基于負(fù)載均衡的分布式入侵檢測(cè)模型設(shè)計(jì)與分析.pdf

1、傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如加密、防火墻、認(rèn)證等只是靜態(tài)的網(wǎng)絡(luò)安全技術(shù)，不能適應(yīng)當(dāng)前動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境的情況下，這幾年來網(wǎng)絡(luò)入侵檢測(cè)技術(shù)作為一種動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)逐漸引起人們的重視。入侵檢測(cè)技術(shù)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)：它不僅檢測(cè)來自外部的入侵行為，同時(shí)也可監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。 然而由于入侵檢測(cè)技術(shù)自身的復(fù)雜性和不成熟性，在當(dāng)前的大規(guī)模、分布式和高速的網(wǎng)絡(luò)環(huán)境中還存在很多的問題，如果不能夠得到很好地解決的話，

2、將嚴(yán)重影響入侵檢測(cè)技術(shù)的可用性與發(fā)展前景。目前，對(duì)千兆IDS來說，抓包是一個(gè)制約因素，對(duì)數(shù)據(jù)包的分析又是另外一個(gè)制約因素。 本文力圖從下面幾個(gè)方面來提高IDS的效率： 1.傳統(tǒng)的處理網(wǎng)絡(luò)數(shù)據(jù)包的方式由于網(wǎng)卡驅(qū)動(dòng)程序運(yùn)行在內(nèi)核空間，當(dāng)網(wǎng)卡收到包以后，包會(huì)存放在系統(tǒng)內(nèi)核空間內(nèi)；但是由于上層應(yīng)用運(yùn)行在用戶空間，無法直接訪問內(nèi)核空間，因此要通過系統(tǒng)調(diào)用往上層應(yīng)用系統(tǒng)送，這時(shí)候會(huì)發(fā)生一次復(fù)制過程。利用“零存儲(chǔ)”技術(shù)對(duì)傳統(tǒng)的抓包過程

3、進(jìn)行改進(jìn)：當(dāng)網(wǎng)卡抓到數(shù)據(jù)包以后直接寫到共享內(nèi)存，這樣的一個(gè)處理過程減少了至少一次復(fù)制。同時(shí)減少了一次網(wǎng)卡驅(qū)動(dòng)程序向用戶空間復(fù)制網(wǎng)絡(luò)數(shù)據(jù)包的系統(tǒng)調(diào)用。 2.由于分析主機(jī)的處理能力可能不完全一致，因此僅僅根據(jù)連接數(shù)進(jìn)行負(fù)載均衡不會(huì)達(dá)到最佳的效果。為了讓所有分析主機(jī)既能共同分擔(dān)流量，同時(shí)又能實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)負(fù)載的均衡。本文提出基于應(yīng)用的動(dòng)態(tài)最小負(fù)載優(yōu)先算法，根據(jù)數(shù)據(jù)包的應(yīng)用類型，將不同的數(shù)據(jù)發(fā)給配置相應(yīng)的分析策略的分析主機(jī)來提高IDS

4、的分析效率。 3.“協(xié)議分析”應(yīng)當(dāng)是目前絕大多數(shù)IDS所宣稱采用的。但對(duì)千兆IDS來說，協(xié)議分析不僅僅是判斷是什么協(xié)議那么簡(jiǎn)單了。要提高其性能和準(zhǔn)確性，必須做到更深層次的協(xié)議分析。因此，在網(wǎng)絡(luò)分析引擎的實(shí)現(xiàn)上，本文提出了利用協(xié)議分析和模式匹配相結(jié)合的方法，有效減小目標(biāo)的匹配范圍，提高了檢測(cè)速度。 4.在高速流量下，單純的單條規(guī)則匹配報(bào)文的匹配效率提高也不能完全適應(yīng)其要求，特別是現(xiàn)在的入侵檢測(cè)的規(guī)則模式在不斷增加，對(duì)每一個(gè)