高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究.pdf

1、　　傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如加密、防火墻、認(rèn)證等只是靜態(tài)的網(wǎng)絡(luò)安全技術(shù)，不能適應(yīng)當(dāng)前動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境，這幾年來(lái)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)作為一種動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)逐漸引起人們的重視。入侵檢測(cè)技術(shù)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意行為進(jìn)行識(shí)別和響應(yīng)，它不僅檢測(cè)來(lái)自外部的入侵行為，同時(shí)也可監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。
　　然而由于入侵檢測(cè)技術(shù)自身的復(fù)雜性和不成熟性，在當(dāng)前的大規(guī)模、分布式和高速的網(wǎng)絡(luò)環(huán)境中還存在很多的問(wèn)題，如果不能夠得到很好地解決的話，將嚴(yán)重

2、影響入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用和發(fā)展。
　　本文試圖從下面幾個(gè)方面來(lái)提高IDS的效率：
　　將負(fù)載均衡技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)中，提出一種動(dòng)態(tài)的入侵檢測(cè)負(fù)載均衡算法，利用負(fù)載均衡器分流網(wǎng)絡(luò)數(shù)據(jù)包，減輕單個(gè)入侵檢測(cè)節(jié)點(diǎn)的負(fù)載，使得整個(gè)入侵檢測(cè)系統(tǒng)適應(yīng)高速網(wǎng)絡(luò)的流量壓力。
　　傳統(tǒng)的負(fù)載均衡節(jié)點(diǎn)僅實(shí)現(xiàn)流量的分配，沒(méi)有考慮入侵檢測(cè)系統(tǒng)自身的特點(diǎn)。本文中設(shè)計(jì)的負(fù)載均衡節(jié)點(diǎn)在進(jìn)行流量分配的同時(shí)，對(duì)數(shù)據(jù)報(bào)進(jìn)行基于數(shù)據(jù)包頭的初步檢

3、測(cè)，早期過(guò)濾掉部分流量，降低分析主機(jī)的負(fù)載；另外，解析出各層協(xié)議的首部和數(shù)據(jù)載荷，放到數(shù)據(jù)包結(jié)構(gòu)變量中供各探測(cè)器分析引擎使用。從而實(shí)現(xiàn)整個(gè)系統(tǒng)的兩層檢測(cè)，提高入侵檢測(cè)的效率。
　　目前絕大多數(shù)IDS采用簡(jiǎn)單的模式匹配方法，對(duì)內(nèi)容和規(guī)則逐一比較，計(jì)算量大、極度消耗系統(tǒng)資源。協(xié)議分析技術(shù)利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則，只檢測(cè)感興趣的字段，從而減少了搜索空間和計(jì)算量，避免了簡(jiǎn)單模式匹配對(duì)內(nèi)容比較而產(chǎn)生的誤報(bào)和漏報(bào)。本系統(tǒng)采用動(dòng)態(tài)加載的基于應(yīng)用層