高速网络入侵检测系统动态负载均衡策略的研究与实现

摘要

随着网络技术和网络应用的飞速发展,层出不穷的网络攻击手段给网络安全带来了严峻的考验,传统的网络安全技术如加密、防火墙等只是静态的网络安全技术,不能适应当前动态变化的网络环境,入侵检测技术作为一种动态网络安全技术逐渐引起人们的重视。然而,高速网络环境下,传统网络入侵检测系统(NIDS)的处理速度无法与高速网络带宽相匹配,导致大量入侵行为的漏检。解决这个问题的一个重要方法是将负载均衡技术应用到NIDS中,利用负载均衡器分流网络数据包,减轻单个入侵检测节点的负载,使得整个NIDS适应高速网络的流量压力。
　　 采用传统负载均衡策略的NIDS存在丢包率高、检测率低的问题,本文针对这些问题,提出一个NIDS动态层次负载均衡策略(DHLB,Dynamic HierarchicalLoad-Balancing)。该策略充分考虑每一个节点的实时负载和响应能力,以会话为单位进行均衡,将同一会话的所有包发给同一检测引擎进行分析,策略分为二个阶段,首先通过协议分流出被检测网段内主要服务类型流量,其余类型的流量合并为一类,然后将每一种类型的流量通过对数据包的特征域做简单高效的Hash运算分配到各检测引擎进行检测,并对检测引擎的过载流量进行合理调度。
　　 基于本文提出的NIDS动态层次负载均衡策略,设计、实现负载均衡模块,为验证DHLB策略的负载均衡效果,设计一种基于Snort入侵检测系统的负载均衡策略测试方案。测试使用MIT林肯实验室的DARPA1999 IDS测试数据集,通过网络流量和丢包率、检测率来分析DHLB策略的负载均衡效果。测试结果表明,DHLB策略在丢包率上相对于静态轮转均衡有显著优势,但比动态最小队列策略略高,这是因为动态最小队列策略以较低的检测率为代价换取低丢包率,当网络流量急速增加时,轮询策略和最小队列策略检测率均快速下降,但DHLB策略能保持相对较高的检测率。

目录

文摘

英文文摘

论文说明:图表目录

第1章 绪论

1.1 研究背景

1.2 高速网络下入侵检测系统研究现状

1.3 论文主要研究内容

1.4 论文的组织结构

第2章 入侵检测技术研究

2.1 入侵检测系统概述

2.1.1 入侵检测系统模型

2.1.2 入侵检测系统分类

2.1.3 Snort入侵检测系统

2.2 高速网络NIDS而临的问题及解决方案

2.3 高速网络NIDS负载均衡技术相关研究

2.3.1 负载均衡系统模型

2.3.2 负载均衡分类

2.3.3 负载均衡策略

2.4 本章小结

第3章 NIDS动态层次负载均衡策略设计

3.1 负载均衡策略设计原则

3.2 动态层次负载均衡策略结构

3.3 动态层次负载均衡策略组成部分

3.3.1 信息策略

3.3.2 转移策略

3.3.3 选择策略

3.3.4 定位策略

3.4 NIDS动态层次负载均衡策略特点

3.5 本章小结

第4章 NIDS动态层次负载均衡策略实现

4.1 基于动态层次负载均衡策略的NIDS设计

4.1.1 体系结构

4.1.2 系统处理流程

4.2 负载均衡模块总体结构

4.3 协议分流逻辑的实现

4.3.1 报文解析

4.3.2 IP分片报文解析

4.4 TCP包处理逻辑的实现

4.5 IP分片处理逻辑实现

4.6 负载分流逻辑的实现

4.7 检测引擎状态监听逻辑的实现

4.8 本章小结

第5章 测试及对比分析

5.1 测试数据集

5.2 测试环境配置

5.2.1 存储服务器配置

5.2.2 检测引擎配置

5.2.3 负载均衡主机配置

5.2.4 分析控制台配置

5.3 负载均衡程序流程

5.4 测试结果及对比分析

5.4.1 丢包率测试

5.4.2 检测率测试

5.5 应用前景及用途

5.6 本章小结

结论

参考文献

致谢

附录A 攻读学位期间所发表的学术论文

附录B 攻读学位期间参与的主要项目