基于嵌入式系统的实时入侵检测技术.docxVIP

基于嵌入式系统的实时入侵检测技术 网络入侵检测 随着网络技术的发展和应用范围的扩大，人们越来越依赖网络信息。信息基础设施已成为国民经济的一个重要支撑点,作为信息基础设施的一个重要组成部分,信息安全关系到国家的存亡,经济的发展,社会的稳定。入侵检测技术是继“防火墙”、“加密”等网络安全研究的热点,是新一代的安全保障技术。 以往的入侵与攻击行为往往由单机执行,随着计算机网络的飞速发展,攻击者之间相互合作,构成对网络的分布式攻击。攻击行为也发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且愈演愈烈。因此,用单一功能软件,如单一的“防火墙”、“加密”及漏洞扫描软件来防御网络入侵就显得很单薄。只有从各个方面收集网络动态信息、综合分析、推理判断才能有效地保证网络的安全。入侵检测作为网络安全技术其主要功能有:1)识别入侵者2)识别入侵行为3)监视并拦截已成功的安全突破4)为对抗措施及时提供重要信息。 高速网络技术如ATM、千兆以太网等的迅速发展,目前高速网络设备的背板交换能力已达到数Gbps或数十Gbps,甚至上百Gbps。对网络上的实时检测而言,单位时间内的数据流量越大,检测的工作量也越大,对计算速度的要求也越高。由于现有的IDS系统大多使用成熟的特征检测字符串模式匹配算法,当网络带宽从10Mb/s到100Mb/s到1000 Mb/s时,IDS的计算速度会呈级数增长。所以,必须对体系结构与检测方法进行改进和优化,以提高入侵检测系统的检测效率。 1 当前ids的不足 1.1 ids存储和存储的难度 首先,它无法在交换式的网络中工作。由于现有IDS大部份采用混杂模式获取数据,因此只能截获同一个或有限的几个网段上的数据包,而现在网络越来越多地使用交换环境,这对目前的IDS是一种挑战。 其次,大多数IDS无法在高带宽的环境下工作。基于网络的IDS位于网络的中心位置,它要坚持不断地分析和储藏整个网络中所有主机所传输的数据,因此在数据的存储和处理上都存在局限性。目前,大多数IDS只能在100MB以下的网络中工作,一旦带宽过高就会出现丢包现象,因此严重影响检测的准确性。 1.2 采用分层结构的ids 现有的分布式IDS,通常由许多分布在信息系统各处的数据采集模块和一个处理能力很强的中心处理模块组成。这种结构有以下两方面不足:一方面,随着网络带宽的增加,中心处理模块计算能力的要求也越来越高,并且中心处理模块一旦失效,整个系统就会瘫痪;另一方面,这种IDS本身的通信量很大,占用了过多的网络带宽。 采用这种结构的系统有UC Davis提出的Gr IDS和Los Alamos国家实验室提出的NADIR系统等。美国Purdue大学安全研究小组提出的基于多自治代理的IDS结构,由3种不同的代理进程组成,根据系统复杂程度高低可以组成数目不同的层次。与前面的中心处理模式相比,这种结构较好地解决了负载平衡的问题。此外,由于采用分层的结构,不同层次处理抽象程度不同的数据,这也使得在系统的各个代理进程之间通信的数据量显著减少。但该系统没有很好地解决结构上的单点失效问题,在系统中不同代理进程的失败,对整个系统有程度不同的影响,有的代理进程失效后,整个系统就会瘫痪。 2 实现负荷平衡的实现 2.1 动态同机负载平衡 负载均衡(Load balancing)指在集群环境中,通过什么样的逻辑来保证各个服务器(或处理器)的计算量与其自身性能之比尽量相等,从而在提高服务器利用率的基础上减少整体任务完成时间。在高速网络环境下的入侵检测系统中,其目标是通过某种方法,将前端捕获的Gbps级的大数据流分流,以利于后端低速入侵检测系统及时并行处理。 负载均衡分为静态负载均衡和动态负载均衡两种。静态负载均衡是系统预先知道任务和环境的各种具体数据(如任务大小,通信量,服务器性能)的情况下,在任务执行前就分配给适当服务器的方法。其优点是系统开销少,缺点是算法复杂,并且缺乏实时控制突发性事件(比如任务量超常,某服务器崩溃)的能力。动态负载均衡指通过分析系统的实时负载信息,动态地在轻载(light load)与重载(over load)的服务器间调度任务。这种方法的优点是可以实时处理计算量异常的任务,并且算法简单,而缺点是需要大量的任务传输,耗费网络资源。 网络处理器(network processor)IXP1200有7个基本相同RISC处理器,因此本文设计了一种动态同机负载平衡方法。静态调度与动态调度相结合,先进行静态分配,再针对异常情况进行必要的动态调度。 动态同机负载平衡,是负载平衡中一种最常见的方法。所谓同机,是指各个计算机(或处理器)的运算性能基本相等;所谓动态,指调度器应当在任务到来时视当前系统情况即时地向某个计算机分配任务。 同机动态负载平衡策略问题往往归结于从若干调度办法中搜索最