IBM算法及其在Snort系统下的实现

入侵检测系统匹配算法是影响检测效率的关键,为进一步提高系统性能和检测效率,对Snort系统采用的BM算法进行了改进,提出了IBM算法.该算法以两个字符为单位计算右移量,增大了文本串的滑动距离,有效地减少了匹配次数;将IBM算法应用于Snort,并在Windows平台下实现了基于改进算法的Snort系统.实验结果表明,该系统能够有效地检测各种攻击,与原系统相比检测效率有了明显的提高.     

一种改进的Snort系统的设计与应用

入侵检测是网络安全技术领域的主要研究方向之一.为了提高入侵的检测效率,改进后的Snort系统采用了数据挖掘技术,总结出一些正常模式,能够对异常行为进行检测,并且在提高入侵检测系统的完备性和准确性的同时,也能更准确地检测某些未知攻击或者已知攻击的变种.     

一种快速Snort入侵检测系统研究

在高速网络中,提高入侵检测系统检测速率和效率是目前入侵检测系统需要解决的主要问题. 基于Linux平台,采用了零拷贝技术对Snort入侵检测系统的数据包捕获引擎进行了改进;采用改进的BM算法提高了规则匹配的效率,搭建了相应的实验平台并进行了性能测试. 测试表明,本方法可以显著提高Snort系统的性能.     

基于Snort的入侵检测警报分析系统改进模型

针对目前入侵检测系统存在的警报量大、误报率高的问题,设计了一个基于Snort的入侵检测警报分析系统改进模型。该模型以开源入侵检测系统Snort为基础,利用关联规则挖掘算法建立正常警报行为模式和异常警报行为模式,提高了系统的检测效率,并在一定程度上提高了系统对未知攻击的检测能力。     

入侵检测系统规则的挖掘

针对基于网络的入侵检测系统Snort,提出了一种新颖的规则挖掘方法.这种方法希望帮助Snort入侵检测系统,自动从检测的攻击数据中生成误用检测规则,实现自动检测最新攻击和异常攻击的能力.为了达到这样的功能,设计了一个规则挖掘模块,它能够应用数据挖掘技术从收集的检测攻击包中提出新的攻击规则,并且转化到Snort系统的检测...     

基于Snort入侵检测系统的改进优化

在深入研究和分析Snort入侵检测系统的基础上,对原有系统提出了新的改进设计方案,解决了Snort系统不能及时检测未知入侵行为的问题．同时,根据Snort流出数据的特征,统计了其出现频率,将存在威胁的数据特征动态加入到Snort异常特征库中,实现了对未知入侵的拦截．改进后的系统可有效防止未知的入侵事件,降低了丢包率,提高了系统的全面检测能力．     

基于数据挖掘的Snort增强模型的研究

Snort是一个简单而有效的基于规则的开源入侵检测系统,但有一定的局限性。论文提出了一个基于数据挖掘的Snort增强模型以采用各种数据挖掘技术来解决Snort的某些局限,还构建了基于案例推理(CBR)的应用实例,良好地验证了模型的正确性和灵活性,且由于"自适应"的特点,该模型还具有较强的可扩展性和交互性。     

基于Snort的入侵检测系统研究

简要介绍了入侵检测系统的构成与系统特点,并对基于Snort的入侵检测方案进行了研究,给出了以Linux为平台的Snort入侵检测系统的设计、部署以及规则设计与模型改进等具体方案,为入侵检测系统的设计与开发提供了参考。     

基于级联AdaBoost的Snort异常检测预处理插件研究

在开源网络入侵检测系统Snort的预处理阶段加入了一种新的预处理插件,插件中使用改进的AdaBoost算法进行异常网络流量的特征提取和构造每一级AdaBoost分类器,然后用级联的结构将多个AdaBoost分类器做线性组合共同完成入侵检测,组合系数通过自适应学习得到。实验表明,该插件可以有效地检测Snort规则集中无可匹配特征的异常网络流量,降低Snort系统对于异常流量检测的漏报率和误报率,满足高速网络环境对入侵检测实时性的要求。     

Snort系统的动态配置研究

分析了入侵检测系统Snort 2.4的检测规则分类方式和检测流程,设计并实现了Snort检测规则的动态配置,在不中断Snort系统运行的前提下,用户可以编辑并动态调整Snort系统的规则和运行参数,有助于提高检测效率,降低CPU的占用率.     

构建基于Snort的入侵检测系统

Snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。介绍了一个使用Snort,PostgreSQL数据库,Apache,PHP,ACID和Razorback搭建入侵检测系统的解决方案。     

基于Snort传感器的分布式入侵检测系统在校园网络中的实验测试

在校园网中部署基于Snort传感器的分布式入侵检测系统,并进行后门木马Bdoor攻击实验测试,以检测系统是否能主动、实时地全面防范一系列的网络攻击。实验测试结果显示,基于Snort的分布式入侵检测系统可以有效检测出校园网络中由于网络攻击带来的安全问题。     

WinXP下实现基于Snort的入侵检测系统

随着网络攻击行为的日益猖獗,入侵检测技术成为网络安全研究的热点问题。简要介绍了入侵检测技术和Snort,联合使用Snort,Apache,ACID,MySQL等在WinXP环境下搭建了一个小型入侵检测系统。     

基于协议分析的入侵检测方法的改进

自协议分析方法引入入侵检测系统以来,就与模式匹配方法相结合,以其简单、高效得到了广泛的应用与发展。Snort系统是目前最常用的基于协议分析的入侵检测系统,目前多数入侵检测产品是将Snort系统进行简单加工改造而成的。Snort系统是完全由规则驱动的,只是对网络接口数据进行生硬的模式匹配。近年来,国内外也提出了一些协议分析方法的改进,但都局限于基于误用的检测方法效率的提高。本文总结了现在基于协议分析的入侵检测方法的理论成果,提出了一种有机结合了误用和异常检测方法的基于协议分析的入侵检测系统模型。这一模型结合了协议确认、协议分析和模式匹配三种检测技术,综合协议分析方法的先进技术方法,并利用协议确认方法对原有单一规则驱动的方法做出有利补充。     

入侵检测规则动态生成研究

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.本文提出了一种针对网络入侵检测事务流的实时动态规则生成方法.该方法解决了当前主流关联规则生成算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和频繁集产生等问题.实验结果表明,文中所提出的方法在规则动态生成和对网络异常情况的检测方面都显示出比较好的性能,相对Snort入侵检测系统,平均提高10%左右的检测精度,克服了Snort系统在异常检测方面的局部缺陷.