基于Agent的分布式入侵检测系统的设计与实现

分析了现有入侵检测系统存在的问题,提出了一种层次化和对等结构相结合的分布式体系结构,并给出了检测Agent和通信协议的实现.实验证明,系统可以有效实现分布式网络环境下的入侵检测.     

入侵防御系统可信通信协议的设计与实现

入侵防御系统主要基于入侵检测系统和防火墙之间的联动,而它们各自能识别和维护的数据格式往往是不同的。此外,这些敏感数据通常是在开放的网络环境中传输的,面临各种安全威胁。为此,引入可信通信的概念,设计并实现了基于XML(eXtensible Markup Language)的可信通信协议。与同类工作相比,该协议可实现异构操作环境下入侵检测系统与防火墙之间的安全数据传输,并可进一步扩展支持各种网络安全产品和网络管理设备,对于实现这些设备之间的数据融合,检测复杂的分布式网络攻击具有一定的参考价值。     

网络化制造环境下的“软件人”入侵检测模型

针对网络化制造对企业内部网提出的安全需求,结合国内制造企业实际情况,提出了基于软件人(SoftMan)思想的分布式、智能协同的入侵检测模型,介绍了模型的架构和组成部分,并讨论了系统中的安全通信、流量分配方案等关键问题,设计并实现了软件人入侵检测原型系统.该模型基于安全通信,实现了完全分布式检测思想,能对大型网络实现完整的入侵检测.     

基于Agent自适应分布式入侵检测系统

入侵检测是网络安全保护体系中的一个重要组成部分,针对目前入侵检测系统不具备自适应性的情况,该文引入了一种入侵检测系统的自适应策略,并提出一种基于Agent自适应分布式入侵检测系统.分析了各组成模块结构、功能特点以及模块之间的协作关系,并阐述了该系统设计中的信息表示及所采用的通信协议.该系统具有良好的扩展能力、自学习功能,能够实现分布式的入侵检测.     

基于CAN-FD总线的车载网络安全通信

以数据加密和入侵检测为基础,建立了一种基于灵活数据速率控制器局域网络的汽车通信网络信息安全方法.提出了包括安全传输、安全启动、时间同步与密钥分配的汽车网络安全通信协议,并通过建立网络仿真模型验证安全协议的有效性.搭建了基于硬件实例的安全通信节点,测试硬件节点的实际通信性能和加密性能.最后针对汽车通信网络潜在的攻击方式,以Dolev-Yao入侵模型攻击和拒绝服务攻击为测试方法,对安全通信模型进行了安全性攻击测试和入侵检测功能验证,确定了网络入侵检测的判定指标.测试结果验证了该方法的安全性和可用性.     

分布式网络环境下集成防火墙和入侵检测系统的安全模型

分析防火墙和入侵检测系统(IDS)的安全性弱点,提出一种分布式网络环境下集成防火墙和入侵检测系统的安全模型,研究实现此模型的通信机制建立、单点失效避免、生成规则使用等关键技术．     

基于环形结构的电子政务网络安全入侵检测研究

针对电子政务中安全的分布式入侵检测系统的特点和协作方式进行了分析,提出了一套基于逻辑环形分布式协作控制技术的分布式入侵榆测系统,以解决目前在政务入侵检测系统中各系统间协作效率低、配置复杂、检测响应慢等缺陷．并详细论述了环形结构的分布式入侵检测系统的协作机制及效能评估的方法。     

基于随动预警区域的主动安全避碰系统设计

为提高城市环境中车辆驾驶的安全性,设计了一种主动安全避碰系统.该系统底层硬件采用分布式架构,底层软件采用uC/OS II嵌入式实时操作系统,通信系统采用CANopen通信协议.针对城市环境道路曲率变化大的情况,提出了一种基于激光雷达的随动预警区域检测方法.实际实验证明了系统的稳定性和检测方法的有效性.     

生物免疫原理在多代理分布式入侵检测系统中的应用

入侵检测是一个新的、迅速发展的领域,已成为网络安全体系结构中的一个重要环节. 通过对多代理技术和入侵检测方法的研究,提出了一种基于生物免疫原理的多代理分布式入侵检测系统模型,并且对该系统的结构和代理的处理流程进行了描述. 该系统是一个开放的系统,具有很好的可扩展性,易于加入新的入侵检测代理,也易于增加新的入侵检测. 代理之间的协同采用独立的通信服务代理来实现,特有的自身检测代理确保检测系统本身的安全.     

一种基于移动Agent分布式入侵检测系统

针对目前入侵检测系统的不足,将新型分布式处理技术移动Agent与入侵检测融为一体,提出了一种基于移动代理的分布式入侵检测系统(DIDS)的模型;实现了基于该模型的分布式入侵检测系统;采取了保证分布式入侵检测系统自身安全的防范措施.通过移动代理,各Agent相互独立,同时能在网络中自由移动,并具有良好的灵活性,降低了网络通信量和系统负载,有效保证系统的安全.     

一种基于协议分析的入侵检测系统

针对目前出现的利用协议漏洞进行攻击的入侵方式,提出了一种基于协议分析的入侵检测系统模型.该模型采用简单协议分析与协议状态分析检测技术,使用了散列数高速匹配算法,可以实现该类检测的全面性、准确性与高效性.     

基于协议分析状态机的入侵检测系统

协议分析状态机是提高协议分析正确性的重要保证。将其应用于入侵检测系统是一个新的研究应用方向。协议的形式化描述工具有穷状态自动机、通信有限状态自动机。在此基础上重点讨论了使用协议状态机分析入侵事件的相关算法及流程，设计了基于协议分析状态机的入侵检测系统的总体框架，提出了该状态机的面向对象的模型，使该系统具有良好的可扩展性和通用性。测试结果验证了这一思想的正确性和有效性。     

基于协议状态分析的入侵检测系统

提出了一种基于协议状态分析的入侵检测方法,不仅充分利用了协议的状态信息,而且考虑了相邻的数码包的内容状态,构造出协议状态序列,通过状态转换来检测入侵,有效地完成网络各层协议的分析,提高了检测的全面性、准确性和效率,实验结果表明是可行的。     

Ad hoc网络的入侵检测技术

随着无线网络的发展和移动计算应用的快速增加，网络安全问题愈加突出,入侵检测已经从保护固定有线网络扩展到移动无线网络．作为无线移动网络众多实现方式之一的移动Ad hoc网络，由于其与有线网络存在很大差别，现有针对有线网络开发的入侵检测系统很难适用于移动Ad hoc网络．在描述入侵检测技术的相关内容基础上，提出了基于移动Ad hoc网络的多层分布式入侵检测系统模型，并重点分析了在该模型中的协议分析技术．     

网络入侵检测系统检测引擎的设计

网络入侵检测系统的设计中,入侵检测引擎的设计是关键。当前检测引擎设计有两种主要技术,一种是基于统计分析方法的入侵检测技术,另一种是基于规则/特征的检测方法,但它们都有不同程度的不足。鉴于此,提出了协议分析加命令解析的检测引擎设计方法。     

An Useful Communication Mechanism for Distributed Agents-Based Intrusion Detection System

The communication mechanism plays an important role in an intrusion detection system, while it has not been paid enough attention. Based on analyzing the actual facts and expatiating upon the requirements a communication mechanism needs to meet, a message driven communication mechanism is proposed in this paper. The protocol presented here is divided into three layers： entity level, host level, and network level. The communication processes are also designed in detail. Experiments illustrate that cooperative entities can detect distributed sophisticated attacks accurately. Furthermore, this mechanism has the advantages like high reliability, low time delay and expenses.     

SIP数据采集系统的设计与实现

SIP数据采集系统作为SIP入侵检测系统不可缺少的一部分,对其检测性能和准确率有着重要的影响。由于目前的数据采集工具不能直接用于处理应用层数据,很难满足SIP入侵检测系统的需求。分析了libpcap和pf_ring两种包捕获技术,描述了pf_ring的工作机制,设计了一种基于pf_ring技术的SIP数据采集系统结构。通过优化oSIP协议栈,采用在内核层和用户层结合的方法开发SIP数据过滤插件,实现了一种高效的SIP数据采集系统。通过比较实验证明本文提出的SIP数据采集系统在SIP数据采集方面具有一定的优越性,保证SIP入侵检测系统采集数据的高稳定性,为SIP入侵检测系统提供稳定可靠的数据来源。     

基于"群集智能"的入侵检测系统研究

该文借鉴群居昆虫的“群集智能”特性,提出了1种结构简单、资源消耗小,但能检测复杂入侵行为的分布式入侵检测系统模型。该模型将一整体入侵检测系统分解为若干功能独立、单一的检测单元,各检测单元有相对较小的检测数据源,可同时提高检测效果和效率,且通过相互间的信息交流与共享,可实现协作检测。每个检测单元的信息提供与信息利用是该模型的核心,而相应的信息存取效率是影响该模型性能的关键,该文提出了基于因特网开放最短路由协议OSPF的优化方案。实验结果表明所提出的模型具有有效性。     

入侵检测中的报文交换

阐述了入侵检测中报文交换的产生背景与功能要求，探讨并分析了此领域中的相关技术与进展，包括通用入侵检测框架中的通用事件描述语言，以及IETF入侵检测工作组在这方面的工作：入侵检测报文交换格式(IDMEF)、入侵警报协议、入侵检测交换协议(IDXP)．最后就报文交换方面的未来趋势作出预测．