網(wǎng)絡(luò)入侵檢測系統(tǒng)的數(shù)據(jù)包頭處理引擎的設(shè)計.pdf

1、在基于網(wǎng)絡(luò)數(shù)據(jù)流量的入侵檢測系統(tǒng)中，系統(tǒng)的瓶頸是數(shù)據(jù)包的包頭處理引擎的處理速度。在一個實時的應(yīng)用環(huán)境中，所有最后的入侵檢測分析結(jié)果的可靠性都依賴與包頭處理引擎處理網(wǎng)絡(luò)數(shù)據(jù)包的速度和穩(wěn)定性。數(shù)據(jù)包包頭處理引擎要完成的一個主要工作是數(shù)據(jù)包的分用和匯集，分用是指將當前數(shù)據(jù)報定位到相應(yīng)的會話，匯集是指按主機進行各種統(tǒng)計量的累加。 為了提高數(shù)據(jù)包包頭處理引擎處理數(shù)據(jù)包的速度和可靠性，本論文對網(wǎng)絡(luò)通信進行了邏輯上的分類，對每種通信類型給出了

2、一個高效的數(shù)據(jù)包定位到會話并將會話中各種統(tǒng)計量進行匯集的算法。為了提高系統(tǒng)的穩(wěn)定性，引擎模型采用兩套靜態(tài)的內(nèi)存池管理方案。引擎對應(yīng)一個生產(chǎn)者，生產(chǎn)的數(shù)據(jù)放在某一個內(nèi)存池A中。當定時信號觸發(fā)時，引擎切換到另一個內(nèi)存池B上工作，繼續(xù)向內(nèi)存池B中生產(chǎn)數(shù)據(jù)，同時入侵分析模塊作為一個消費者使用內(nèi)存池A中的數(shù)據(jù)。兩套內(nèi)存池由定時信號觸發(fā)輪換，引擎所對應(yīng)的線程和入侵分析模塊對應(yīng)的線程使用互斥量和條件變量進行同步。 本論文在詳細分析了網(wǎng)絡(luò)數(shù)據(jù)流