高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)研究.pdf

1、入侵檢測(cè)技術(shù)能夠同時(shí)檢測(cè)來自系統(tǒng)外部和內(nèi)部的攻擊，并對(duì)檢測(cè)到的入侵行為作出響應(yīng)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)帶寬的迅速增長(zhǎng)，入侵檢測(cè)系統(tǒng)的處理速度由于無法與高速網(wǎng)絡(luò)帶寬相匹配而產(chǎn)生丟包，導(dǎo)致對(duì)嵌入在數(shù)據(jù)包中的入侵行為的漏檢，因此如何提高入侵檢測(cè)系統(tǒng)處理速度成為當(dāng)前研究熱點(diǎn)。 針對(duì)單個(gè)分析檢測(cè)引擎在網(wǎng)絡(luò)流量較大時(shí)不能及時(shí)處理數(shù)據(jù)而產(chǎn)生丟包的問題，設(shè)計(jì)了基于集群的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，該系統(tǒng)包括網(wǎng)絡(luò)數(shù)據(jù)包捕獲、協(xié)議分流、負(fù)載分流等9個(gè)功能模

2、塊，介紹了系統(tǒng)的數(shù)據(jù)流圖和處理流程。綜合考慮各分析檢測(cè)引擎對(duì)負(fù)載均衡、數(shù)據(jù)完整的要求和網(wǎng)絡(luò)數(shù)據(jù)包的特征，設(shè)計(jì)了負(fù)載分流算法。該算法通過將分析檢測(cè)任務(wù)分配到集群中多個(gè)分析檢測(cè)引擎，減輕單個(gè)引擎負(fù)載，提高系統(tǒng)的整體性能。針對(duì)分析檢測(cè)引擎中常用的模式匹配算法—AC_BM算法預(yù)處理時(shí)間長(zhǎng)、移動(dòng)步長(zhǎng)有待改進(jìn)的問題，提出一種改進(jìn)的多模式匹配算法—TLFSA。該匹配算法采用有限狀態(tài)自動(dòng)機(jī)構(gòu)造模式樹，能同時(shí)對(duì)多個(gè)模式進(jìn)行匹配；選擇當(dāng)前失配字符與此輪匹配