面向高速網(wǎng)絡(luò)環(huán)境的實時入侵檢測系統(tǒng)的研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷得到提升與普及。伴隨其帶給人們便利性的同時，也為利用網(wǎng)絡(luò)進行非法行為的人員提供了可乘之機，單一的防火墻技術(shù)已無法完全抵擋所有的網(wǎng)絡(luò)入侵與攻擊行為。在網(wǎng)絡(luò)環(huán)境日趨復(fù)雜、攻擊手段層出不窮的今天，入侵檢測系統(tǒng)(DS)在網(wǎng)絡(luò)安全層面極大彌補了傳統(tǒng)防火墻的不足。然而隨著光纖技術(shù)的發(fā)展，網(wǎng)絡(luò)帶寬快速提升，基于實時流量分析的傳統(tǒng)NIDS丟包率極高，已無法適應(yīng)當(dāng)前的高速網(wǎng)絡(luò);同時伴隨著攻擊入侵手段逐漸向應(yīng)用層轉(zhuǎn)移，傳統(tǒng)

2、的入侵檢測技術(shù)也逐漸無法檢測到更加隱蔽的入侵行為。針對以上背景，本文就如何高效、迅速地處理網(wǎng)絡(luò)報文并及時發(fā)現(xiàn)入侵行為為目的，研究并實現(xiàn)了一個面向高速網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)。論文的主要工作包括:
　　(1)結(jié)合應(yīng)用場景針對面向高速網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)進行需求分析，針對高速報文捕獲、攻擊檢測、多核調(diào)度、數(shù)據(jù)處理與告警展示進行總體設(shè)計和功能設(shè)計，以此確立了系統(tǒng)的架構(gòu)、功能模塊劃分和系統(tǒng)工作流程。
　　(2)通過研究Libpcap

3、+NAPI、PF_RING、DPDK三種報文捕獲技術(shù)，總結(jié)對比三種報文捕獲機制的優(yōu)缺點;結(jié)合本論文實現(xiàn)系統(tǒng)的實際應(yīng)用場景，挑選合適的技術(shù)作為基礎(chǔ)解決方案，最后基于DPDK研究并設(shè)計了一個高速報文捕獲機制。
　　(3)根據(jù)常見的DDoS攻擊CC、SYN FLOOD以及WEB應(yīng)用攻擊的攻擊特點，按照OSI網(wǎng)絡(luò)模型逐層解包分析，統(tǒng)計關(guān)鍵信息進行分析檢測，使用高速正則匹配引擎Hyperscan匹配報文應(yīng)用層內(nèi)容進行正則匹配檢測，研究并設(shè)計