高性能混合入侵檢測系統(tǒng)的研究與實現(xiàn).pdf

1、入侵檢測系統(tǒng)的開發(fā)旨在發(fā)現(xiàn)具有安全隱患的入侵行為,高水準的黑客技術和利用社會工程學等手段的入侵,使得傳統(tǒng)安全設備無法完全阻止不斷增加的入侵行為。入侵檢測系統(tǒng)在大型企業(yè)中的使用,證明在控制入侵風險和減低損失都具有非常意義。
　　目前,成熟的入侵檢測產(chǎn)品重點放在誤用檢測技術上，但是對于基于主機入侵檢測所需異構數(shù)據(jù)源的采集、海量速率數(shù)據(jù)的捕獲上，仍不適應大規(guī)模網(wǎng)絡的實際情況,同時異常檢測技術的使用也不是很成熟,造成了入侵檢測漏報率居高不

2、下的結果。目前已有產(chǎn)品從采集到存儲再到處理,整個流程的性能無法滿足真實網(wǎng)絡公司的需求。為了有效解決上面問題,實現(xiàn)適應企業(yè)網(wǎng)絡環(huán)境的高效的混合入侵檢測系統(tǒng),本文做了以下工作:
　　(1)本文設計實現(xiàn)了統(tǒng)一采集技術。對于入侵檢測系統(tǒng)繁雜的數(shù)據(jù)源,實現(xiàn)統(tǒng)一采集器,滿足一次編譯多次執(zhí)行要求,只需針對每次特別需求更改配置文件,即可高效的實現(xiàn)對文本、數(shù)據(jù)庫和系統(tǒng)類型日志的采集;統(tǒng)一部署框架的實現(xiàn)解決了多臺數(shù)據(jù)源多次部署的耗時問題,集中管理的方

3、式使得采集器的下發(fā)、操作和監(jiān)控問題得以解決,從而實現(xiàn)主機采集端的高性能。
　　(2)根據(jù)網(wǎng)絡實際環(huán)境,本文設計實現(xiàn)了高性能數(shù)據(jù)包捕獲功能模塊。Gbits帶寬的網(wǎng)絡環(huán)境,使得傳統(tǒng)基于LibPcap的捕獲產(chǎn)生高的丟包率,含有不同包長度的網(wǎng)絡數(shù)據(jù)情況,進一步影響了捕包性能,鑒于此,本文中采用PF-Ring的循環(huán)隊列,結合DMA(Direct Memory Access)和NAPI(New Application Program Inte

4、rface)技術實現(xiàn)數(shù)據(jù)零拷貝,再加上NMAP的內存映射和RTIRQ(IRQ高性能補丁)的高性能硬件中斷技術,在網(wǎng)絡的關鍵節(jié)點實現(xiàn)實時的全量的數(shù)據(jù)采集,并在測試環(huán)境下給出了不同技術的實驗對比,從而實現(xiàn)網(wǎng)絡包嗅探的高性能。
　　(3)設計將深度包分析加入到誤用檢測引擎之中,使用PCRE再結合L7Filter協(xié)議模式串,在協(xié)議層高效檢測入侵行為。同時在模式匹配算法的選擇上，本文使用高性能模式匹配算法BMHS算法,只考慮文本中和模式最后

5、一個位置下一個字符的對應情況,減少了匹配次數(shù)和移動距離,模式匹配是入侵檢測系統(tǒng)的重中之重,高效率的匹配算法,實現(xiàn)誤用檢測的高性能。
　　(4)提出并實現(xiàn)了基于改進 K-means的異常檢測引擎。結合本文系統(tǒng)的實際情況,通過BIC(Bayesian Information Criterions)指標設定K的范圍而不是單單指定K的某一個值,克服了K-means初始值設定問題,增加最小合并半徑,進一步調整最后的聚類結果,同時,增加簇數(shù)量