高速网络环境下的报文监测.pdf

摘要 高速网络环境1=．的报文监测 王韬，龚俭东南大学 随着各种网络攻击手段的多元化、复杂化、智能化，单纯依赖传统的操作系统加嘲技术 和防火墙隔离技术等静态防御已难以胜任网络安全的需要。IDS作为动态安全技术之一，提 供了实时的入侵检测，并能做出记录、报警、阻断等反应，提供了更为积极的防御手段，近 年得到快速的发展。 高速局域网和光纤通信等新技术的应用给网络性能和流量带宽带来了巨大的增长。从最 初以K为单位的网络速度到10M／100M网络，到现在千兆网络，这些变革对IDS的处理性 能提出了更高的要求。高速网络下的实时入侵检测已经成为入侵检测研究领域的一个热点和 难点，而如何实现千兆环境下的实时报文监测是提高入侵检测能力的一个普遍问题。 论文分别从操作系统内核、网络物理接口以及报文分类算法等方面分析和阐述了影响报 文监测性能的因素，提出优化和改进的方法和途径，并实现一个适用于高速IP网络环境的 报文监测模型。论文中首先介绍了报文监测的研究背景以及发展现状，提出了在高速网络环 境F报文采集的重要性和需求，并且明确了论文工作的研究目标和研究内容。大多数NIDS 是使用通用的包获取库来获取网络上的报文，这些库对于大部分应用效果较好。但对于高速 网络环境下需要高效数据获取的应用场合，它的效率并不能满足应用程序的要求。问时网昔 传统的T作方式是依靠从网络上抓包，再从网卡缓存拷贝到上层系统，这个拷贝过程占用大 量CPU资源，造成了整体性能下降。论文对操作系统内核和网络接口驱动进行了分析，指 山了目前操作系统网络实现的局限性。论文设计并实现了DUMA采集模型，并给出了DUMA 采集模型的性能分析和实验结果，为NIDS数据源的采集性能作出了保障。 报文采集的功能要求根据用户规则对报文进行过滤，从某种意义上也就是根据用户规则 对报文进行分类，对不同种类报文采取不同的过滤动作．因此论文中对目前国际上流行的高 速报文分类算法进行了讨论。另外由于滥用入侵检测系统的规则具备表达能力强、更新复杂 度低等特点，论文中对无相交树报文分类算法提出了优化和改进，从算法上给予报文分类的 性能提升。在对报文监测的采集和分类两个部分进行分析和实现的基础上，论文最后给出了 报文监测模型在MONSTER系统中的应用，充分阐述了报文监测在实际应用系统中体系结 构、数据流程等各个方面，验证了其实用价值。 随着用户对网络带宽、高速流量等需求不断增加，入侵检测技术迫切需要进一步创新和 性能改进以适应高速环境下的安全防护。本论文给出的报文监测模型很好地解决了在高速网 络环境下对网络报文的截取和分类的问题，为高性能的入侵检测系统的奠定了基础，此外模 型对于高速网络环境F的某些应用领域也提供了一种性能保证。 【关键字】 报文采集， 报文分类，高速翻络，八侵检测， 千兆以太网 I Abswact Abstract PacketSensorOn Network HighSpeed WANGTap Southeast GONG．Hart University Withthe evolutionofnetwork more becomesandmore attack，it pluralistic， and cannotmeetthedemandofnetwork complex intelligent．It securityjust