高速入侵检测技术的发展研究.pdf

高速入侵检测技术的发展 高速入侵检测技术的发展 北京北方计算中心孔铁生 00091) (北京1930信葙24号1 摘 要高速网络应用环境对入侵拴测技术提出了更高要求．高速阐络环境要求[DS的数据通过处理能力 高；要求IDS必须具有协议细节处理能力；要求IDS具有高效特征匹配拴测处理能力．这些都对高速|DS技 术提出了更高要求．高速IDS技术需要解决包括高速数据处理和大数据量存储等关键技术问题，这些问题包 括：高速数据捕获技术、高速数据分析技术、海量数据与报警队列存储处理技术。必须解凌1DS大数据量的 存储-9管理问题和高报警率引发曲CryWoff问题．本戈介绍了目前高速翻络IDS在数据捕获、数据分析、硬 件加速技术和海量报警存储与分析方面的进展． 关键词 入侵检测技术 高速数据捕获技术 高速数据分析技术 报警队列 随着信息技术的发展，网络传输速度越来越快，应用服务所占用的带宽也越来越宽。以 千兆以太网为代表的应用服务所依托的高速网络环境，对入侵检测技术提出了更高的要求。 根据资料，在千兆以太网环境中，数据流速率超过每秒40万包，而目前作为IDS基础的普通 操作系统嗅探引擎在处理超过15万包，每秒的网络流量时就会出现问题。 高速网络环境的特点是数据量大，要求IDS的数据通过处理能力高：同时，现代入侵检 测技术需要对数据进行更为精细的协议处理，包括进行IP--Defrag、TCP重组处理和其它必 要的协议参数解析，要求IDS必须具有协议细节处理能力；而且目前大部份IDS采用特征检 测处理模式，随着新攻击的出现，攻击特征库会不断膨胀，要求IDS具有高效特征匹配检测 处理能力。这些都对高速IDS技术提出了更高要求。 在高速网络环境下，数据量大．数据率高。高速IDS技术需要解决包括高速数据处理和 大数据量存储等关键技术问题，这些问题包括： 高速数据包捕获技术：数据捕获是最基本的IDS操作。高速数据捕获技术必须高效地实 现数据从网卡接收到用户IDS处理空间的传递。传统的IDS数据捕获技术利用通用操作系统 的协议栈、避用网卡驱动程序和Libpcap数据捕获接口实现，需要利用系统调用处理网卡中 断和从内核存储空间到用户存储空间多次数据拷贝。根据分析Linux的中断系统调用每次需 要900条左右切换指令，且从网卡内核空间到用户空间数据需要经过3级拷贝。Pc机的存储 四分之一的处理能力。系统效率低。 高速数据分析技术：IBS数据分析的算法效率是制约IDs处理能力的另一重要因素．不同 的检测算法的检测效率相差很大。 海量数据与报警队列存储处理技术：伴随着高速网络环境出现的是大量的报警数据。这 种报警数据量随用户安全策略的不同而变化。在以减少漏警的策略优先的环境中t报警数据 量会很大。这种情况常常导致用户管理IDS数据存储和进行IDS数据分析的困惑。必须解决 [DS大数据量的存储与管理问题；也需要解决高报警率引发的CryWolf问题t避免可能产生的 恶意攻击行为淹没在背景报警噪声中的现象。 目前高速入侵检测技术在解决以上问题中得到很火发展，主要的技术发展包括： 高速数据捕获技术：解决高速数据流量的有效捕获问题。可以采用系统数据精简技术， 例如使用网络节点八侵检测系统(NNIDS)，限制IDS只处理与本节点相关的网络流量，这是 通过IP过滤选择所有流量的一个子集进行处理。这种IDS方法限制为对节点本身攻击的检测。 再：需要对所有流量进行处理时，目前采用的数据捕获技术包括： 高速入侵检测技术韵发展 1．IDs负载均衡技术：高速处理环境中，当超出单IDS设各处理能力时，利用均衡处理 器将流量均衡到多个IDS处理设备进行任务分割处。IDS均衡处理器的流数据平衡策略包括： 按IP段静态划分、按IP段动态划分、按协议划分、按IDS设备负载动态划分。负载均衡技 术能够通过任务分割并行处理有效地解决单IDS处理能力不足造成的IDS可用性问题。它的 附加效益是可以将传统的低速方案需要多个探测传感器来分别监视各个支线节点配置方案， 变为单点高速主干时流量监测{同时依靠数量冗余，提供了IUS的附加抗攻击能力。 在进行IDS均