传统的网络安全技术如加密、防火墙、认证等只是静态的网络安全技术,不能适应当前动态变化的网络环境的情况下,这几年来网络入侵检测技术作为一种动态网络安全技术逐渐引起人们的重视。入侵检测技术对计算机和网络资源上的恶意使用行为进行识别和响应:它不仅检测来自外部的入侵行为,同时也可监督内部用户的未授权活动。 然而由于入侵检测技术自身的复杂性和不成熟性,在当前的大规模、分布式和高速的网络环境中还存在很多的问题,如果不能够得到很好地解决的话,将严重影响入侵检测技术的可用性与发展前景。目前,对千兆IDS来说,抓包是一个制约因素,对数据包的分析又是另外一个制约因素。 本文力图从下面几个方面来提高IDS的效率: 1.传统的处理网络数据包的方式由于网卡驱动程序运行在内核空间,当网卡收到包以后,包会存放在系统内核空间内;但是由于上层应用运行在用户空间,无法直接访问内核空间,因此要通过系统调用往上层应用系统送,这时候会发生一次复制过程。利用“零存储”技术对传统的抓包过程进行改进:当网卡抓到数据包以后直接写到共享内存,这样的一个处理过程减少了至少一次复制。同时减少了一次网卡驱动程序向用户空间复制网络数据包的系统调用。 2.由于分析主机的处理能力可能不完全一致,因此仅仅根据连接数进行负载均衡不会达到最佳的效果。为了让所有分析主机既能共同分担流量,同时又能实现网络入侵检测负载的均衡。本文提出基于应用的动态最小负载优先算法,根据数据包的应用类型,将不同的数据发给配置相应的分析策略的分析主机来提高IDS的分析效率。 3.“协议分析”应当是目前绝大多数IDS所宣称采用的。但对千兆IDS来说,协议分析不仅仅是判断是什么协议那么简单了。要提高其性能和准确性,必须做到更深层次的协议分析。因此,在网络分析引擎的实现上,本文提出了利用协议分析和模式匹配相结合的方法,有效减小目标的匹配范围,提高了检测速度。 4.在高速流量下,单纯的单条规则匹配报文的匹配效率提高也不能完全适应其要求,特别是现在的入侵检测的规则模式在不断增加,对每一个数据包其可能要匹配的次数也在不断增加,因此其性能也无法完全满足。为此,本文提出改进了多模式匹配算提高匹配效率。 本文提出了基于负载均衡的分布式入侵检测系统模型,并对其关键技术点的实现进行了探讨并进行了实现。本模型具有良好的可扩充性、可伸缩性,并可通