面向高速網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷得到提升與普及。伴隨其帶給人們便利性的同時(shí)，也為利用網(wǎng)絡(luò)進(jìn)行非法行為的人員提供了可乘之機(jī)，單一的防火墻技術(shù)已無(wú)法完全抵擋所有的網(wǎng)絡(luò)入侵與攻擊行為。在網(wǎng)絡(luò)環(huán)境日趨復(fù)雜、攻擊手段層出不窮的今天，入侵檢測(cè)系統(tǒng)(DS)在網(wǎng)絡(luò)安全層面極大彌補(bǔ)了傳統(tǒng)防火墻的不足。然而隨著光纖技術(shù)的發(fā)展，網(wǎng)絡(luò)帶寬快速提升，基于實(shí)時(shí)流量分析的傳統(tǒng)NIDS丟包率極高，已無(wú)法適應(yīng)當(dāng)前的高速網(wǎng)絡(luò);同時(shí)伴隨著攻擊入侵手段逐漸向應(yīng)用層轉(zhuǎn)移，傳統(tǒng)

2、的入侵檢測(cè)技術(shù)也逐漸無(wú)法檢測(cè)到更加隱蔽的入侵行為。針對(duì)以上背景，本文就如何高效、迅速地處理網(wǎng)絡(luò)報(bào)文并及時(shí)發(fā)現(xiàn)入侵行為為目的，研究并實(shí)現(xiàn)了一個(gè)面向高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)。論文的主要工作包括:
　　(1)結(jié)合應(yīng)用場(chǎng)景針對(duì)面向高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)進(jìn)行需求分析，針對(duì)高速報(bào)文捕獲、攻擊檢測(cè)、多核調(diào)度、數(shù)據(jù)處理與告警展示進(jìn)行總體設(shè)計(jì)和功能設(shè)計(jì)，以此確立了系統(tǒng)的架構(gòu)、功能模塊劃分和系統(tǒng)工作流程。
　　(2)通過(guò)研究Libpcap

3、+NAPI、PF_RING、DPDK三種報(bào)文捕獲技術(shù)，總結(jié)對(duì)比三種報(bào)文捕獲機(jī)制的優(yōu)缺點(diǎn);結(jié)合本論文實(shí)現(xiàn)系統(tǒng)的實(shí)際應(yīng)用場(chǎng)景，挑選合適的技術(shù)作為基礎(chǔ)解決方案，最后基于DPDK研究并設(shè)計(jì)了一個(gè)高速報(bào)文捕獲機(jī)制。
　　(3)根據(jù)常見(jiàn)的DDoS攻擊CC、SYN FLOOD以及WEB應(yīng)用攻擊的攻擊特點(diǎn)，按照OSI網(wǎng)絡(luò)模型逐層解包分析，統(tǒng)計(jì)關(guān)鍵信息進(jìn)行分析檢測(cè)，使用高速正則匹配引擎Hyperscan匹配報(bào)文應(yīng)用層內(nèi)容進(jìn)行正則匹配檢測(cè)，研究并設(shè)計(jì)