欢迎来到天天文库
浏览记录
ID:43358028
大小:74.04 KB
页数:5页
时间:2019-10-01
《高速网络入侵检测系统应用瓶颈解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、高速网络入侵检测系统应用瓶颈解决方案摘 要:文章提出的网络入侵检测系统是基于协议分析技术,并结合特征模式匹配方法,采用高速采集器采集数据源并分发给多处理机进行数据处理的新型系统,它有效地解决了传统网络入侵检测系统在高速网络环境下的应用瓶颈问题。关键词:入侵检测; 高速网络; 协议分析; 多机处理1 引言 随着Internet 网络安全问题的不断暴露和当前黑客攻击技术日益进步,人们逐渐认识到使用防火墙、数字签名和加密技术这些被动式、静态的防御技术越来越难于保证网络的安全。于是,人们开始了主动式、动态地保护网络安全的入
2、侵检测系统的研究。第一代和第二代网络入侵检测系统即传统的网络入侵检测系统是基于特征模式匹配技术,采用单机采集网络数据源并加以处理的检测系统。在过去只有几兆、几十兆的网络流量的网络环境下,传统的网络入侵检测系统起了非常大的作用。 随着计算机网络技术的发展,几百、上千兆的高速网络环境已经大量出现。在这种高速网络环境下,传统的网络入侵检测系统显得力不从心,其应用瓶颈问题非常突出:漏抓网络数据包、误报率高、检测慢和检测时有丢包现象发生。那么如何解决传统的网络入侵检测系统的应用瓶颈问题?文章提出的一种网络入侵检测系统是基于协议
3、分析技术,并结合特征模式匹配方法,采用高速采集器采集数据源并分发给多处理机进行数据处理的新型系统,它有效的解决了传统网络入侵检测系统的应用瓶颈问题。2 数据源采集及处理 数据源的采集及处理是网络入侵检测系统的核心部分。CIDF通用模型将一个网络入侵检测系统分为以下部分:事件产生器(Event generator)、事件分析器(Event analyzer)、响应单元(Response units)和事件数据库(Event database)。数据源的采集及处理就对应于通用模型的事件产生器和事件分析器。 传统的网络入
4、侵检测系统一般采用一台普通PC机作为采集器,进行网络数据流的采集,并同时在该机对数据流进行分析处理。在低速网络环境下,利用PC机的网卡采集数据不会出现丢包现象,并且单处理机的资源也能满足对小流量数据的处理。但是,在高速网络环境下,一台普通PC机难以满足大流量数据的采集和处理,会出现丢包和数据包漏检现象。为此,新型网络入侵检测系统采用高速数据采集器,并将采集到的数据流分发给多台高档PC进行分布式数据检测,这样可以有效地解决丢包及漏检问题。 高速数据采集器负责抓取完整的高速网络数据流,这通过专门的的高性能硬件方案来实现,
5、主要包括实时嵌入式操作系统技术和具有高层交换功能的专用ASIC芯片技术。高速数据采集器采集到数据流后,通过负载均衡的原则将数据流分发给多台高档PC机进行处理。由于系统采用相同配置的PC作为数据处理机,同时为了提高采集器的工作效率,简化数据包分发算法,系统采用最简单的负载均衡算法,即分时传送——采取循环的方法,每隔一定时间按序向每台数据处理机传送数据流。这样就保证了每台数据处理机在某一时刻可以分布式处理大体相同的网络数据流量,提高了数据流检测的工作效率,解决了单台普通PC处理数据流量的效率低下、数据漏检的问题 。3 协议
6、分析技术 3.1模式匹配的不足 传统入侵检测系统使用模式匹配技术作为网络数据包分析技术。它是将采集的网络数据流与已知的网络入侵特征规则库中的规则逐条进行比较,以发现入侵行为。其工作步骤如下: 1)从捕获的网络数据流的第一个数据包的第一个字节开始与入侵特征规则库的第一个特征规则字符串比较。 2)如果比较结果相同,则说明检测到一个可能的攻击。 3)如果比较结果不同,则将数据包下移一个字节再进行比较。 4)直到把特征规则字符串的每一个字节都匹配完。 5)对于每一个入侵特征规则字符串,重复第二步。 6)直到每一
7、个入侵特征规则都匹配完。 下面用模式匹配的一个例子来说明。 00E0 FC04 68AC 0011 5BD8 1FF2 0800 4500 0040 08AC 4000 2006 B06C AC53 6352 BD25 CD12 050D 0050 221A 0112 415B 063A 7010 以上为采集的数据包,对于入侵特征规则字符串“/technote/print.cgi ”,根据上述步骤,首先从数据包头部开始比较: /technote/print.cgi 00E0 FC04 68AC 0011 5B
8、D8 1FF2 0800 4500 0040 08AC 4000 2006 B06C AC53 6352 BD25 CD12 050D 0050 221A 0112 415B 063A 7010 比较不成功,下移一个字节重新比较。 ——/technote/print.cgi 00E0 FC04 68AC 0011 5BD8
此文档下载收益归作者所有