论文部分内容阅读
随着互联网在全世界的广泛应用,黑客入侵和网络病毒的数量和危害性也越来越大。网络入侵严重时会使整个网络瘫痪,从而造成巨大的经济损失。为了及时发现网络攻击,采取相应对策,网络入侵检测系统(Network Intrusion Detection System,NIDS)逐渐得到发展和关注。但是,在网络带宽高速增长的情况下,现有的NIDS的性能受到了挑战。由于采用软件实现的大多数NIDS的处理速度可能跟不上网络数据包到达的速度,一些网络入侵被漏报,从而造成NIDS的失效。为了提高NIDS的速度,达到高速网络环境下近似实时的入侵检测,有必要研究一种性能较高的实现机制。
本文通过认真调研国内外的相关研究,将计算机集群的负载均衡技术应用到高速网络的入侵检测,构建了并行入侵检测系统,利用负载均衡分流器分流网络数据包,减轻单个入侵检测节点的负载,使得整个入侵检测系统能够适应高速网络大的网络流量。整个系统分为前端的分流器和后端的多个入侵检测节点。分流器和入侵检测节点相互独立,通过控制管理器实现节点负载反馈。分流器采用直接路由模式(Direct Routing,DR)转发数据包,因此入侵检测节点上可以直接运第三方入侵检测软件,如Snort,而不需要做任何修改,方便部署。分流器是系统的关节点所在,其性能的优劣直接决定了系统的表现。本文在对入侵检测技术和负载均衡技术和Intel IXP2400网络处理器开发技术进行深入研的基础上,在IXP2400网络处理器上设计和实现了分流器,充分利用了网络处理器在处理网络分组上的高效性和在软件开发上的便捷性;本文设计和实现了基于连接状态和节点负载反馈的分流算法,并针对网络处理器的存储特性和指令集作了优化,使入侵检测节点的负载达到均衡并保证了入侵的正确检测。本文还采用了预过滤技术,在分流器分流前过滤掉不带入侵特征不带payload的数据包,减轻分流器和入侵检测节点的负担;采用了局部缓冲技术,对发往检测节点的数据包进行缓冲,降低入侵检测节点在规则集切换上的开销,提高了系统的性能。实验结果表明,该系统能在一定程度上满足高速网络中进行数据包的分流和入侵检测的要求,具有分流均衡,可扩展性强,易用性好等特点。