公开(公告)号：CN101699788A

公开(公告)日：2010-04-28

申请号：CN200910236818.2

申请日：2009-10-30

Applicant: 清华大学

Inventor： 陈新明 ,  薛一波 ,  李军

IPC: H04L12/26 ,  H04L12/56 ,  H04L29/06

Abstract: 本发明公开了一种模块化的网络入侵检测系统。该系统包括数据源模块，其用于包获取和编码解析，分流模块，用于完成来自编码解析模块的网包的调度，并将网包分发到检测模块中的各个检测子模块；检测模块，用于检测网包中是否含有攻击，其使用多个线程，包括一种或多种检测子模块；其中，所述数据源模块和所述分流模块使用一个线程。本发明的技术方案可独立设计的数据采集及分发/检测模块式架构，便于使用硬件实现特定模块的功能；能够充分利用多核处理器的处理能力，性能可随处理器核数线性增长，且可动态加载多个检测模块，便于针对不同硬件情况配置；同时使内存消耗大大下降，增强了系统的通用性。

公开(公告)号：CN101030221A

公开(公告)日：2007-09-05

申请号：CN200710065392.X

申请日：2007-04-13

Applicant: 清华大学

Inventor： 周宗伟 ,  薛一波

IPC: G06F17/30

Abstract: 本方法涉及一种文本或网络内容分析的大规模多关键词匹配方法，属于计算机数据处理技术领域。本方法包括关键词集预处理和文本或网络内容匹配两个阶段。关键词集预处理阶段建立跳跃表和关键词表，计算各表项的跳跃值，并将关键词关联到关键词表的相应表项。匹配阶段将一个窗口置于待分析的文本或网络内容的开始处，对窗口内的数据块进行哈希运算，检索跳跃表中对应跳跃值，若不为零，则按此值移动窗口，若为零，则对该数据块再进行哈希运算，检索关键词表，根据该表项中的跳跃值移动窗口，并将该表项中关联的关键词依次与文本中相应字段进行比较，确认是否匹配。本发明方法的优点是算法评测性能优异，满足实用要求，硬件可扩展性好。