面向入侵檢測的萬兆以太流量篩選系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)鏈路的增長速度與計(jì)算機(jī)硬件的更新速度差距越來越大，這使得網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS無法勝任在10Gbps高速網(wǎng)絡(luò)環(huán)境下進(jìn)行入侵檢測。本文為了提升NIDS的性能，從流量篩選角度，為NIDS添加一個流量篩選子系統(tǒng)，使其能夠接入萬兆主干網(wǎng)中進(jìn)行實(shí)時檢測。
　　MONSTER是由江蘇省計(jì)算機(jī)網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室設(shè)計(jì)開發(fā)的基于濫用檢測的入侵檢測和響應(yīng)系統(tǒng)。本文基于MONSTER，設(shè)計(jì)一個流量篩選子系統(tǒng)，提前篩選掉一部分流

2、量，減輕檢測模塊的負(fù)擔(dān)，使其能夠接入到萬兆主干網(wǎng)中。
　　本文首先介紹了研究背景，包含IDS、大流量環(huán)境下的入侵檢測、MONSTER、流量篩選以及烽火采集器的基礎(chǔ)知識。在此基礎(chǔ)上結(jié)合MONSTER提出了本文的研究目標(biāo)和研究內(nèi)容。
　　接下來，給出了流量篩選模型的總體設(shè)計(jì)。借鑒WRED算法的思想，對流劃分優(yōu)先級，不同優(yōu)先級的流采用不同的篩選策略。當(dāng)按流篩選仍不能夠緩解系統(tǒng)壓力時，則考慮流內(nèi)篩選。文中分別討論了流篩選算法和流內(nèi)篩

3、選算法對檢測模塊檢測精度的影響。
　　流識別和超點(diǎn)檢測是按流篩選的基礎(chǔ)，所以流量篩選系統(tǒng)最開始要進(jìn)行流識別和超點(diǎn)檢測。之后闡述流篩選算法，流篩選算法依靠流的優(yōu)先級，而流的優(yōu)先級是按照黑白名單劃分的，黑名單的優(yōu)先級高，白名單的優(yōu)先級低，既不在黑名單也不在白名單的居中。黑名單內(nèi)容除了靜態(tài)配置之外，還包含超點(diǎn)檢測和檢測模塊反饋的結(jié)果。白名單中包含協(xié)議類型，其流量的確定要依靠協(xié)議識別技術(shù)。流內(nèi)篩選算法，主要解決相同優(yōu)先級流的篩選問題。