（计算机应用技术专业论文）入侵检测中负载均衡算法的分析与设计.pdf

颈士学位论文 摘要 随着网络技术的飞速发展，核心交换技术不麟握离，于兆局城网方案逐步得 到普及。律为傈璋嗣络安全的重要手段之，入侵检测系统不可避免的受到高速 网络的影响。现有的入侵检测系统大多使用软件实现，主臻采用成熟的特 正检测 字符串模式甄配算法。网络流量的增加，袁接导蕺系统负蓊呈指数级的增长，丽 现有的处理器速度无法匹配千兆以上的高速网络流爨，这将严重影响入侵检测系 统酌鞋能。 为了提离高速网络环境下入侵梭测系统的性能，本文采用专门针对网络分组 转笈丽设诗豹阚络簸理器捧为入稷梭溺系绫瓣疆 譬平台醴撵高检测速菠。酋先， 对现有入侵检测技术进行了详细讨论，以网络处理器作为系统的硬件结构，对入 侵硷测系统赫熬硬 孛绩构裁韬应算法进霉了深入分掇。睾 辩麴终魅疆器弱多c p u 相同性能的特点，引入同机动态负载均衡机制。通过改进原有基于遗传算法的 z o m a y a 受载均餐调嶷箕法，挺凄糍懿算法，将蘸漆稳获的g b p s 缀的大数掇滚按 一定的分流原则进彳亍分流，使得后端较低速入侵检测系统及时对网络分组并行处 理，从蕊实现了入侵检测系统中的镶能负载均餐。簸后，以o p n e t 幸乍为网络傍 真蜜验平台，对原算法和改进后的新算法进行了仿囊比较嶷验。 实验可以从处骥嚣的乎均利用零和任势的整体完成时阀睫着任务数的增加恧 变化两方面洙分析，分析结果表明改进后的新算法满网络德度为5 0 0 0 分缀移、 7 5 0 0 分组秒、1 0 0 0 0 分组秒时，处理器的平均利用率分别提高了7 1 、1 2 5 、 1 2 8 ，同时，降低了任务的整体究成时闻，从而提高了入侵检测系统的整体性 能。 关键词：入侵检测；负载均衡；遗传算法；网络处理器 入侵检测中负载均衡算法的分析与设计 a b s t r a c t w i t ht h en e t w o r kt e c h n o l o g i e sd e v e l o p e dr a p i d l ya n dk e r n e ls w i t c ht e c h n o l o g i e s i m p r o v e du n c e a s i n g l y ，t h el o c a la r e at h o u s a n dt r i l l i o nn e t w o r kh a sb e c o m eap o p u l a r m e t h o d a so n eo fi m p o r t a n tm e c h a n i s m st og u a r a n t e et h en e t w o r ks e c u r i t y ，i n t r u s i o n d e t e c t i o ns y s t e mi su n a v o i d a b l yf a c e dw i t ht h ec h a l l e n g eo fh i g h s p e e dn e t w o r k t h e m o s tp a r to fc u r r e n ti n t r u s i o nd e t e c t i o np r o d u c t sa r er e a l i z e db ys o f t w a r e a st h e c u r r e n ti n t r u s i o nd e t e c t i o ns y s t e m sa l m o s tt a k et h em o d em a t c h i n gm e t h o dt od e t e c t a t t a c ka c t s ，t h ec o m p u t e rl o a do fi n t r u s i o nd e t e c t i o ns y s t e mi n c r e a s e sb ye x p o n e n t i a l w h e nn e t w o r kf l o wg r o w i n g a tt h es a m et i m e ，t h ec o m p u t e rc a p a b i l i t yo fc u r r e n t p r o c e s s o r c a nn o td e a l w i t ht h eh i g h - s p e e dn e t w o r kf l o w , w h i c he f f e c t st h e p e r f o r m a n c eo fi n t r u s i o nd e t e c t i o ns y s t e ms e r i o u s l y i no r d e rt oi m p r o v et h ep e r f o r m a n c eo fi n t r u s i o nd e t e c t i o ns y s t e mi nh i g h s p e e d n e t w o r k ，t h ep a p e rt a k e st h en e t w o r kp r o c e s s o r ，d e v e l o p e df o rf o r w a r d i n gn e t w o r k p a c k a g e ss p e c i a l l y ，a st h eh a r d w a r es t r u c t u r e f i r s t l y , t h ep a p e re x p l o r e st h en e w h a r d w a r es t r u c t u r ea n dt h ea l g o r i t h m sb a s e do ni t t h e n ，a c c o r d i n ga st h en e t w o r k p r o c e s s o rh a sm u l t i p l ec p u ，t h ep a p e rc o m e su pw i t ht h ed y n a m i cl o a db a l a n c i n g m e c h a n i s m b yi m p r o v i n gt h ez o m a y aa l g o r i t h mb a s e do ng e n e t i ca l g o r i t h m ，t h e p a p e rp r o p o s e s an e wl o a db a l a n c i n g a l g o r i t h mt or e a l i z et h ei n t e l l e c t i v el o a d b a l a n c i n g ，w h i c hd i v i d e st h ed a t af l o w sb yt h el o a db a l a n c i n ga l g o r i t h mt op r o c e s s o r s b e f o r et h er e a l - t i m ed e t e c t i o n i nt h ee n do fp a p e r ，t h e r ei sa ne m u l a t i o nc o m p a r a t i v e e x p e r i m e n tb e t w e e nt h ei m p r o v e da l g o r i t h ma n dt h ez o m a y aa l g o r i t h m ，w h i c ht a k e s o p n e ta st h en e t w o r ks i m u l a t i o np a l f o r m t h er e s u l t so fe x p e r i m e n ts h o wt h a tt h ei m p r o v e da l g o r i t h mc a ni n c r e a s et h e a v e r a g eu s a g eo f p r o c e s s o r s7 1p e r c e n t ，1 2 5p e r c e n t ，1 2 8p e r c e n tw h e nt h es p e e do f n e t w o r kf l o wd i s t i n g u i s h l yi s5 0 0 0p a c k a g e sp e rs e c o n d ，7 5 0 0p a c k a g e sp e rs e c o n d ， 10 0 0 0p a c k a g e sp e rs e c o n da n dd e c r e a s et h ec o m p l e t i o nt i m eo ft h ew h o l et a s k s ， w h i c hi m p r o v e st h ep e r f o r m a n c eo fi n t r u s i o nd e t e c t i o ns y s t e m k e yw o r d s ：i n t r u s i o nd e t e c t i o n ；l o a d b a l a n c i n g ；g e n e t i ca l g o r i t h m ；n e t w o r kp r o c e s s o r 硕士学位论文 插图索引 1 1 全文的组织结构图3 2 1 计算机安全系统的闭环结构5 2 2 入侵检测系统的基本结构框图6 2 3 入侵检测系统的c i d f 模型7 2 4 异常检测模型9 2 5 误用检测模型，9 3 1 标准遗传算法的流程图2 1 4 1z o m a y a 算法示意图2 5 4 2 窗口大小和处理机的平均利用率关系2 9 4 3 窗口大小与处理器数目关系3 0 4 4 遗传算法调度示意图3 0 4 5 改进后的z o m a y a 算法示意图3 1 5 1 基于网络处理器的入侵检测系统硬件结构图3 7 5 , 2 负载均衡模型图3 8 6 1 仿真网络模型图4 3 6 2 网络流量仿真子系统框架4 4 6 3 改进后和改进前z o m a y a 算法处理器平均利用率比较4 6 6 4 改进后和改进前z o m a y a 算法处理器任务完成总时间比较4 6 图图图图图图图图图图图图图图图图图图 入爱捡涮中负载均衡冀法靛分辑与设诗 袁3 1 表4 i 表4 2 表4 3 表6 ，1 附表索弓 生物遗传概念在遗传算法中的对或关系表1 9 处理机初始状态一2 8 遗传冀法算法调度臌处理机序列2 8 z o m a y a 算法调度君的处理枫状态2 9 入侵过程的攻击分类4 5 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其 他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果 由本人承担。 作者签名：李红 日期：枷母年1 2 - 月8 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位 论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“”) 作者签名：李知 导师签名：哆v 勿彳艮v ， 。 、 日期：枷p 年1 2 月子目 日期：乒一毕年，二月占口 第1 章绪论 1 1 课题来源、目的及意义 零谍瑟褥到溃鬻省蠢然辩学墓衾瑗晷( 0 3 j j y 3 1 0 3 ) ：麓速溺络拜境下豹入爱 检测研究和国家信息化工作领导小组、计算机网络与信息安全管理工作办公室项 蟊( 2 0 0 1 一秘一0 4 1 ) ：基于多智戆体系结稳瓣霹终安全系统楚炎魏。 网络安全是一个系统的概念，有效的安全策略藏方案的制定，是网络信息安 全熬萋要嚣挺口l 。馋统上，公司一般采用瓣火壤童挈海安全的第一遴陵线，餐琏霉 攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已 经无法满足慰安全麓凄敏感豹部门麴嚣要，在这静愤嚣下，入侵捡测系统成为了 安全市场上新的热虑，不仅愈来愈多地受到人们的关注，而且已经开始在各种不 同的环境中发挥其关键作用1 2 1 。 从8 0 年代入侵检测系统出现以来，箍赣i n t e r n e t 嗣络的发崴，入侵检测豹 数搬源也发生了变化，相应的入侵检测系统经历了从基于主机的入侵检测到基于 网络的入侵梭测。 高速网络技术如a t m 、干兆以太网等的迅速发展，目前高速网络设备的背板交 换能力己运粥数6 b p s 或数十g b p s ，甚至上酉g b p s ，在此背激下翡备种宽带接入手 段层出不穷。如何实现高速网络环境下的实时入侵检测已缀成为目前所面临的问 蘧” 。目前静子荛l d s 产品其性雏措标与实际要求稳差穰远，由予大多是基予工控 机的软件产晶，其数据采集速率运埏不能满足网络豹高速发展，当网络流摄真正 接j 蓬子莼露，这些产嚣秘褴麓鹭丈大下降，丢惫率缀惠，入餐捡溺系统厂赛键对 此问题并不隐讳，因为现在处理器的发展速度已跟不上网络的发展速度，这是所 毒入侵捡测系统厂蠢嚣臻垂擘莛霹溺爨。 如何实观高速宽带网络中实时入侵检测已经成为目前网络安全所面临的问 题。在这静憾嚣下，羧妇露裂放系统缭拇、襞赂管理、捡测技术等鍪个层次曼提出 并实现新的入侵检测方法，来适应网络技术的高速发展，遮到在高速网络环境下 近似实时的入侵检测。 本课题的研究不仅为高速网络环境下的入侵裣测的建寂和应用提供新的理论 和技术，而殷为目前安全交换机、鼹由器种防火墙提供新的思路和方法。因此， 无论在理论研究，还怒潜在的应用上，都其有重要的意义。 1 。2 研究内窭 本谍题针对日魏入侵检测系统的处理速率远远不能满足网络的高速发展，提 入橙检测中负载均衡算法的分析与设计 出一个凝弱鲻络安垒产晶硬 孛簿系结擒。攒采矮溺络处瑷嚣在阚终底暴实糯鼹耀 络数据包的采集和分析，建立一个实时数据采集速率可达5 1 2 g b p s 的高速网络环 境下瓣入侵梭测系绫。 网络处理器是专门为实现网络分组转发丽设计的处理器，优化了指令集和硬 传级势 亍处耀，克黢了基于c p u 的软 牛实瑷虽然灵活，但缀难获褥菇性熊秘基于 a s i c 的硬件实现虽然性能商，但灵活性很差，而且费用离的缺点。由于网络处 理器包含有7 个相闷性能的c p u ，使鄹络处理器发挥最大性能驰闼题属于嗣机动 态负载均衡问题。负载均衡( l o a db a l a n c i n g ) 指在榘群环境中，邋过什么样的逻 辑来保证各个服务器( 或处理器) 的计算量与其自身性能之比尽量相等，从而在 提商服务器嗣用率的基础上减少整体任务完成对阐m “】。在掰络戮理器基础上实 现负载均衡缀于同机动态负载均衡。现在的研究中多是用扁发式搜索算法米解决 同梳动态受载均衡豹滔题，在援索算法中遗传算法扶援索深度帮全局性来说都瞧 能最好。课题的研究内容主蒙包括入侵检测系统、网络处理器和负载均衡技术三 个方强。本文豹重点在于对蘑子遗佟算法豹受载鹭籀调度算法迸季亍分辑帮设计。 1 。3 本文童要工作 论文的生要目标是把负载均衡技术应用于入侵检测系统中，狂基于网络处理 器豹疆箨搭系绩梅土，采掰受载稳缀算法辩瓣络黎据色进符分滚蠢薤理，龆捷a 侵检测速度，从而提高入侵检测系统熬体的效率。首先在网络处理器上运行 z o m a y a 提爨瓣蒸予逡传算法的受载沟餐算法( z o m a y a 算法) ，发瑗窀豹苓筵，黯 其进行分析和改进，最后运用o p n e t 仿真软件进行网络流量模拟，对改进前后 豹雾法进行傍真实验，实验臻暴表爨：改逡爱豹算法毙较好戆窭瑗受载均餐，傻 入侵检测系统获得较好性能。主要工作为： 1 、扶人侵梭测系统的功能、分类、检测技术等备个方瑶，对现蠢入侵检测系绞 ：i 行深入分析；并对高道网络环境下，影响入侵检测系统性能的主要问题进行 讨论； 2 、分析和研究现有负载均衡技术，包括负载描述、服务器问通信方式、初始亿 及负载均缀分配掇作；重点研究负载均德分配操作，并以基于遗传算法的负载 均衡算法为实例进行了阐述： 3 、论述y z o m a y a 提出的运用遗传算法实现负载均衡的算法，针对i x p l 2 0 0 网络 娥理器这一特定环境，分辑该算法存在的竭限牲荠对此进行改遵，提出改进盾 的新算法； 4 、对系统遴行缩鞫设计和建模，著角仿真软件模拟嚣络环境，辩藏算法耨改遴 后的算法进行仿真比较实验。 嫒学位沦文 1 。4 论文结构 本文共分6 章。第1 章为绪论，主要撮出项目来源、圈的、意义以及相关的 臻究莺景，阕越分缨了本文矮墩戆主要工嚣。第2 牵主要分褥入侵捡测系统，包 括入侵检测系统的功能、分炎、检测技术，提出在高速网络环境下，入侵检测存 在的闼题。镑对解决入侵捡测耍临蚋检测效率目戆，采用阙络处理器的耨的硬件 体系结构，并研究了负载均衡技术。第3 窜对负载均衡算法迸行分析。第4 章实 现了z o m a y a 葵法，它是由y 。z o m a y a 提出的用遗传簿法来实现负载均衡蛉静算 法，针对算法的不足进行改进，提出一种新的负载均衡算法，第5 、6 章构造入侵 检测系统模型，并慰z o m a y a 算法及额算法进行仿真实验，比较鼹者的性能。结 论部分介绍本文已究成的工作及迸步工作静展望。各章豹联系与垒文的组织结 构如图1 1 所示： 第1 章绪论 l 第2 章相关研究综述 第3 章受载玛囊调度算法努褥 第4 章基于遗传算法的负载均衡新算法 ； r 第5 章负载均衡新算法的硬件实现和系统建模 筹s 枣系统傍囊测试 j 。 结论 固1 全文的缀缓臻构圉 入侵检测中负载均衡算法的分析与设训 1 5 小结 随着现在高速嘲络的发展，已有的入侵检测系统暴露出了1 ；足之处，主要体 现在入侵检测系统的体系结构和检测效率上。本文提出的将基于遗传算法的负载 均衡算法用于入侵检测，结台网络处理器的硬件体系结构，能提高整体入侵检测 系统的性能，对入侵检测系统的发展有着现实意义。 系统的性能，对入侵检测系统的发展有着现实意义。 硕士学垃论文 第2 章相关研究综述 2 1 入侵检测系统概述 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无 法回避的问题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道 防线。而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的 防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种 纵深的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样 的复杂的设备需要不断升级、补漏的系统，使得网络管理员的工作不断加重，不 经意的疏忽便有可能造成安全的重大隐患。企业经常在防火墙系统上投入大量的 资金，在i n t e r n e t 入口处部署防火墙系统来保证安全。依赖防火墙建立网络的组 织往往是“外紧内松”，无法阻止内部人员所做的攻击，对信息流的控制缺乏灵活 性，从外面看似非常安全，但内部缺乏必要的安全措旌。据统计，全球8 0 以上 的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力， 对于企业内部人员所做的攻击，防火墙形同虚设。 防火墙技术实际上是一种静态防护技术，作为对防火墙技术的补充”1 。j a m e s e a n d e r s o n 在1 9 8 0 年4 月第一次提出入侵检测的概念【7j ，这种动态主动的保护系 统也使得入侵检测正成为计算机网络安全的核心研究问题，成为实现网络安全的 新的解决策略。引入入侵检测技术，相当于在计算机系统中引入了一个闭环的安 全簧略”1 ，如图2 1 所示。计算机的多种安全策略，如：防火墙、身份认证、访 问控制、数据加密等，通过入侵检测系统进行安全策略的反馈，从而进行及时的 修正，大大提高了系统的安全性。 图2 1 计算机安全系统的闭环结构 在这种环境下，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的 入侵检测中负载均筏算法的分析与设计 受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。 “入侵”( i n t r u s i o n ) 是个广义的概念，不仅包括被发起攻击的人( 如恶意的 黑客) 取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问 ( d e n i a lo f s e r v i c e ) 等对计算机系统造成危害的行为。入侵检测( i n t r u s i o n d e t e c t i o n ) ，顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系 统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反 安全策略的行为和被攻击的迹象。目前，大多数的入侵检测系统由三个基本的功 能模块组成：事件提取，入侵分析和入侵响应。事件提取模块从信息源获取数据。 数据的来源可以取自系统的不同层次，可以是主机的日志信息、系统状态变化信 息，也可以是网络上的数据信息，甚至是流量变化等。入侵分析部分的作用在丁 对来自信息源的数据进行深入分析，判断是否正有入侵或已有入侵发生，并传递 结果给处理模块。入侵响应即结果处理。该模块的作用在于对系统所检测到的入 侵作出一组报警或警告。一个通用的入侵检测系统的基本结构框图 1 0 1 如图2 2 所 刀i ： 图2 , 2 入侵检测系统的基本结构框图 进行入侵检测的软件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o n s y s t e m ，简称i d s ) 。与其他安全产品不同的是。入侵检测系统需要更多的智能， 它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系 统能大大的简化管理员的t 作，保证网络安全的运行。 具体说来，入侵检测系统的主要功能有： 1 、 监测并分析用户和系统的活动； 2 、 核查系统配置和漏洞； 3 、 评估系统关键资源和数据文件的完整性； 4 、识别已知的攻击行为： 5 、 统计分析异常行为： 6 、 操作系统日志管理，并识别违反安全策略的用户活动。 由丁入侵检测系统的市场在近几年中琶速发展，许多公司投入到这一领域上 来。除了国外的i s s 、a x e n t 、n f r 、c i s c o 等公司外，国内也有数家公司( 如中联 绿盟，中科网威等) 推出了自己相麻的产品。但就目前而言，入侵检测系统还缺 硕士学位论文 乏相应的标准。目前，试图对i d s 进行标准化的工作有两个组织：i e t f 的i n t r u s i o n d e t e c t i o n w o r k i n gg r o u p ( i d w g ) 和c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) ，但进展都非常缓慢，尚没有被广泛接受的标准出台。 2 1 1 入侵检测系统通用模型 i d s 发展的时间还很短暂，目前并没有统一的结构模型。每种入侵检测系统在 细节上有很大的差别，但是他们在总体结构上都是按照一种通用模型来设计的。 美国国防高级研究计划署d a r p a 提出的建议是公共入侵检测框架c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ( c 1 d f ) ，阐述了一个入侵检测系统( i d s ) 的通用 模型。c i d f 所做的工作主要包括四部分】：i d s 的体系结构、通信机制、描述语 言和应用编程接口a p i 。 c 1 d f 在1 d e s 和n 1 d e s 的基础上提出了一个通用模型，将入侵检测系统分为四 个基本组件【l2 】：事件产生器( e v e n tg e n e r a t o r s ) 、事件分析器( e v e n ta n a l y z e r s ) ， 响应应单元( r e s p o n s eu n i t s ) 、事件数据库( e v e n td a t a b a s e s ) ，如图2 3 所示。 在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现， 而事件数据库则往往是文件或数据流的形式，很多i d s 厂商都以数据收集部分、 数据分析部分和控制台部分三个术语来分别代替事件产生器、事件分析器和响应 单元。c i d f 将i d s 需要分析的数据统称为事件，它可以是网络中的数据包，也可 以是从系统日志或其他途径得到的信息。 储信息 图2 3 入侵检测系统的c l d f 模型 以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至 线程，也可能是多个计算机上的多个进程，它们以g i d o ( 统一入侵检测对象) 格式进行数据交换。g i d o 是对事件进行编码的标准通用格式( 由c i d f 描述语言 入侵检测中负载均衡算法的分析与设计 c i s l 定义) ，g i d o 可以足发生在系统中的审计事件，也可以是对审计事件的分 析结果。 2 1 2i d s 分类 入侵检测是一种主动的安全防护技术，提供对内部攻击、外部攻击和误操作 的实时保护，能在网络系统受到危害之前拦截和响应入侵。按获得原始数据的方 法主要有两种入侵检测体系结构：基于主机( h i d s ) 、基于网络( n i d s ) 。另一 种分类方法是按检测所采用的技术将入侵检测系统分为异常入侵检测和误用入侵 检测。根据入侵检测的体系结构来划分，可以分为集中式入侵检测和分布式入侵 检测 1 3 、1 4 1 。 首先介绍基于主机入侵检测系统和基于网络入侵检测系统。 基于主机的入侵检测出现在8 0 年代初期，那时网络还没有今天这样普遍、复 杂，且网络之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的检 验记录是很常见的操作。主机型入侵检测系统往往以系统曰志、应用程序日志等 作为数据源，当然也可以通过其他手段( 如监督系统调用) 从所在的主机收集信 息进行分析。通常，基于主机的i d s 可监测系统、事件和w i n d o w n t 下的安全 记录以及u n i x 环境下的系统记录。当有文件发生变化时，i d s 将新的记录条目与 攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的 目标报告，以采取措旌。主机型入侵检测系统一般保护的是其所在的系统。 基于网络的入侵检测系统使用原始网络数据包作为数据源，往往将一台机子 的网卡设于混杂模式( p r o m i s em o d e ) ，监听所有本网段内的数据包并进行判断。 一般网络型入侵检测系统担负着保护整个网段的任务。基于网络的i d s 通常利用 一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业 务。它的攻击识别模块通常使用四种常用技术来识别攻击标志：模式、表达式或 字节匹配频率或穿越阀值低级事件的相关性，统计学意义上的非常规则现象检测。 一日检测到了攻击行为，i d s 的响应模块就提供多种选项以通知、报警并对攻击 采取相应的反应。反应因产品而异，但通常都包括通知管理员、中断连接或为法 庭分析和证据收集而做的会话记录。 不难看出，网络型i d s 的优点主要是简便，个网段上只需安装一个或几个 这样的系统，便可以监测整个网段的情况。且由于往往分出单独的计算机做这种 虑用，不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复 杂和高速网络的普及，这种结构正受到越来越大的挑战。一个典型的例子便是交 换式以太网。而主机型i d s 虽然必须为不同平台开发不同的程序、增加系统负荷、 所需安装数量众多，不如基_ 丁网络的入侵检查系统快捷等，但是内在结构却没有 任何束缚，同时可以利用操作系统本身提供的功能结合异常分析，更准确的报告 坝士学位论文 攻击行为。 下面对异常入侵检测和误用入侵检测进行阐述。 异常入侵检测( a n o m a l yd e t e c t i o n ) 又称为基于行为的入侵检测，是用定量 方式描述可接受的行为特征，以区分非正常的、潜在的入侵行为。常见的异常入 侵检测有：统计异常检测方法 ”、基于特征选择异常检测方法【1 ”、基于贝叶斯推 理异常检测方法 ”】、基于神经网络异常检测方法1 17 1 。基于机器学习的检测方法 0 s 、基于数据挖掘检测方法。 异常检测技术的优点在于可以实现对未知入侵行为的预报能力，但它存在较 高的误报率。异常检测技术的关键在于用户行为的建模、阈值的选取、及其系统 特征量的选择，这些都与检测的准确性有很大关系。该模型的结构如图2 4 所示： 围24 异常检测模型 误用入侵检测( m i s u s ed e t e c t i o n ) 又称基于知识的入侵检测，是通过按预先 定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测是否有入侵行 为发生。它假设具有能够被准确地按某种方式编码的攻击，并可以通过捕获攻击 和重新整理，确认入侵行为是基于同一弱点进行攻击的入侵方法的变种。常见的 误用入侵检测有：基于条件概率的入侵检测、基于键盘监控的入侵检测 2 0 1 、基于 专家系统误用入侵检测【l ”、基于生物免疫的入侵检测 2 t 。 图2 5 误用检测模型 入侵检测中负载均衡算法的分析与设计 误用检测技术的优点在于可以准确地检测已知的入侵行为，但它不能检测未 知的入侵行为。它的关键之处在于对入侵行为的描述。其检测模型如图2 5 所示： 接下来论述集中式入侵检测和分布式入侵检测。 传统的集中式i d s 的基本模型是在网络的不同网段放置多个探测器收集当前 网络状态的信息，然后将这些信息传送到中央控制台进行处理分析。这种方式存 在明显的缺陷。首先，对于大规模的分布式攻击，中央控制台的负荷将会超过其 处理极限，这种情况会造成大量信息处理的遗漏，导致漏警率的增高。其次，多 个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担，导致网络 系统性能的降低。再者，由于网络传输韵时延问题，中央控制台处理的网络数据 包中所包含的信息只反映了探测器接收到它时网络的状态，不能实时反映当前网 络状态。 在早期的网络环境中，由于网络规模小、层次简单、网络通讯速度慢，因此 可以做到信息实时的中心处理方法。随着高速网络的发展，网络范围的拓宽，各 种分布式网络技术、网络服务的发展，使原来的网络入侵检测系统很难适应现在 的状况。冈此有必要把检测分析过程也实现分布。 分布式入侵检测有两方面的含义，一是针对分布式攻击的入侵检测技术，二 是入侵检测系统采用分布式计算技术。通常所说的分布式入侵检测包含上述的某 一个或两个方面。分布式入侵检测技术的主要难点是各部件间的协作和事件及攻 击的相关性分析。分布式入侵检测系统部件问的协作通常采用两种方式，一是采 用分散式协作即事件的相关性分析分散进行，系统的各部件相互独立，又相互 协作，但没有集中控制，任何一个部件发现可疑事件或攻击行为后，都通知其它 部件。这个部件也接收其它部件的事件和告警通知，并根据收到的通知和自己的 状态以及收集到的其它信息进行分析，发现攻击后又通知其它部件。不过，在这 种互相通知过程中，要防止一个事件在某个部件里重复起作用；二是集中式协作， 即相关性分析集中进行。系统有一个决策部件和多个检测部件，检测部件检测到 异常后，通知决策部件，决策部件根据各检测部件的通知进行相关性分析，判断 是否受到了攻击。这是当前技术的难点和研究的热点，但是，尚没有见到成熟的、 在实际中十分有效的理论或产品。 2 。1 3 入侵检测技术 无论基于网络还是基于主机的入侵检测系统，所采用的技术主要有特征检测 与异常检测以及协议分析。除传统的技术外，智能化的检测方法也能有效的进行 入侵检测。 据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入 侵检测产品中9 5 是属丁使用入侵模板进行模式匹配的特征检测产品。模式匹配 硕士学位论文 ( s i g n a t u r e b a s e dd e t e c t i o n ) 就是将收集到的信息与已知的网络入侵和系统误用模 式数据库进行比较，来发现违背安全策略的入侵行为。该过程可以很简单，也可 以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只 需收集相关的数据集合就能进行判断，能减少系统占用，并且技术已相当成熟， 检测准确率和效率也相当高。但是，该技术不能检测未知攻击手段，需要不断进 行升级以对付不断出现的攻击手法。 异常检测( a n o m a l yd e t e c t i o n ) 首先给系统对象( 用户、文件、居录和设备等) 创建一个统计描述，包括统计正常使用时的测量属性，如访问次数、操作失败次 数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较，当观察值 在正常值范围之外时，i d s 就判断有入侵发生。异常检测的优点是可以检测到来 知入侵和复杂的入侵，缺点是误报、漏报率高。 协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技 术。它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析 和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成熟应用 阶段。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析 所有的数据包。 已有的智能化算法包括统计检测、专家系统和机器学习算法。机器学习算法 为当前检测算法注入了新的活力，包括计算机免疫技术、神经网络技术和遗传算 法【2 ”。 统计检测，统计模型常用异常检测，在统计模型中常用的测量参数包括：审 计事件的数量、间隔时间、资源消耗情况等。常用入侵检测的5 种统计模型为：操 作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标 可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失 败的登录很有可能是口令尝试攻击；方差，计算参数的方差，设定其置信区间， 当测量值超过置信区间的范围时表明有可能是异常；多元模型，操作模型的扩展， 通过同时分析多个参数实现检测；马尔柯夫过程模型，将每种类型的事件定义为 系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，状态矩阵转 移的概率较小则可能是异常事件：时间序列分析j 将事件计数与资源消耗根据时 间排成序列，如果个新事件在该时间发生的概率较低，则该事件可能是入侵。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出 率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵 事件符合正常操作的统计规律，从而透过入侵检测系统。 用专家系统对入侵进行检测1 2 3 1 ，经常是针对有特征的入侵行为。所旧的规则， 即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家 系统的建立依赖二j _ i 知识库的完备性，知识库的完备性又取决于审计记录的完备性 入授捡溅孛受载缘餐算法靛分辑与设计 与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系缝实现中， 将有关入侵的知识转化为i 卜t h e n 结构( 也可以是复合结构) ，条件部分为入侵特征， t h e n 部分是系统防范措施。运用专家系统防藏特征入侵行为的有效饿完全取决于 专家系统知识库的完备性。 计算机免疫技术是直接受到生物免疫机制的启发丽提出的。生物系统中的脆 弱瞧因素都楚由免痰系统来妥善赴瑷的，丽这种受痰机制谯处理外来异体时呈现 了分稚的、多样性的、自治的以及自修复的特征，免疫系统通过识别异常或以前 未遗糯的特征来确定入侵。计算税兔疫技术为入侵检测提供了愚路，帮通过正常 行为的学习来识别不符合常态的行为序列。在这方丽已经作了若干研究工作，仍 寿待予透一步深入。 神经网络技术在入侵检测中研究的时间较长，并在不断发展。早期的研究通 遥诩练彝螽转捧享枣经疆络亲谖裂毫鳎戆瓣络入授，遗一步鹾究瑷裂泰知静黼络入 侵行为。今天的神经网络技术已经舆备相当强的攻击模式分析能力，它能够较好 遮她理带噪声鹣数攒，瑟量分据速痰缀抉，蔼鞋鼹予实嚣分橱。瑗在提窭了各静 其他的神经网络架构，诸如自组织特征映射网络等，以期克服向蜃传播网络的若 干嫩剃性缺陷。 遗传算法在入侵内检测中的应用时间不长，在一些研究试验中，利用若干字 符攀序列寒定义用予分板检溅豹指令瞧，用默识别惩常或兹异常费淹的这黧据令 在初始训练阶段中不断进化，提高分析能力。该算法的应用还有待于迸一步的研 究。 2 1 4 宽带网络环境下入侵检渊系统的不足 嚣对穗终懿裹遮发爱，瑷枣i d s 呈瑷窭了不避。 对于基于网络的i d s 而言，首先是它无法在交换式的网络中工作。由于现有 i d s 大聱傍采爰混袈模式获取数据，因挖炎齄截获凝一令藏寿鞭的足令睡骚上戆 数据包，而现在网络越来越多地使用交换环境，这对目前的i d s 鼹一种挑战。其 次，大多数i d s 无法在毫带宠的巧壤下工终。基于网络的i d s 位予网络豹中心位 嚣，它要坚持不断地分析和储藏整个网络中所有主机所传输的数据，因此在数据 的存髓差鞋处理上都辔在局限性。目裁，大多数i d s 只能在1 0 0 m b 以下的网络中 t 作，一h 带宽过商就会出现丢包现象，因此严重影响检测的准确性。对于分布 式i d s ，由丁现有的分靠式i d s 通辫由许多分布在傧息系统各处的数据采集模块 和一个处理能力很强的中心处理模块组成。这稃结构有以下两方面不足：一方面， 随整网络带窕的增加，中心处理模块计算能力的要求也越来越高，并且中心处理 模块一疆失效，整个系统虢会瘫痪；另方面，遮芹中i d s 本身的邋信量穰大，f 专 用了过多的阀络带宽。采用这种结构的系统有u cd a v i s 提出的g r i d s 和l o s 联学靛论文 a l a m o s 国家实验室提爨躲n a d i r 系统等。美国p u r d u e 大学安全研究小缝挺出 的基于多自治代理的i d s 结构，由3 种不同的代理进程组成，根据系统复杂程度 裹低可以组成数娶不隧的层次。与裁瑟熬申心处理模式相魄，这耪缝构较好地解 决了负载平衡的问题。此外，由于采用分层的结构，不同塌次处理抽象程度不同 的数据，这也使得农系统的各个代璞进程之间通信的数据餐显著城少。但该系统 没有很好地瓣决结构上的单点失效问题，在系统中不同代理进程的簪乏败，对整个 系统商程度不同的影响，有的代理遴程失效后，整个系统就会瘫痪。 强一方蕊，面对商带宽下巨大酌弼络流量，用予入侵稔测的处理器也汗始出 现危机。在网络发展初期，网络传输速率比较低，数据流摄比较小，这个时候的 阚络设备一般都是藏于c p u 的，。帮通过c p u 上运行榴关软件来实现各种潮络功 能，其好处是具有很商的灵活性，但其缺点瞧是很明显的，c p u 除了要处理日常 系统运算之静，还簧箍瑾丽络建臻瀚运算，遴诧，瓣络斑蹋翡娃囊速度茳德因为 c p u 的瓶颈而显得鞭不上线路的传输速度和端口眷吐率。这一现象在包含大量复 杂诗簿戆丽终安全瘦露孛显褥炎曳骥曩，巍显这一矛瘗夔罄窕带两络帮手熬瓣豹 广泛应用显得日益突出。 南默上戆分辑，霉鞋簧蹬在竟磐掰终黪壤下，嚣对重大戆嚣终浚量，鳐舞提 高入侵检测的效率和提高处理器的性能是入侵检测繇统研究迫切需熊解决的的问 蓬。 2 2 网络处理器 当前和朱来的网络设备处理部件既需要高性黥，又需骚高灵活性。暇是在 c p u 积a s i c 技术郝无法潢是这争争双重要求的情况下，出现了嬲络处理嚣技术。 网络处理器通过良好的体系结构设计和专门针对网络处理优化的部件，为上层提 供了一个可编程控制的环蟪，可以缀好地解决硬彳牛抛速_ 帮软件可扩耀的折衷阔题。 网络处理器怒一种可编程的设备( 比较典型的是一种芯片) ，它被经过专门设计和 高威优化来寇成各种网络功能。事实上，网络处理器不仅仅是指某一类设器或产 品，丽更广泛地代袭了一种网络设计的技术理念。帮随着两络系统的逐渐戒熬， 网络处理器本质上是对一个日益复杂的多目标系统( 典型的是网络高速度和服务 多样纯这2 个并存静嚣标) 迸行抗诧酶过程。为了达舞这个磊静，必须在多个磊 标之间获得禁种最佳的折衷。网络处理器缀舆型地体现了这一思想，即在高性能、 灵活性帮价格等冗个鬻际之闯迸幸亍了良好豹辑衷。饶异静镶俊篦弱离瘦弱爱活往 是网络处理器在i p 网络设备开发方面的2 个主要优势。 2 2 1 两络处理黼与通翔c p u 及a s l c 的跑较 在网络发展初期，网络传输的速率比较 氐，业务量比较少，关于嬲络的研究 入侵检测中负载均衡算法的分析与设计 主要集中在完善网络协议和构建服务体系结构上。这个时期的网络设备般基于 c p u ，即通过在c p u 上运行相关软件来实现各种网络功能。其好处是具有很高的 灵活性，即通过更新软件，可以很方便地完善原有功能或加入新的功能和服务特 性。但其缺点是处理速度慢、吞吐率低。不过这种性能在当时是可以接受的，因 为路由器转发分组的