高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)動(dòng)態(tài)負(fù)載均衡策略的研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展,層出不窮的網(wǎng)絡(luò)攻擊手段給網(wǎng)絡(luò)安全帶來(lái)了嚴(yán)峻的考驗(yàn),傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如加密、防火墻等只是靜態(tài)的網(wǎng)絡(luò)安全技術(shù),不能適應(yīng)當(dāng)前動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境,入侵檢測(cè)技術(shù)作為一種動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)逐漸引起人們的重視。然而,高速網(wǎng)絡(luò)環(huán)境下,傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)的處理速度無(wú)法與高速網(wǎng)絡(luò)帶寬相匹配,導(dǎo)致大量入侵行為的漏檢。解決這個(gè)問(wèn)題的一個(gè)重要方法是將負(fù)載均衡技術(shù)應(yīng)用到NIDS中,利用負(fù)載均衡器分流網(wǎng)絡(luò)數(shù)據(jù)包,減輕單

2、個(gè)入侵檢測(cè)節(jié)點(diǎn)的負(fù)載,使得整個(gè)NIDS適應(yīng)高速網(wǎng)絡(luò)的流量壓力。
　　 采用傳統(tǒng)負(fù)載均衡策略的NIDS存在丟包率高、檢測(cè)率低的問(wèn)題,本文針對(duì)這些問(wèn)題,提出一個(gè)NIDS動(dòng)態(tài)層次負(fù)載均衡策略(DHLB,Dynamic HierarchicalLoad-Balancing)。該策略充分考慮每一個(gè)節(jié)點(diǎn)的實(shí)時(shí)負(fù)載和響應(yīng)能力,以會(huì)話為單位進(jìn)行均衡,將同一會(huì)話的所有包發(fā)給同一檢測(cè)引擎進(jìn)行分析,策略分為二個(gè)階段,首先通過(guò)協(xié)議分流出被檢測(cè)網(wǎng)段內(nèi)主要

3、服務(wù)類型流量,其余類型的流量合并為一類,然后將每一種類型的流量通過(guò)對(duì)數(shù)據(jù)包的特征域做簡(jiǎn)單高效的Hash運(yùn)算分配到各檢測(cè)引擎進(jìn)行檢測(cè),并對(duì)檢測(cè)引擎的過(guò)載流量進(jìn)行合理調(diào)度。
　　 基于本文提出的NIDS動(dòng)態(tài)層次負(fù)載均衡策略,設(shè)計(jì)、實(shí)現(xiàn)負(fù)載均衡模塊,為驗(yàn)證DHLB策略的負(fù)載均衡效果,設(shè)計(jì)一種基于Snort入侵檢測(cè)系統(tǒng)的負(fù)載均衡策略測(cè)試方案。測(cè)試使用MIT林肯實(shí)驗(yàn)室的DARPA1999 IDS測(cè)試數(shù)據(jù)集,通過(guò)網(wǎng)絡(luò)流量和丟包率、檢測(cè)率來(lái)分