踪分析入侵者非法的入侵行为和入侵意图,向系统发出警报,使系统管理员完善对敏感数据的保密策略,从而保证数据资源的安全性.

协议分析技术在NIDS中的应用

简要分析 NIDS中传统模式匹配方法存在的不足 ,介绍第三代入侵检测系统中使用的协议分析技术 ,给出一个在 L inux平台下实现该技术的模型。

基于QPSO的属性约简在NIDS中的应用研究

支持向量机作为一种优良的分类算法应用在网络入侵检测系统中,但是训练时间过长是它的主要缺陷.文中提出了基于量子粒子群优化的属性约简和支持向量机(SVM)的入侵检测方法,利用量子粒子群优化的属性约简算法对训练样本集进行属性约简,剔除了对入侵检测结果影响较小的冗余特征,从而使入侵检测系统在获取用户特征的时间减少,整个入侵检测系统的性能得到提高.实验结果表明,该方法是有效的.

基于人工免疫原理的NIDS系统和有关算法设计

给出一种基于人工免疫原理的网络入侵检测系统 (NIDS)模型 ,它以频繁序列模式为基础建立自体模式集和异己模式集 ,随后给出了一种有效的模式编码算法 .在这种编码基础上文章提出一种用于检测器生成的集否定选择和克隆选择为一体的算法 .

NIDS报警信息关联分析进展研究

入侵检测技术是当前网络安全领域的一个研究热点,报警关联分析是其中一个重要部分。通过报警信息的关联分析,可以显著地降低入侵检测系统的误警率,提高它的检测率和可用性,帮助网络管理员更好地掌握当前网络的安全状况。本文对当前国际上报警关联分析技术的研究现状进行了综合分析,并对现有方法进行了分类和比较。

利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统（NIDS）面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。

基于NIDS入侵检测模型的研究和探讨

本文首先介绍入侵检测系统的基本原理,包括检测方法和分析技术,然后给出了一个网络入侵检测具体模型和事例,阐述了NIDS的重要性以及将来发展的趋势。

利用NIDS与防火墙的功能结合构建安全网络模型

通过剖析防火墙以及网络入侵检测系统的特点 ,提出了实现网络入侵检测系统与防火墙功能结合的观点。并就利用这种功能结合在构建安全网络模型的应用问题上进行了阐述。

基于NIDS的并行体系结构及算法研究

在高速网络环境中,网络入侵检测需要解决信息量繁多、计算量大、实时高等系列技术问题;分析了高性能计算与网络入侵检测研究背景,概括高性能网络入侵检测技术研究发展状况,然后提出了一个基于并行计算网络入侵检测系统(简称PNIDS),并给出相应的高性能算法,同时,构建了PNIDS实验原型系统,做了有关网络入侵检测实验;其结果表明PNIDS能利用机群计算优点,降低NIDS漏警率。

分布式NIDS在图书馆网络安全保障中的应用

本文提出了利用分布式NIDS来加强图书馆网络安全,并在实践中取得了良好的效果。

基于异构条件的NIDS网络安全技术研究

异构条件下构建工业可信安全环境,需要对网络入侵检测系统(NIDS)进行全方位研究。在异构条件下构建信息行业可信安全环境的研究主要从网络的结构安全、通讯网络、区域边界和安全区域四个方面展开。为此,从抗网络攻击的需求出发,在分析六种工业信息安全技术并详细研究可信网络关于药品领域工业总线入侵检测系统的基础上,针对数据采集与监视控制(SCADA)系统信息安全,提出了一种基于嵌入式麒麟Linux操作系统的防护模型。该模型综合使用网络通信、防火墙iptables、入侵检测Ssnort以及加密算法等技术,设计并实现了一套服务于分布式控制系统(DCS)工业设备的安全防御平台。基于Matlab软件的Simulink进行了数据安全传输机制的设计和仿真验证,NIDS顺利通过了试验测试。实验结果表明,所提出的模型有效可行,所构建平台采用的技术具有较高的有效性和可靠性。

NIDS中协议分析和模式匹配的研究

对入侵检测系统中的关键部分—检测引擎的数据分析中的模式匹配技术和协议分析技术进行了介绍。讨论了模式匹配中最常用的两种算法-KMP算法和BM算法,重点分析了模式匹配技术运用在网络级入侵检测系统中的不足,并指出结合使用协议分析和模式匹配进行数据分析的优越性。

NIDS在数字图书馆网络安全防御体系中的应用

目前在数字图书馆网络安全中主要采用防火墙等静态安全防御技术 ,对网络环境下日新月异的攻击手段缺乏主动的反应。通过设计了一种向外的、主动的、智能的动态网络安全防御系统———网络入侵检测系统 (NIDS) ,将其应用到数字图书馆中实时检测网络非法攻击 ,确保了数字图书馆网络的正常运行。

NTI技术在NIDS中的应用研究

针对如何降低传统网络入侵检测系统(NIDS)的漏报、误报率问题,从NIDS对所处网络环境了解太少、缺乏针对性入手,使用Java语言,设计了一个基于Web的网络拓扑信息(NTI)获取系统,构建了NTI分析器.采用"旗帜信息(Banner)识别服务软件、操作系统"对网络拓扑进行认知,创建了NTI数据库,并将NTI分析器、NTI数据库应用到NIDSSnort中,分别在不同操作系统和服务软件的机器上进行测试,结果表明,改善了告警效率和准确性.

一种基于Snort规则的NIDS测试程序设计

入侵检测系统是解决网络安全问题的有效手段,而入侵检测系统能否达到设计要求也是我们十分关注的问题。介绍了一种基于Snort规则的NIDS测试程序设计,给出了设计的原理及其实现的过程。此程序通过解析Snort规则来构造攻击特征报文,发送到网络上被NIDS检测到并报警,从而测试和评估 NIDS的承受能力。

利用蜜罐提高NIDS的检测性能

目前的入侵检测技术本身存在着缺陷,比如特征检测中规则库不完备。由这些缺陷而导致的误报和漏报是制约其发展的重要瓶颈。Honeypot/net是一种新的安全技术,通过部署蜜罐收集攻击信息,再把这些信息加以整理传送给IDS,可以弥补入侵检测技术的一些缺点,从而降低IDS的误报率和漏报率。本文分析了这一设想的可行性,并提出了设计方案。此方案中包括一个Honeynet Software,它联系Honeynet控制台和NIDS控制台,完成其中提取新模式、传递攻击信息等功能。

利用蜜罐提高NIDS的检测性能

目前的入侵检测技术本身存在着缺陷,比如特征检测中规则库不完备,异常检测模型中模型与实际攻击不完全符合等。由这些缺陷而导致的误报和漏报是制约其发展的重要瓶颈。Honeypot/net是一种新的安全技术,通过部署蜜罐收集攻击信息,再把这些信息加以整理传送给IDS,可以弥补入侵检测技术的一些缺点,从而降低IDS的误报率和漏报率。分析了这一设想的可行性,并提出了设计方案。此方案中包括一个Honeynet Software,它联系Honeynet控制台和NIDS控制台,完成其中提取新模式、传递攻击信息等功能。并利用DARPA(1999)数据集对系统进行了评测,结果表明其在DOS、PROBE、U2R及U2L几个类型攻击方面与其他NIDS相比有着较低的误报率;通过对几个检测实例的分析,说明了这一系统在检测新型攻击、加密后的攻击、DDoS方面比原NIDS有较大的优势。