网络入侵检测系统

摘要： 为了实现网络入侵检测系统中的精确字符串匹配,文章提出了一种基于叶子-附加和二叉搜索树的字符串匹配算法及其实现架构;首先采用叶子-追加算法来对给定的模式集进行处理,以消除模式之间的重叠;然后采用二叉搜索树算法提取叶子模式及其匹配向量来构建二叉搜索树,并根据每个节点的比较结果,通过左遍历或右遍历来实现字符串的精确匹配;为了进一步提高字符串匹配算法的内存效率,提出了级联二叉搜索树;最后給出了实现精确字符串匹配的总体架构和各个功能模块的架构;实验结果表明,文章提出的设计不仅在内存效率和吞吐量方面优于目前先进的设计技术,而且具有灵活的可扩展性。

摘要： 为了提升中央处理单元(CPU)和图形处理单元(GPU)协同检测网络入侵的性能,提出了一种具有数据包有效载荷长度约束的CPU/GPU混合模式匹配算法(LHPMA);在分析CPU/GPU混合模式匹配算法(HPMA)的基础上,设计了长度约束分离算法(LBSA)对传入数据包进行提前分类;当传入数据包加载到CPU之前,LBSA根据有效载荷长度约束减少有效载荷长度的多样性;长度超过约束的数据包直接分配给CPU的预过滤缓冲区进行快速预过滤,剩余数据包则直接发送至CPU主存储器中的全匹配缓冲区,并将较短数据包直接分配给GPU进行全模式匹配,提升了CPU/GPU协同检测网络入侵的性能;实验结果表明,LHPMA的性能优于HPMA以及CPU和GPU的单独处理方法;LHPMA增强了HPMA的处理性能,充分发挥了GPU并行处理较短数据包的优势,并且LHPMA提高了网络入侵检测的吞吐量。

摘要： 互联网的迅速发展在给用户带来巨大便利的同时,也引发了诸多安全事故.随着零日漏洞、加密攻击等网络攻击行为日益增加,网络安全形势愈发严峻.入侵检测是网络攻击检测的一种重要手段.近年来,随着深度学习技术的持续发展,基于深度学习的入侵检测系统逐渐成为网络安全领域的研究热点.通过对文献的广泛调查,介绍了利用深度学习技术进行网络入侵检测的最新工作.首先,对当前网络安全形势及传统入侵检测技术进行简要概括;然后,介绍了网络入侵检测系统中常用的几种深度学习模型;接着,总结了深度学习中常用的数据预处理技术、数据集以及评价指标;再从实际应用的角度介绍了深度学习模型在网络入侵检测系统中的具体应用;最后,讨论了目前研究过程中面临的问题,提出了未来的发展方向.

摘要： 本文在论述计算机入侵检测技术原理的基础上,探讨了计算机网络入侵检测系统的基本框架和结构模型,对基于主机入侵、基于网络入侵、基于主机检测的分布式入侵和基于网络检测的分布式入侵检测系统的结构进行深入分析,最后对计算机网络系统入侵检测系统的算法和改进的多模式匹配算法进行探究,旨在为快速提升计算机网络入侵检测系统的研发水平带来一定参考和启迪.

摘要： 网络入侵检测系统(NIDS)在保护计算机网络中扮演着至关重要的角色.现有的方法不能持续性地检测新型攻击行为.此外,手工设计特征提取是繁琐的并且无法选择出非常适合的特征进行网络入侵检测.为了解决上述挑战,提出一种新颖的基于卷积神经网络的入侵检测模型.该方法能自动化地提取复杂高维的特征,并且引入跳跃链接克服神经网络训练的过拟合问题,从而实现高准确率.实验显示,提出的方法在KDD99数据集下取得98.33％的准确率,优于基于传统的机器学习方法.

摘要： snort是目前应用最广泛的开源网络入侵检测系统,其设计原理和实现特点,是目前多数商用入侵检测系统的研发基础.本文阐述了snort系统的结构以及各个模块的功能

摘要： 本文提出一种具有数据平面和控制平面分离的网络入侵检测系统,实现了高可扩展性。结合考虑单分类支持向量机和软间隔支持向量机的优点,提出了一种基于增强支持向量机的入侵检测方法,以此准确高效地区分恶意入侵数据流与正常数据流。在仿真实验部分,使用恶意软件产生恶意数据集,并利用该数据集来验证系统的有效性。

摘要： 本文提出一种具有数据平面和控制平面分离的网络入侵检测系统,实现了高可扩展性.结合考虑单分类支持向量机和软间隔支持向量机的优点,提出了一种基于增强支持向量机的入侵检测方法,以此准确高效地区分恶意入侵数据流与正常数据流.在仿真实验部分,使用恶意软件产生恶意数据集,并利用该数据集来验证系统的有效性.

摘要： 随着企业信息化水平的不断提高,信息系统对业务的支撑作用更加明显,但随之而来的网络信息安全问题也日益突出,黑客攻击无孔不入、手段层数不穷,如何有效的实现风险防控,未雨绸缪,保证网络与信息系统的安全、可靠运行是我们要面临的考验。我们如何能在大量的网络流量中,识别出可能存在的威胁,对入侵能及时分析,预警,保障信息系统的保密性,完整性、可用性?网络入侵检测系统(IDS)给我们提供了手段。本文以天阗入侵检测系统为例,介绍如何在企业网中进行部署,并通过两个实际监测到的威胁事件,直观地展示IDS在企业网络风险防范中发挥的重要作用。

摘要： 本文对基于神经网络的网络入侵检测系统进行总体设计,并在此基础上实现了事件分析模块和Web查询模块.重点研究了神经网络技术与模式匹配检测方法的结合及其在入侵检测系统中的应用.

摘要： 网络入侵检测系统是一种主动保护网络资源的网络安全系统，近年来得到了广泛的研究与应用。简述了入侵检测系统的概念、类型，分析了网络入侵检测系统存在的安全隐患，介绍了目前入侵者逃避网络入侵检测系统检测的主要方法，并在此基础上提出了提高网络入侵检测系统安全性应采取的对策。

摘要： 网络安全问题一直是企业在安全运维中最关心的问题之一.随着云计算和虚拟化技术的发展,越来越多的企业正在进行内部服务器的虚拟化整合,以达到对硬件资源更高效利用,使其业务服务具有更好的高可用性和容错性.在带来这些技术变革的同时,虚拟化技术也提出了在虚拟网络安全监控方面新的挑战.本文分析了传统物理网络入侵检测产品在虚拟化网络中存在的部署接入等方面问题,提出了一种通过虚拟网络入侵检测系统的解决方案,并从对虚拟化平台资源使用的角度详细分析了现有虚拟网络入侵检测系统存在的问题,提出了可行的优化方案.

摘要： 传统BM算法存在一些无用的比较,影响了字符串的匹配速度,降低了入侵检测效率.为此,提出一种改进BM算法,并将其用于网络入侵检测系统的检测引擎中.实验结果表明,较采用BM算法的Snort检测器,改进BM算法构建的网络入侵检测系统可有效降低误报率和漏报率,提高入侵检测率与时间利用率.显然,这对提升网络入侵检测系统的整体能力非常有用.

摘要： 随着网络带宽的快速增长,互联网正面临着日益严重的安全威胁.网络入侵检测系统(NIDS)利用模式匹配等技术对网络报文进行分析和检测,是防范网络威胁、保护网络安全的一种有效手段.但模式匹配消耗巨大的计算量,现有的技术难以满足10Gbps以上骨干网络NIDS的需求.本文提出了基于Bloom filter的细粒度并行模式匹配技术PBPM(Parallel-Bloom-filter-based multi-Pattern Matching),PBPM利用多个相同的Bloom filter分别从输入文本的不同位置处并行匹配,每个周期可完成多个字符的匹配,显著提高了匹配速率.详细讨论了在FPGA上的实现方式,在Snort2.9规则集上的测试结果表明,PBPM能够提供超过20Gbps的模式匹配需求.

摘要： 流管理技术是深度报文检测技术的重要组成部分，是网络入侵检测系统对数据流进行应用层协议分析的基础。为了优化高带宽网络环境下报文流管理的性能，本文提出了一种基于多核NPU的硬件协处理方案，实现了一块流接口卡。经试验表明，该流接口卡处理TCP报文的能力可以达到3.85Gbit网络的线速。

摘要： 针对日益增多的网络安全威胁,以及目前网络入侵检测系统的发展现状,本文提出了一种基于聚类算法的异常入侵检测模型.针对K-means算法对聚类初始中心的依赖、距离计算的复杂性比较大等缺点,提出了一种改进算法,该算法汲取了K-medoids轮换法和改进的三角形三边关系定理等具有的优点.通过实验证明,把改进后的算法应用于网络入侵检测系统中,可以大幅度提高数据分类的准确性和检测效率.在KDD CUP 1999上的仿真实验结果表明,该算法实现预期效果,具有高检测率和高效率.

摘要： 目前网络入侵检测系统中存在大量的Fuzzy性问题,通过对三(I)算法的分析,提出一个基于RM蕴涵算子的三I算法,并且就FMP(fuzzy modus pronens)问题,运用该算法,研究基于多维多重以及多维多重规则时的解.该算法在研究入侵检测系统中结合特征知识库,提取入侵行为规则,抽象出入侵行为检测Fuzzy推理的一般性模型,给出了基于该模型算法的描述并且分析了算法的性能,在该算法中,应用的Fuzzy推理是基于RM算子的三(I)算法.

摘要： 文章以经典的多模式匹配算法—AC算法为例,通过对CUDA特性的分析,提出了基于CUDA的并行模型,设计了适合CUDA并行技术的AC匹配算法。实验结果表明,基于CUDA的AC匹配算法较CPU上获得了22倍的加速比,有效提高了入侵检测系统的性能。

摘要： 文章以经典的多模式匹配算法—AC算法为例,通过对CUDA特性的分析,提出了基于CUDA的并行模型,设计了适合CUDA并行技术的AC匹配算法。实验结果表明,基于CUDA的AC匹配算法较CPU上获得了22倍的加速比,有效提高了入侵检测系统的性能。

摘要： 检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有：通信取得部(11)，其取得流过网络(30)的关于空调设备(56)的通信数据；通信许可列表生成部(14)，其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存；以及入侵检测部(12)，其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较，由此检测对网络(30)的入侵，通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则，其中，该控制器(51)控制空调设备(56)，该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。

摘要： 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

摘要： 本发明属于网络入侵检测技术领域，公开了一种基于可持续性集成学习的入侵检测方法及入侵检测系统，将个体学习器的类概率输出和分类置信度乘积作为训练数据构建多类别的回归模型，使集成学习的决策过程对攻击类型具有适应性以提高检测精度，模型更新阶段将历史模型的参数和决策结果加入新模型的训练过程，完成模型的增量式学习。本发明采用多回归模型的集成学习融合方案，细粒度的分配了在对不同攻击类型检测过程中个体学习器的决策权重，并通过将历史模型的参数和结果用于训练新的模型，提高了检测模型的稳定性并保证了学习过程的可持续性。并将实验结果与现有的MV、WMV方案对比验证了本发明在准确率、稳定性和可持续性。

摘要： 基于PLC仿真的工控入侵检测方法和入侵检测系统，该系统由PLC仿真模块、控制对象异常检测模块和被控对象异常检测模块构成。所述的PLC仿真模块由通讯子系统、SCL语言解释子系统、中间层数据缓存子系统、执行引擎子系统构成。所述的通讯子系统与工业控制网络相连。执行引擎子系统同中间层缓存子系统相连。被控对象异常检测模块同PLC仿真模块相连。本发明在不改变工业网络结构和不影响日常生产的前提下，为用户提供了对控制对象和被控对象的入侵检测系统，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

摘要： 本发明提供了一种入侵检测系统IDS分析方法和入侵检测系统，其中方法包括IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。本发明不仅能够减少计算量，而且可以实现快速探测入侵攻击。

摘要： 检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有：通信取得部(11)，其取得流过网络(30)的关于空调设备(56)的通信数据；通信许可列表生成部(14)，其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存；以及入侵检测部(12)，其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较，由此检测对网络(30)的入侵，通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则，其中，该控制器(51)控制空调设备(56)，该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。

摘要： 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

摘要： 本发明提供一种入侵检测方法、监控平台、入侵检测系统和计算机可读存储介质。所述入侵检测方法包括：将雷达报警信息与视频报警信息进行对比，所述雷达报警信息为雷达检测到的物体进入监控区域内时发出的报警信息，所述视频报警信息为视频采集设备检测到的物体进入所述监控区域内时发出的报警信息；当所述雷达报警信息与所述视频报警信息相匹配时，对所述视频采集设备检测到的物体进行身份确认，以获得确认结果；当所述确认结果表明所述视频采集设备检测到的物体满足预定的入侵告警条件时，判定存在入侵物。

摘要： 提供一种用于门窗的入侵检测方法，包括接收附着在所述门窗上的传感器采集的加速度或角速度数据；判断所述加速度或角速度数据中的多个加速度或角速度数据样本是否包括满足如下预定标准的连续加速度或角速度数据样本：(i)在所述连续加速度或角速度数据样本中每两个相邻加速度或角速度数据样本之间的变化量数据大于第一预定阈值，并且(ii)所述连续加速度或角速度数据样本的个数大于第二预定阈值；基于所述判断的结果确定是否发生针对所述门窗的入侵；以及输出所述确定的结果。由此，准确地识别入侵者的入侵。

摘要： 本发明属于网络入侵检测技术领域，公开了一种基于可持续性集成学习的入侵检测方法及入侵检测系统，将个体学习器的类概率输出和分类置信度乘积作为训练数据构建多类别的回归模型，使集成学习的决策过程对攻击类型具有适应性以提高检测精度，模型更新阶段将历史模型的参数和决策结果加入新模型的训练过程，完成模型的增量式学习。本发明采用多回归模型的集成学习融合方案，细粒度的分配了在对不同攻击类型检测过程中个体学习器的决策权重，并通过将历史模型的参数和结果用于训练新的模型，提高了检测模型的稳定性并保证了学习过程的可持续性。并将实验结果与现有的MV、WMV方案对比验证了本发明在准确率、稳定性和可持续性。