Linux平臺(tái)下高速網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)采集的實(shí)現(xiàn).pdf

1、網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)應(yīng)用環(huán)境的不斷普及，加大了人們對(duì)網(wǎng)絡(luò)的依賴性，同時(shí)也帶來(lái)了日益突出的信息安全問(wèn)題。過(guò)去采用的傳統(tǒng)的加密和防火墻技術(shù)己經(jīng)不能完全滿足安全需求，入侵檢測(cè)技術(shù)作為一種主動(dòng)預(yù)防的安傘手段，越來(lái)越顯示出重要性。 同時(shí)，高速局域網(wǎng)和光纖通信等新技術(shù)的應(yīng)用給網(wǎng)絡(luò)性能和流量帶寬帶來(lái)了巨大的增長(zhǎng)。從最初以K為單位的網(wǎng)絡(luò)速度到10M/100M網(wǎng)絡(luò)，到現(xiàn)在干兆網(wǎng)絡(luò)，這些變革對(duì)IDS的處理性能提出了更高的要求。高速網(wǎng)絡(luò)下的實(shí)時(shí)入

2、侵檢測(cè)己經(jīng)成為入侵檢測(cè)研究領(lǐng)域的一個(gè)熱點(diǎn)和難點(diǎn)，而如何實(shí)現(xiàn)千兆環(huán)境下的實(shí)時(shí)報(bào)文監(jiān)測(cè)是提高入侵檢測(cè)能力的一個(gè)普遍問(wèn)題，因此對(duì)于高速網(wǎng)絡(luò)環(huán)境入侵檢測(cè)數(shù)據(jù)采集的研究是非常有意義的。 本文首先對(duì)IDS、數(shù)據(jù)采集技術(shù)、大規(guī)模網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)采集的要求等方面的知識(shí)進(jìn)行了介紹與分析。根據(jù)現(xiàn)有的入侵檢測(cè)中數(shù)據(jù)采集技術(shù)面對(duì)大規(guī)模網(wǎng)絡(luò)所存在的不足，參考了相關(guān)領(lǐng)域的知識(shí)，提出了基于Linux平臺(tái)的高速網(wǎng)絡(luò)數(shù)據(jù)采集器，闡述了數(shù)據(jù)采集器的體系結(jié)構(gòu)、關(guān)鍵技術(shù)

3、實(shí)現(xiàn)、過(guò)濾及預(yù)處理功能的實(shí)現(xiàn)。 依據(jù)Linux的開(kāi)源性及良好的網(wǎng)絡(luò)特性、Linux內(nèi)核網(wǎng)絡(luò)協(xié)議棧的設(shè)計(jì)思想、并借鑒了清華大學(xué)以CERNET網(wǎng)絡(luò)管理與流量計(jì)費(fèi)為背景開(kāi)發(fā)的Linuxflow高性能可擴(kuò)展的網(wǎng)絡(luò)被動(dòng)測(cè)量系統(tǒng)的實(shí)現(xiàn)，本文建立了一套專用于高速網(wǎng)絡(luò)數(shù)據(jù)包采集的協(xié)議棧。在此基礎(chǔ)上，分析了Linux平臺(tái)下數(shù)據(jù)采集影響系統(tǒng)性能的因素，提出了提高系統(tǒng)性能的方案。同時(shí)，作為IDS的數(shù)據(jù)采集模塊，還提供了對(duì)原始網(wǎng)絡(luò)報(bào)文進(jìn)行過(guò)濾、預(yù)處理等