基于威胁排序分流结构IPS研究与设计.docVIP

基于威胁排序分流结构IPS研究与设计 　　（国防科学技术大学 计算机学院, 长沙 410073） 　　?? 　　摘 要： 　　研究了在高速网络环境下的入侵防御系统设计与实现。分流系统本身缺乏有效的检测方法，不能对数据流量进行深层次的分析，所以其漏检率较高，应用范围有限。提出了一种用于分流系统的威胁排序方法，运用层次分析法对数据包的威胁程度进行排序，有效地解决了分流系统的漏检问题，并实现了一个完整的分流入侵防御系统的各模块设计，对其效能进行了初步评估。 　　?す丶?词：威胁排序； 入侵防御系统； 分流 　　?ぶ型挤掷嗪牛?TP393.08 文献标志码：A 　　 文章编号：1001-?B3695(2009)02-?B0723-?B03 　　?? 　　Research of shunt IPS based on threat ranking 　　?? 　　CHEN Zheng-tao, JIN Shi-yao 　　?ぃ?School of Computer, National University of Defense Technology, Changsha 410073, China） 　　?? 　　Abstract: Inline traffic analysis for intrusion prevention become more difficult as the high speed data rates of modern networks. Jose implemented a prototype shunt hardware design, and this model was valuable for improving the efficiency of intrusion detection, Based on this model, this paper proposed a new shunt model connecting with intrusion prevention system by the theory of threat ranking,and put forward the design of every part,then evaluated the system for a rudimentary work. 　　??Key words：threat ranking; IPS(intrusion prevention system); shunt 　　?オ? 　　入侵防御系统（intrusion prevention system, IPS）的嵌入、实时要求使其在当前的网络环境下越来越难以实现。随着网络带宽的进一步增大，单纯靠使用更快、更强的硬件对信息流量进行检测已经满足不了用户的需求，这也极大地限制了IPS的发展。然而研究发现，网络上绝大多数的通信流量是正常流量，只有极少数恶意流量能够对计算机系统产生威胁，以往利用检测引擎对所有通信流量进行深入分析的方式显然是对资源的一种极大浪费。分流（shunt）[1~4]技术为提高IPS检测效率提供了一种行之有效的方法，在通信流量进入安全检测引擎之前先对其进行一次快速筛选，在不明显影响安全性能的情况下大幅提高安全检测引擎捕捉恶意流量的效率，从而提高IPS整体工作性能，消除IPS性能瓶颈。尽管如此，分流容易带来漏检率的提高，会影响系统的整体安全性能，这在一定程度上抵消了分流所带来的好处。如何减少分流带来的不良影响成为其与IPS结合的关键。在本文中引用了威胁度的概念，威胁度指的是通信流量对系统安全的威胁程度。威胁度评估在军事领域有十分深入的研究，本文将威胁排序算法引入IPS有助于解决分流的不足。基于此本文提出了一种新的分流方法，使分流IPS实现更加简单有效。?? 　　1 分流结构?? 　　Jose等人[1]介绍了其分流体系结构如图1所示。该结构由分流器和分析引擎构成，分流器中包含三个表，表中包含IP相关的信息。在对表进行快速匹配后，有三种处理方式，即将数据丢弃、直接通过和进入分析引擎进行分析。分析完成后将数据要么丢弃，要么通过，分析引擎控制对分流器中的表进行更新。这种结构可以对数据进行预先分流，提高分析引擎的检测效率，增强信息处理能力，但是简单的数据包头检测准确率不高，只能用于对安全要求不高的环境下。?? 　　2 威胁排序分流结构?? 　　本文要研究的系统是能够满足大流量环境下的嵌入式入侵检测系统。在原有分流结构的基础上，依据入侵威胁度的量化算法，本文提出了威胁区间的概念。在原有的入侵检测体系上做了层次上的拓展，对数据流进行了更细致的分类，提供了一种新的分流检测模型，从而弥补了原有分流系统的不足，提高