入侵检测集群中的动态自适应负载均衡算法

为了解决传统入侵检测系统无法应付高速网络的问题,提出了入侵检测群集的动态自适应负载均衡算法,该算法给每个节点设置了一个数据包接受区间,通过对网络报文的报头信息做哈希(Hash)运算,把数据包映射到某个节点的接受区间内;根据节点的处理能力和负载调节各个节点接受区间的宽度,从而合理分配各个节点上的网络流量,充分利用所有节点的计算资源。理论分析和实验结果表明,该算法在高带宽环境中有较高的效率。     

高速网络入侵检测系统负载均衡策略与算法分析

为了解决高速网络入侵检测系统(n IDS)的性能瓶颈问题,提出了可用于n IDS的负载均衡策略和算法。在阐述基于多引擎并行处理的n IDS框架的基础上,提出和分析了3种实用的n IDS负载均衡策略,重点论述了一种基于流的动态负载均衡算法——FDLB算法。该算法依据通过动态反馈和预测机制得到的当前引擎负载情况,以一个会话为分配单位,将新的网络数据包分发给当前负载最小的引擎。实验结果表明,在大流量多引擎情况下,FDLB算法的负载均衡效果要比轮转算法好得多。     

并行电子邮件监听代理的负载均衡算法

提出了并行电子邮件监听代理的负载均衡算法。该算法给每个代理设置了一个代理编号接受区间，通过对数据包的源／目的IP地址和端口号做散列（Hash)运算，把IP数据包映射到某个代理编号子区间内；按照代理的处理能力和负载调节各个代理编号子区间的宽度，从而合理分配积上代理上的网络流量，做到充分利用所有监听代理的计算资源，通过理论分析和实验结果表明，该算法在高带宽环境中有较高的效率，它不仅可用在邮件实时审计系统中，也适用于高带宽的入侵检测系统（IDS）设计。     

高速网络下基于负载均衡的协议分析的异常检测算法设计

研究了基于负载均衡技术的协议分析的入侵异常检测系统并建立了系统模型,提出了一种基于静态负载算法与动态负载算法的混合负载算法,该算法对网络数据包进行分流,能很好地保证同一源地址的同一类协议由同一服务器处理,并兼顾了所有服务器的负载均衡,能很好地发现并检测网络的异常行为与分布式攻击等,这样的改进优化了处理结果,提高了高速网络环境下入侵检测的准确性和有效性.     

高速网络环境下的网络入侵检测系统

基于数据过滤与负载均衡技术,提出了一个能应用在高速环境下的网络入侵检测系统,给出了一个综合考虑实时负载、可用性及能力的负载均衡算法,即基于应用的最小负载优先算法;采用分布式的网络入侵检测系统的结构,基于MobileAgent技术来实现分析检测代码的动态更新与移动·实验测试表明该系统能较好地解决高速网络环境下的实时入侵检测问题     

基于ARMA的并行入侵检测的负载均衡算法

并行网络入侵检测系统架构的提出很大程度上缓解了当前硬件处理能力不足和网络流量激增之间的矛盾,其充分发挥作用的关键在于如何高效稳定地将流量均匀地分配到各个检测引擎上.本文在深入分析负载均衡算法的各个实现要素基础上,基于经典时间序列模型ARMA对网络流量进行了预测,按照周期性预测负载信息的策略,设计实现了ABLB算法,在降低各个检测引擎反馈负担的同时其负载均衡能力、攻击证据保持、高效性和健壮性也得到了保证,在算法分析和实验中进行了讨论和验证.     

基于静态非合作博弈的网络报文取样模型

为了提高网络入侵检测系统的性能,运用博弈论建立网络入侵报文取样模型.基于静态非合作博弈的分析思路,通过网络安全系统和网络攻击者调整自身的策略以取得最大化的效用,推导出混合策略Nash均衡的解析解,并根据该策略设计了网络报文动态取样算法(DDPSA)和集中式增量取样算法(CIPSA),以等概率攻击、随机攻击和博弈攻击等3种方式的攻击报文来检验2种算法的性能.仿真结果表明,CIPSA算法比DDPSA算法更为有效.CIPSA算法在3种攻击方式下均有相同的取样成功率,不仅表明CIPSA算法的稳定性,也验证了入侵报文取样模型混合策略的合理性.     

基于模式匹配的网络入侵检测系统

设计了一个基于模式匹配专家系统的网络入侵检测系统，它的所有组件都是用LINUX下的C语言编写的。该系统一方面能够抓取计算机网络中数据链路层的所有数据包并记录下来；另一方面能够用一基于专家系统的检测引擎对抓取的数据包进行实时分析，以检测各种入侵。该专家系统采用模式匹配原理，主要采用存在模式和规则表示模式。当检测到入侵时，系统在发出警报的同时还将数据包的详细内容记录下来，以发现入侵者的详细信息。     

基于高速网络环境的Snort主动包过滤预处理器研究

提出一种Snort主动包过滤预处理插件,在高速网络环境下,通过主动丢弃对检测误报率影响较小的数据包减轻系统负载,避免Snort在超负荷运行情况下的随机丢包现象。由于异常数据包主要来自于每个网络流前面的一定数量的数据包。因此,该预处理器实时地监控Snort的负载变化,当检测引擎负载超过一定阈值时,主动过滤掉网络流后面的正常数据包。实验表明,使用主动包过滤预处理器并采用一定的Snort调整行为可以在保证较低误报率的前提下有效降低Snort的漏报率,提高系统的检测效率。     

一种快速Snort入侵检测系统研究

在高速网络中,提高入侵检测系统检测速率和效率是目前入侵检测系统需要解决的主要问题. 基于Linux平台,采用了零拷贝技术对Snort入侵检测系统的数据包捕获引擎进行了改进;采用改进的BM算法提高了规则匹配的效率,搭建了相应的实验平台并进行了性能测试. 测试表明,本方法可以显著提高Snort系统的性能.     

一种适用于宽带网络的入侵检测系统的设计与实现

宽带高速网络的实时入侵检测技术是当今信息安全中的一个热门研究课题,文章介绍了入侵检测系统的概念,提出了一种网络实时入侵检测系统模型,根据此模型,从IDS的体系结构和算法上入手,探索设计了一种适合于宽带网络的实时入侵检测方案,并介绍了实现的关键技术和方法。     

用于高速网络入侵检测系统的并行TCP/IP协议栈

随着网络应用层内容检测技术的速度提高到10Gb/s的数量级,底层的TCP/IP协议栈已经成为制约网络入侵检测系统的检测速度的新瓶颈。该文的前期工作采用64位指令、并行计算指令和操作系统内核数据映射等软件硬件系统特性来优化TCP校验码计算、TCP连接表Hash值计算和内核态到用户态的数据复制等性能瓶颈。在此基础上,该文进一步研究了连接表Hash值计算、半开连接过滤和并行化问题,采用通用Hash(universal Hash)函数作为TCP连接表查找的Hash函数,以避免算法复杂度攻击,并利用SSE(streaming SIMD extensions)指令集中的并行指令来提高计算速度;采用Bloom过滤器过滤TCP半开连接;使用多次加载动态链接库(DLL)的方法,利用并行化获得更高的吞吐率。实验表明:经过上述改进后,使用3个处理器核心的TCP/IP协议栈,对平均包长110 B的攻击流量能达到4.4 Gb/s的吞吐率,对平均包长501 B的正常流量能达到15.2 Gb/s的吞吐率,达到原始系统的4倍以上,比该文前期工作的结果提高了50%到70%。     

基于模糊积分的多神经网络融合在入侵检测中的应用

神经网络应用在入侵检测领域中,可以处理不完整输入信息,同时能够识别新的入侵行为,并行计算和存储特性能够在更短时间内发现入侵行为.为了进一步提高单个神经网络在入侵检测系统中的检测性能,提出了基于模糊积分的多神经网络融合模型MNNF模型.采用KDD99作为实验数据,实验结果表明,MNNF模型具有较好的入侵检测性能.     

传感器网络中基于簇的入侵检测策略

基于网格思想提出了适用于传感器网络的分布式分簇算法,本算法克服了传感器网络没有清晰物理边界,信息易于泄漏的严重缺陷.并在此基础上给出了一种基于簇的入侵检测策略,簇头与簇成员的IDS采用不同的引擎,理论分析此方案具有良好的性能.     

一种基于数据包分析的网络入侵检测探针

首先介绍入侵检测系统的原理，并在此基础上利用Kdevelop2.0以及Qt在Linux操作系统下实现了基于数据包分析的网络入侵检测探针程序，该程序完成了共享网段中的数据包的捕获和分析，入侵特征的匹配以及对入侵活动的响应等功能。     

基于改进的BM算法在IDS中的实现

指出了模式匹配技术的好坏直接关系到检测系统性能的好坏 ,通过对开放的源代码snort中模式匹配技术的改进 ,提出了一种更快的字符匹配算法 .该算法可以大大加快入侵检测系统的检测速度 ,提高现有的入侵检测系统的检测能力 .     

基于稀疏向量距离的网络入侵数据检测

传统的网络入侵检测速度慢、实时性差,且误报率较高。为此,提出一种基于稀疏向量距离的网络入侵数据检测方法。该方法首先对所获得的网络样本数据进行初步分析,采用K-means算法对样本数据包进行量化处理得到该数据流的位置分布集,使用压缩感知的稀疏编码技术处理,得到数据的稀疏表示,然后通过随机投影获取数据集的二值哈希编码可以近似地表示稀疏向量的距离,与设定的阈值进行比较,判断该数据是否为入侵数据。根据这些稀疏向量的距离能够快速而准确地检测到入侵的网络数据。实验结果表明,相对于传统检测算法,本文算法具有速度快、实时性好、误报率低等优点,使入侵检测系统的性能得到了很大提高,充分确保了网络的安全性。