高速網(wǎng)絡(luò)環(huán)境高性能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)是一種能有效發(fā)現(xiàn)和防御網(wǎng)絡(luò)入侵的網(wǎng)絡(luò)安全防護(hù)手段。寬帶網(wǎng)技術(shù)的發(fā)展使得網(wǎng)絡(luò)流量急劇增長(zhǎng)，同時(shí)P2P技術(shù)的發(fā)展使網(wǎng)絡(luò)數(shù)據(jù)流由HTTP協(xié)議為主的網(wǎng)絡(luò)數(shù)據(jù)流發(fā)生了改變，網(wǎng)絡(luò)數(shù)據(jù)的速度已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)入侵檢測(cè)系統(tǒng)的處理能力，高速網(wǎng)絡(luò)環(huán)境中如何提高入侵檢測(cè)系統(tǒng)的性能具有重要的研究意義。
　　 在Linux環(huán)境下，利用NAPI(中斷緩和)機(jī)制、在Linux的內(nèi)核態(tài)設(shè)置內(nèi)核態(tài)到用戶態(tài)的直接映射，減少了大流量小數(shù)據(jù)包環(huán)境

2、中斷的次數(shù)和數(shù)據(jù)拷貝的次數(shù)，對(duì)Linux中Libpcap捕包和結(jié)合NAPI機(jī)制的PF＿RING捕包的兩種捕包效率進(jìn)行了對(duì)比實(shí)驗(yàn)，實(shí)驗(yàn)表明，千兆網(wǎng)絡(luò)環(huán)境下捕包性能平均提升了25％，在小長(zhǎng)度數(shù)據(jù)包的高速網(wǎng)絡(luò)環(huán)境中，有著較好的捕包效果。
　　 通過(guò)文本串末字符的下一個(gè)字符以及文本串末字符與下一個(gè)字符的組合相關(guān)性，改進(jìn)Snort入侵檢測(cè)系統(tǒng)中BM單模匹配算法，并對(duì)原始BM算法、改進(jìn)BM算法1、改進(jìn)BM算法2進(jìn)行對(duì)比實(shí)驗(yàn)，在字符串與模式串

3、失配時(shí)最大跳躍量、匹配次數(shù)以及系統(tǒng)資源利用率上都有著較好的效果。將高效捕包技術(shù)和改進(jìn)的模式匹配算法結(jié)合，以Linux操作系統(tǒng)為平臺(tái)，結(jié)合數(shù)據(jù)庫(kù)分析管理工具、圖形化的管理界面，設(shè)計(jì)出高效入侵檢測(cè)系統(tǒng)。在仿真高速網(wǎng)絡(luò)環(huán)境中進(jìn)行了實(shí)驗(yàn)對(duì)比。
　　 實(shí)驗(yàn)表明，在高速網(wǎng)絡(luò)環(huán)境下，按照檢測(cè)率、漏檢率、誤檢率、系統(tǒng)資源利用率評(píng)價(jià)指標(biāo)對(duì)高效網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的性能進(jìn)行評(píng)測(cè)，測(cè)試結(jié)果表明在各種長(zhǎng)度的數(shù)據(jù)包環(huán)境下，入侵系統(tǒng)均有良好的檢測(cè)效率，具有實(shí)用