網絡入侵檢測系統(tǒng)的數(shù)據(jù)包頭處理引擎的設計.pdf

1、在基于網絡數(shù)據(jù)流量的入侵檢測系統(tǒng)中，系統(tǒng)的瓶頸是數(shù)據(jù)包的包頭處理引擎的處理速度。在一個實時的應用環(huán)境中，所有最后的入侵檢測分析結果的可靠性都依賴與包頭處理引擎處理網絡數(shù)據(jù)包的速度和穩(wěn)定性。數(shù)據(jù)包包頭處理引擎要完成的一個主要工作是數(shù)據(jù)包的分用和匯集，分用是指將當前數(shù)據(jù)報定位到相應的會話，匯集是指按主機進行各種統(tǒng)計量的累加。 為了提高數(shù)據(jù)包包頭處理引擎處理數(shù)據(jù)包的速度和可靠性，本論文對網絡通信進行了邏輯上的分類，對每種通信類型給出了

2、一個高效的數(shù)據(jù)包定位到會話并將會話中各種統(tǒng)計量進行匯集的算法。為了提高系統(tǒng)的穩(wěn)定性，引擎模型采用兩套靜態(tài)的內存池管理方案。引擎對應一個生產者，生產的數(shù)據(jù)放在某一個內存池A中。當定時信號觸發(fā)時，引擎切換到另一個內存池B上工作，繼續(xù)向內存池B中生產數(shù)據(jù)，同時入侵分析模塊作為一個消費者使用內存池A中的數(shù)據(jù)。兩套內存池由定時信號觸發(fā)輪換，引擎所對應的線程和入侵分析模塊對應的線程使用互斥量和條件變量進行同步。 本論文在詳細分析了網絡數(shù)據(jù)流