面向入侵檢測(cè)的萬(wàn)兆以太流量篩選系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)鏈路的增長(zhǎng)速度與計(jì)算機(jī)硬件的更新速度差距越來(lái)越大，這使得網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS無(wú)法勝任在10Gbps高速網(wǎng)絡(luò)環(huán)境下進(jìn)行入侵檢測(cè)。本文為了提升NIDS的性能，從流量篩選角度，為NIDS添加一個(gè)流量篩選子系統(tǒng)，使其能夠接入萬(wàn)兆主干網(wǎng)中進(jìn)行實(shí)時(shí)檢測(cè)。
　　MONSTER是由江蘇省計(jì)算機(jī)網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室設(shè)計(jì)開(kāi)發(fā)的基于濫用檢測(cè)的入侵檢測(cè)和響應(yīng)系統(tǒng)。本文基于MONSTER，設(shè)計(jì)一個(gè)流量篩選子系統(tǒng)，提前篩選掉一部分流

2、量，減輕檢測(cè)模塊的負(fù)擔(dān)，使其能夠接入到萬(wàn)兆主干網(wǎng)中。
　　本文首先介紹了研究背景，包含IDS、大流量環(huán)境下的入侵檢測(cè)、MONSTER、流量篩選以及烽火采集器的基礎(chǔ)知識(shí)。在此基礎(chǔ)上結(jié)合MONSTER提出了本文的研究目標(biāo)和研究?jī)?nèi)容。
　　接下來(lái)，給出了流量篩選模型的總體設(shè)計(jì)。借鑒WRED算法的思想，對(duì)流劃分優(yōu)先級(jí)，不同優(yōu)先級(jí)的流采用不同的篩選策略。當(dāng)按流篩選仍不能夠緩解系統(tǒng)壓力時(shí)，則考慮流內(nèi)篩選。文中分別討論了流篩選算法和流內(nèi)篩

3、選算法對(duì)檢測(cè)模塊檢測(cè)精度的影響。
　　流識(shí)別和超點(diǎn)檢測(cè)是按流篩選的基礎(chǔ)，所以流量篩選系統(tǒng)最開(kāi)始要進(jìn)行流識(shí)別和超點(diǎn)檢測(cè)。之后闡述流篩選算法，流篩選算法依靠流的優(yōu)先級(jí)，而流的優(yōu)先級(jí)是按照黑白名單劃分的，黑名單的優(yōu)先級(jí)高，白名單的優(yōu)先級(jí)低，既不在黑名單也不在白名單的居中。黑名單內(nèi)容除了靜態(tài)配置之外，還包含超點(diǎn)檢測(cè)和檢測(cè)模塊反饋的結(jié)果。白名單中包含協(xié)議類(lèi)型，其流量的確定要依靠協(xié)議識(shí)別技術(shù)。流內(nèi)篩選算法，主要解決相同優(yōu)先級(jí)流的篩選問(wèn)題。