千兆以太网中的网络安全及入侵检测技术研究.pdfVIP

1 }¨……………………一……一一……………………一交流论坛………一 l千兆以太网中的网络安全 胡品爱 l及入侵检测技术研究 浙江传媒学院浙江杭州310018 [摘 要】千兆以太网一般应用于大型企业，服务器一旦受到病毒、黑客、恶意代码的攻击，可能对企 业造成巨大的声誉影响和财产损失，有时甚至是毁灭性的。因此，网络安全设计的重要性是不言而喻的。本 文正是基于此目的．对千兆以太网的入侵检测技术进行了详细研究，提出了具体的设计思路? [关键词]入侵检测千兆以太网 网络安全 随着科技的发展，千兆以太网已真正走进人们的实际生活应用， 一个快速、直观的字符串匹配算法。它采用了和KMP和BM全然不同 端到端的服务质量QoS、可靠性、网络安全性、扩展性以及网络管理能 的思想，该算法的基本思想是：运用映射方法和素数理论，定义一个称 力等是目前用户的主要要求。千兆以太网设备除了需要具备坚固耐用 为指纹的函数(哈希函数)，首先将模式串映射成比模式串短得多的指 的设计，使其可运作于严苛的网络环境中，还必须具备许多有用的管 纹，即二进制的位串数据，要求所构造的函数能快速扫描整个文本串， 理及监控功能，如：自行恢复系统、隔离非授权者进入系统、触发事件 并且能够迅速计算出每个长度为m的字串指纹，然后比较字串的指纹 的自动E—mail报警等。额外的功能还包括：可传送”Ping”指令查看网与模式串得指纹是否一致，如果一致，再比较字串与模式串是否确实 络区段的问题、可替连接设备设定IP地址、执行端口镜像以监视真实 匹配，该算法的关键是将大量的模式串与子串之间的比较噢阿转化为 端口的运作等。 两者之间的比较，从而提高匹配速度。 1千兆以太网入侵检测问题及现状 将KR算法直接运用于多模式匹配应用时，其计算时间复杂度也 目前，千兆以太网络入侵检测系统面临着很多困难。在快速以太 网上，传输的包的大小平均约为200字节左右，每秒约有50，000个数KR算法： 据包在传输，因此，网络入侵检测系统要想处理100M的带宽的话，每 假设P为模式的集合，P={P1，P2，P3，…．Pk}，k=lPI，为简化算法描 秒钟必须能截获这5万个数据包并进行分析处理，据权威人士估测， 现有网络入侵检测系统能处理的带宽小于100M，大部分在10M一20M 定义：Q为区间中足够大的一个素数，c为模式集P中所出现的 左右，超过此带宽时将出现严重的丢包／漏包现象，目前国内对千兆 所有字符的集合，s=IGI，R是长度为m的字符串，如下构造一个对R 以太网环境下的网络入侵检测系统的研究仍处于起步阶段。 的哈希两数： 通常从以下几方面来解决高速环境下的网络入侵检测问题：一是 m mod H(R)§nS州嘞s”2+r3s嘲+…竹mQ Q 降低分析的复杂度，如减少待匹配的攻击特征数量，显然这是不彳导已 2∑‘矿。mod ‘jl 才用的方法；二是寻找与研究更加有效的检测分析方法，或提高己有 选取Q足够大，使函数具有以下属性： 分析方法的效率，；三是改变原有网络入侵检测系统的模型，如尽量采 (t)对任意Ri，