基于IXP2400的NIDS的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、入侵檢測(cè)系統(tǒng)(IDS)是安全防范機(jī)制的重要組成部分.目前,網(wǎng)絡(luò)入侵事件很難完全避免,網(wǎng)絡(luò)安全人員所能做到的應(yīng)該是及時(shí)地發(fā)現(xiàn)和察覺入侵及入侵企圖,以便采取有效的措施來(lái)堵塞漏洞和修復(fù)系統(tǒng).當(dāng)前,對(duì)入侵檢測(cè)的理論研究取得了多方面的成果,隨著對(duì)計(jì)算機(jī)系統(tǒng)弱點(diǎn)和入侵行為分析研究的深入,提出了各種檢測(cè)方法,比如專家系統(tǒng),神經(jīng)網(wǎng)絡(luò),數(shù)據(jù)挖掘,移動(dòng)代理等等.但是在實(shí)際中的應(yīng)用仍然局限于異常檢測(cè)和誤用檢測(cè).而誤用檢測(cè)又主要集中在特征檢測(cè),即string

2、match.實(shí)際中入侵檢測(cè)的難點(diǎn)主要在于檢測(cè)的效率問(wèn)題,誤報(bào)和漏報(bào)的問(wèn)題.對(duì)于檢測(cè)的效率問(wèn)題,可以通過(guò)軟件硬化來(lái)實(shí)現(xiàn).本文就提出了這樣的一個(gè)解決方案,使用Intel的網(wǎng)絡(luò)處理器IXP2400來(lái)實(shí)現(xiàn)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng).它能夠在保證檢測(cè)效率的同時(shí),盡量減少誤報(bào)和漏報(bào),對(duì)當(dāng)前高速的企業(yè)網(wǎng)絡(luò)有一定的實(shí)用性.本文由IDS研究,Intel網(wǎng)絡(luò)處理器和本方案的設(shè)計(jì)與實(shí)現(xiàn)3大部分構(gòu)成.第一部分中,首先介紹了網(wǎng)絡(luò)安全問(wèn)題、入侵檢測(cè)的原理和IDS的一般

3、模型;接著分析了當(dāng)前入侵檢測(cè)面臨的問(wèn)題,為了克服這些問(wèn)題,提出了基于網(wǎng)絡(luò)處理器的網(wǎng)絡(luò)入侵檢測(cè)的方案.第二部分中,介紹了Intel網(wǎng)絡(luò)交換架構(gòu)的原理,最新網(wǎng)絡(luò)處理器IXP2400的硬件結(jié)構(gòu),以及它作為入侵檢測(cè)平臺(tái)的優(yōu)越性.第三部分主要是方案的設(shè)計(jì)與實(shí)現(xiàn),包括數(shù)據(jù)的接收,入侵檢測(cè)的實(shí)現(xiàn),任務(wù)的調(diào)度以及如何優(yōu)化以提高檢測(cè)的性能.在該項(xiàng)目的研究和開發(fā)過(guò)程中,重點(diǎn)解決了入侵檢測(cè)分析引擎的模式匹配算法、在網(wǎng)絡(luò)處理器各線程間數(shù)據(jù)的通訊,檢測(cè)實(shí)體之間傳