高速網(wǎng)絡(luò)入侵檢測負(fù)載均衡算法研究.pdf

1、入侵檢測是用來檢測和識別對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，或者違反安全策略事件的過程。它從計算機(jī)系統(tǒng)或網(wǎng)絡(luò)環(huán)境中采集數(shù)據(jù)，分析數(shù)據(jù)，發(fā)現(xiàn)可疑攻擊行為或異常事件，并采取一定的響應(yīng)措施攔截攻擊行為，降低可能的損失。入侵檢測技術(shù)隨著人們的不斷研究從理論上和技術(shù)上都取得了一定的成果。但是，在總體迅速發(fā)展的背景下，核心技術(shù)和創(chuàng)新能力的發(fā)展并不樂觀。尤其是隨著高速局域網(wǎng)和光纖通信等新技術(shù)的應(yīng)用，可以提供千兆帶寬的高速網(wǎng)絡(luò)

2、，而傳統(tǒng)的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS僅能工作在幾百兆的環(huán)境中，因此高速網(wǎng)絡(luò)環(huán)境下的入侵檢測系統(tǒng)是目前研究的重點和難點。 目前在高速網(wǎng)絡(luò)環(huán)境下的入侵檢測系統(tǒng)模型大多采用負(fù)載均衡機(jī)制，其基本思想是將截獲的大流量分割成幾部分，每一部分由一個檢測器進(jìn)行檢測，檢測的結(jié)果提交給分析主機(jī)進(jìn)行分析報警。但在入侵檢測系統(tǒng)中的負(fù)載均衡算法有其特殊性，該算法必須運算效率高而且均衡效果，因此有必要對負(fù)載均衡算法進(jìn)行研究。 本文介紹了目前高速

3、網(wǎng)絡(luò)環(huán)境下的入侵檢測系統(tǒng)的研究概況，對采用負(fù)載均衡機(jī)制的檢測模型和關(guān)鍵技術(shù)即數(shù)據(jù)捕獲技術(shù)、負(fù)載均衡技術(shù)和數(shù)據(jù)分析技術(shù)進(jìn)行了討論；對負(fù)載均衡的一些相關(guān)技術(shù)進(jìn)行了介紹，如負(fù)載均衡的分類和策略，并對現(xiàn)有的負(fù)載均衡算法進(jìn)行了比較；設(shè)計了基于異或和取模運算的動態(tài)負(fù)反饋負(fù)載均衡算法，并對哈希函數(shù)的輸入值進(jìn)行了討論，這也是本文的工作重點。目前對哈希函數(shù)的有效性和動態(tài)負(fù)載均衡算法的設(shè)計有相關(guān)論述，但對如何設(shè)置哈希函數(shù)的輸入值都沒有深入討論，然而輸入值的

4、選取決定分流結(jié)果，如果選取得當(dāng)將減少負(fù)載遷移，提高系統(tǒng)檢測效率和效果。本文引入信息熵理論對哈希函數(shù)的輸入值進(jìn)行了隨機(jī)度測試，異或運算可以提高運算結(jié)果的隨機(jī)性，通過多次實驗，結(jié)果表明增加異或字段和把字段劃分成幾部分后交叉異或運算會提高運算結(jié)果的隨機(jī)測度值，減少負(fù)載遷移次數(shù)而且運算效率與CRC16運算接近。另外標(biāo)識字段有極高的位熵值，函數(shù)輸入值中能加入此值，負(fù)載均衡效果更好。因此本文提出采用源IP地址、目的IP地址、源端口、目的端口、標(biāo)識字

5、段五個字段作為輸入值，并且把每個字段都劃分為8位的比特串(共14個)進(jìn)行異或運算，然后再把結(jié)果進(jìn)行取模運算的雙哈希算法。 總之，本文在分析采用負(fù)載均衡機(jī)制的高速網(wǎng)絡(luò)入侵檢測系統(tǒng)模型的基礎(chǔ)上，設(shè)計了動態(tài)負(fù)反饋負(fù)載均衡算法，引入信息熵理論，對哈希函數(shù)的輸入值進(jìn)行隨機(jī)度測試，證明了增加異或字段個數(shù)和把字段劃分成幾部分后交叉異或運算會提高運算結(jié)果的隨機(jī)測度值。采用源IP地址、目的IP地址、源端口、目的端口、標(biāo)識字段五個字段作為輸入值，并