面向入侵檢測的萬兆以太流量篩選系統(tǒng)的設計與實現(xiàn).pdf

1、隨著網(wǎng)絡技術的迅速發(fā)展，網(wǎng)絡鏈路的增長速度與計算機硬件的更新速度差距越來越大，這使得網(wǎng)絡入侵檢測系統(tǒng)NIDS無法勝任在10Gbps高速網(wǎng)絡環(huán)境下進行入侵檢測。本文為了提升NIDS的性能，從流量篩選角度，為NIDS添加一個流量篩選子系統(tǒng)，使其能夠接入萬兆主干網(wǎng)中進行實時檢測。
　　MONSTER是由江蘇省計算機網(wǎng)絡重點實驗室設計開發(fā)的基于濫用檢測的入侵檢測和響應系統(tǒng)。本文基于MONSTER，設計一個流量篩選子系統(tǒng)，提前篩選掉一部分流

2、量，減輕檢測模塊的負擔，使其能夠接入到萬兆主干網(wǎng)中。
　　本文首先介紹了研究背景，包含IDS、大流量環(huán)境下的入侵檢測、MONSTER、流量篩選以及烽火采集器的基礎知識。在此基礎上結合MONSTER提出了本文的研究目標和研究內(nèi)容。
　　接下來，給出了流量篩選模型的總體設計。借鑒WRED算法的思想，對流劃分優(yōu)先級，不同優(yōu)先級的流采用不同的篩選策略。當按流篩選仍不能夠緩解系統(tǒng)壓力時，則考慮流內(nèi)篩選。文中分別討論了流篩選算法和流內(nèi)篩

3、選算法對檢測模塊檢測精度的影響。
　　流識別和超點檢測是按流篩選的基礎，所以流量篩選系統(tǒng)最開始要進行流識別和超點檢測。之后闡述流篩選算法，流篩選算法依靠流的優(yōu)先級，而流的優(yōu)先級是按照黑白名單劃分的，黑名單的優(yōu)先級高，白名單的優(yōu)先級低，既不在黑名單也不在白名單的居中。黑名單內(nèi)容除了靜態(tài)配置之外，還包含超點檢測和檢測模塊反饋的結果。白名單中包含協(xié)議類型，其流量的確定要依靠協(xié)議識別技術。流內(nèi)篩選算法，主要解決相同優(yōu)先級流的篩選問題。