基于数据分流的并行入侵检测系统研究

摘要

入侵检测技术是继防火墙、身份认证系统、数据加密和访问控制等传统安全保护措施之后新一代安全保障措施，它能够对网络安全实施实时监控，在网络受到攻击时进行动态保护。随着网络带宽的不断增长，传统的集中式入侵检测系统分析速度跟不上网速的提高，检测时会漏检部分数据包而导致漏报，影响检测的准确性和有效性。因此，提高检测速率和效率、解决数据包丢失等问题是提高入侵检测系统性能和效率的关键技术之一。 论文首先介绍了入侵检测系统的研究背景和国内外研究现状及其发展趋势，然后针对当前入侵检测系统存在的性能瓶颈问题，从入侵检测系统的体系结构入手，重点研究了一种基于数据分流的并行入侵检测系统。设计了一种数据分流策略，将前端捕获的高速数据流分发给多个检测引擎进行并行处理，流量的分配通过多个分配器按照负载均衡算法来完成，避免了使用单一分流设备所带来的负载集中问题，并通过实验测试分析说明了该分流策略的有效性。 同时，为了更加进一步确保数据分流后各检测引擎的负载均衡，论文在负载均衡策略中引入了灰色理论，通过对并行入侵检测系统中检测引擎上的负载参数建立灰色预测模型，能够更准确的计算出各检测引擎上的负载。从实验测试结果看到，引入灰色理论的负载均衡策略可以更均衡地进行数据分流，并能更好的达到各分析器上的负载均衡，较好地解决了高速网络入侵检测系统误报率和漏报率高的问题，提高了入侵检测系统的整体性能。 论文还深入研究了该系统中各主要模块的设计与实现，最后对全文进行总结，并对下一步的工作提出了设想。