论文部分内容阅读
随着各种网络攻击手段的多元化、复杂化、智能化,单纯依赖传统的操作系统加固技术和防火墙隔离技术等静态防御已难以胜任网络安全的需要.IDS作为动态安全技术之一,提供了实时的入侵检测,并能做出记录、报警、阻断等反应,提供了更为积极的防御手段,近年得到快速的发展.高速局域网和光纤通信等新技术的应用给网络性能和流量带宽带来了巨大的增长.从最初以K为单位的网络速度到10M/100M网络,到现在千兆网络,这些变革对IDS的处理性能提出了更高的要求.高速网络下的实时入侵检测已经成为入侵检测研究领域的一个热点和难点,而如何实现千兆环境下的实时报文监测是提高入侵检测能力的一个普遍问题.论文分别从操作系统内核、网络物理接口以及报文分类算法等方面分析和阐述了影响报文监测性能的因素,提出优化和改进的方法和途径,并实现一个适用于高速IP网络环境的报文监测模型.论文中首先介绍了报文监测的研究背景以及发展现状,提出了在高速网络环境下报文采集的重要性和需求,并且明确了论文工作的研究目标和研究内容.大多数NIDS是使用通用的包获取库来获取网络上的报文,这些库对于大部分应用效果较好.但对于高速网络环境下需要高效数据获取的应用场合,它的效率并不能满足应用程序的要求.同时网卡传统的工作方式是依靠从网络上抓包,再从网卡缓存拷贝到上层系统,这个拷贝过程占用大量CPU资源,造成了整体性能下降.论文对操作系统内核和网络接口驱动进行了分析,指出了目前操作系统网络实现的局限性.论文设计并实现了DUMA采集模型,并给出了DUMA采集模型的性能分析和实验结果,为NIDS数据源的采集性能作出了保障.报文采集的功能要求根据用户规则对报文进行过滤,从某种意义上也就是根据用户规则对报文进行分类,对不同种类报文采取不同的过滤动作,因此论文中对目前国际上流行的高速报文分类算法进行了讨论.另外由于滥用入侵检测系统的规则具备表达能力强、更新复杂度低等特点,论文中对无相交树报文分类算法提出了优化和改进,从算法上给予报文分类的性能提升.在对报文监测的采集和分类两个部分进行分析和实现的基础上,论文最后给出了报文监测模型在MONSTER系统中的应用,充分阐述了报文监测在实际应用系统中体系结构、数据流程等各个方面,验证了其实用价值.随着用户对网络带宽、高速流量等需求不断增加,入侵检测技术迫切需要进一步创新和性能改进以适应高速环境下的安全防护.本论文给出的报文监测模型很好地解决了在高速网络环境下对网络报文的截取和分类的问题,为高性能的入侵检测系统的奠定了基础,此外模型对于高速网络环境下的某些应用领域也提供了一种性能保证.