一种网络入侵检测中数据包采样方法.docVIP

一种网络入侵检测中的数据包采样方法 　　?? 收稿日期：2007-12-10； 　　修回日期：2008-03-10 　　基金项目：国家自然科学基金资助项目90604015); 法国电信研发中心资助项目； 国家重点基础研究发展计划资助项目（2007CB310702） 　　?? 　　作者简介：金庆辉(1983-),男,湖南邵东人,硕士研究生,主要研究方向为网络安全、网络测试（zxjarchers@163.com）; 　　王东(1964-),男,江西九江人,教授,主要研究方向为计算机网络; 　　杨建华(1978-),女,博士,主要研究方向为网络测试; 　　谢高岗(1974-),男,浙江衢州人,副研究员,主要研究方向为网络测试. 　　 　　（1.湖南大学 计算机与通信学院 长沙 410082; 2.中国科学院 计算技术研究所 北京 100080） 　　摘要： 　　数据包采样方法是提升数据包处理能力很好的方法，在网络流量监测分析中得到了广泛应用。然而，传统的数据包采样算法应用在IDS中会极大降低入侵检测率。针对入侵检测的特性，利用攻击流量和正常流量在时间上的连续性，提出了一种新的数据包采样方法，在保证检测率的前提下，极大地提升了IDS的处理能力。 　　关键词：入侵检测系统； 数据包采样； 检测率； 处理能力 　　中图分类号：TP393 　　文献标志码：A 　　文章编号：1001-3695(2008)10-3092-02 　　Sampling method for network intrusion detection 　　JIN Qing-hui1,2 WANG Dong YANG Jian-hua??2 XIE Gao-gang??2 　　(1.School of Computer Communication Hunan University Changsha 410082 China; 　　2.Institute of Computing Technology Chinese Academy of Sciences Beijing 100080 China) 　　Abstract: 　　Packet sampling which was widely used in network monitoring is a good method to upgrade data packet processing capacity. But the traditional packet sampling algorithm will result in substantial intrusion detection rate reduction. This paper raised a new packet sampling algorithm which used the normal and attacks flow of traffic in the continuity of time against intrusion detection. It could improve IDS’s packet processing capacity in the premise there was still very good detection rate. 　　??Key words：intrusion detection system(IDS); packet sampling; detection rates; processing capacity 　　随着计算机网络的不断普及和发展，新业务层出不穷，通过网络传输的信息也越来越重要，由此引发的网络安全问题也日益严重[1]。公共互联网网络安全状况令人堪忧，在利益驱动下的网络安全事件更加频繁、隐蔽和复杂。因此，针对网络攻击的入侵检测的研究也日益重要。?? 　　目前，常见的网络入侵检测系统，根据其检测引擎实现方式可分为两类：基于软件实现和基于硬件实现。基于软件实现的IDS，如Snort[2]，使用通用CPU进行数据包检测，有很好的灵活性和可扩展性，但由于软件实现的复杂性和通用CPU的处理速度瓶颈，无法应用于高速网络中[3]。基于硬件实现的IDS使用专用硬件进行检测，拥有很高的处理速度，但它不够灵活，而且成本较高[4]。虽然使用专用硬件可以极大地提高检测速度，但由于网络带宽的增长远远快于硬件处理速度的提升，仅仅提升处理速度很难跟上网络带宽的增长。这就给高速主干网络的保护带来了极大的挑战[3]。?? 　　为了解决现有入侵检测技术处理能力有限与网络带宽飞速增长之间的矛盾，在入侵检测中使用数据包采样是一