公开/公告号CN1561032A
专利类型发明专利
公开/公告日2005-01-05
原文格式PDF
申请/专利权人 中国科学院计算技术研究所;
申请/专利号CN200410005921.3
申请日2004-02-24
分类号H04L12/24;
代理机构11021 中科专利商标代理有限责任公司;
代理人周国城
地址 100080 北京市中关村科学院南路6号
入库时间 2023-12-17 15:43:15
法律状态公告日
法律状态信息
法律状态
2018-03-16
未缴年费专利权终止 IPC(主分类):H04L12/24 授权公告日:20061025 终止日期:20170224 申请日:20040224
专利权的终止
2016-06-01
文件的公告送达 IPC(主分类):H04L12/24 收件人:上海盈方微电子股份有限公司 文件名称:缴费通知书 申请日:20040224
文件的公告送达
2015-05-20
文件的公告送达 IPC(主分类):H04L12/24 收件人:上海盈方微电子股份有限公司 文件名称:缴费通知书 申请日:20040224
文件的公告送达
2012-12-05
专利权人的姓名或者名称、地址的变更 IPC(主分类):H04L12/24 变更前: 变更后: 申请日:20040224
专利权人的姓名或者名称、地址的变更
2011-11-02
专利权的转移 IPC(主分类):H04L12/24 变更前: 变更后: 登记生效日:20110919 申请日:20040224
专利申请权、专利权的转移
2006-10-25
授权
授权
2005-03-09
实质审查的生效
实质审查的生效
2005-01-05
公开
公开
查看全部
技术领域
本发明涉及网络安全技术领域,特别是一种入侵检测的多线程负载均衡方法。尤其是一种针对基于特征分析的网络入侵检测的多线程负载均衡方法。
背景技术
自从Denning在1987年提出第一个入侵检测系统模型以来,入侵检测技术得到了快速的发展。随着近几年网络的普及,网络入侵检测已逐渐取代基于主机的检测而成为入侵检测研究的主流。网络入侵检测系统(NIDS)通过分析网络流量来实现对攻击的检测。由于网络技术和网络应用的迅速发展使得网络上的数据流量不断加大,网络带宽飞速提高,传统的10Mbps网络已迅速被100Mbps、1000Mbps网络所取代,在如此高速的环境下,要将网络中全部数据包都截获下来,并做复杂的入侵检测分析,传统的入侵检测技术已显得越来越力不从心。
为了实现对高速网络特别是1000Mbps网络环境下的实时入侵检测,大量的网络数据分析是不可避免的。当待分析数据的产生速度超过处理能力时,必然导致数据来不及分析就丢弃。由此引出NIDS中的负载问题,它成为制约NIDS性能的瓶颈之一。因此,对网络入侵检测系统实现负载均衡,已成为网络入侵检测系统适应高速网络的一个主要研究方向。
单位时间内需要处理的数据包的数量、规则库的规模是影响入侵检测系统性能的两大主要因素。现有针对入侵检测的负载均衡方法主要围绕这两个因素进行研究。它的主要思路如图1所示:控制中心(center)根据网络数据流量、各探测器实际处理能力等因素,将待完成负载量按一定方案分担给各探测器(sensor),由各探测器实施对网络数据的入侵检测。这里的负载量可以是检测规则库中的规则或者网络中的数据包。根据所分担负载量的种类不同,目前的负载均衡方法分为以下两种:
·基于规则的多探测器负载均衡法。在该方法中,控制中心分担给各探测器的负载量就是入侵检测规则,每个探测器负责一部分检测规则。当出现某些探测器来不及处理数据时,可以通过增加探测器的数量或者由控制中心动态地调整各探测器的检测规则数以实现负载均衡。
·基于应用的多探测器负载均衡法。在该方法中,控制中心将不同种类(http包、telnet包、ftp包、udp包等)的数据包作为负载量,分担给各探测器。每个探测器只负责某一类(或几类)具体应用网络流量的检测,它们维护的检测规则也仅仅针对某些具体应用。当出现某些探测器来不及处理数据时,可通过增加探测器的数量,达到负载均衡目的。
以上两种方法通过增加探测器来分担负载量,在一定程度上达到负载均衡,以适应高速网络。但是,它们基本上只是通过简单的增加硬件资源来完成所有的检测工作,而没从入侵检测系统本身的优化入手。每个探测器上检测原理基本相同,因此检测系统原有的瓶颈在这里依然存在。每个探测器上进行入侵检测的流程如图2所示:由图中可以看出,系统对截获的每一个数据包都要经过解析→规则匹配→告警输出这个过程,然后系统才会去截获下一个数据包。然而,这三个步骤都有可能成为系统的瓶颈。当系统因为在任何一步的处理出现瓶颈后,都将导致系统不能截获后面的数据包,出现严重的丢包现象,导致系统出现极高的漏报率。
发明内容
本发明的目的在于提供一种入侵检测的多线程负载均衡方法。
本发明的主要目的就是打破传统的串行检测模式,采用流水线式的多线程并发处理,同时结合入侵检测的负载均衡方法,实现入侵检测的多线程负载均衡。
传统入侵检测模式为串行检测模式,本发明改串行为并发。将基本入侵检测流程中的三个步骤:抓包、检测、告警分别由三类线程并发执行,各线程只完成各自功能,线程间通过相应队列实现通信。从而大大提高了抓包、检测、告警速度,消除了这三个过程给系统造成的瓶颈。
本发明结合传统负载均衡方法,将检测类线程按数据包种类进行分类,每个线程只负责维护一类检测规则,检测一类数据包。从而使多个线程可同时处理不同类的数据包,有效地分担了整个系统的负载,提高了系统的整体效率。
发明技术方案
本发明采用流水线式的多线程并发处理并结合负载均衡的方式实现网络入侵检测。
将基本入侵检测流程中的三个步骤分别由三类线程并发执行,各线程只完成各自功能,线程间通过相应队列实现通信。
把传统负载均衡方法与多线程结合,传统负载均衡方法中的探测器由线程代替,各线程维护自己的规则,并行的进行相互独立的入侵检测。
附图说明
图1是网络入侵检测系统的负载均衡法示意图。
图2是入侵检测系统流程图。
图3是本发明的基于多线程的负载均衡法实现框图。
图4是本发明的基于多线程负载均衡法的入侵检测流程图。
具体实施方式
本发明通过多线程并发执行来实现网络入侵检测系统的负载均衡。具体实现框图如图3所示。
本发明实现的主要步骤如下:
首先,进行初始化工作,打开网络接口,准备截获网络数据包。
然后,创建相应线程。其中每个线程具体完成的功能如下:
线程1:抓包线程,相当于控制中心。从网络中截获数据包,
根据数据包的种类(HTTP、TELNET、ICMP等)放
入相应的队列1、2…n-2;
线程2、3…n-1:检测线程,相当于各个探测器。读取各自
维护的规则文件,建立相应的规则链表,然后从各自
队列中读取数据包进行解析、规则匹配,最后将需要
告警的数据包放入队列n-1;
线程n:告警线程。读取队列n-1中的数据包,告警输出。
三类线程的整体实现流程图见图4。其中步骤S1,抓包线程:由抓包线程循环从网络中捕获数据包,抓包线程采用旁路监听的方式使用常用的抓包库实现网络抓包,并根据数据包种类,把捕获的数据包分类放入对应的检测队列。该线程将循环实现抓包、分类两个操作;步骤S2,检测线程:由各个检测线程循环读取各自检测队列中的数据包,采用常用的模式匹配算法与预先设定的规则进行匹配,并将匹配成功的数据包放入告警队列。该线程将循环实现读取数据包、匹配、存储数据包三个操作;步骤S3,告警线程:由告警线程循环告警线程读取告警队列中的数据包,并将数据包的主要信息通过存入数据库方式告警输出。该线程将循环实现读取数据包、告警输出两个操作。通过这种方式,就将串行的抓包、检测、告警三步骤变成了并发执行,从而大大提高了抓包、检测、告警速度,消除了这三个步骤给系统造成的瓶颈。
我们提出的基于多线程的负载均衡技术打破了传统的抓包→解包→规则匹配→告警输出→抓下一个包→……的串行处理方式,采用流水线式的并发处理,各个线程只完成各自的功能,同时结合现有负载均衡方法,多线程对应多探测器,大大提高了系统资源的利用率,从而使采用这种方式的系统在检测性能上有了很大的提高。同时若将这种模式与前两种负载均衡方法相结合,则能更有效地分担整个系统的负载,消除可能出现的系统瓶颈,提高了系统整体效率,使其更能适应高速网络发展的需要。
本发明的方法以多线程并发的方式实现,并结合传统网络入侵检测的负载均衡方法,以多个线程代替多个探测器,大大提高了系统资源的利用率,从而使采用这种方法的系统在检测性能上有了很大的提高。同时若将这种模式与传统的两种负载均衡方法相结合,则能更有效地分担整个系统的负载,减少可能出现的系统瓶颈,提高系统整体效率,使其更能适应高速网络环境下的入侵检测需要。
机译: 支持多线程框架动态负载均衡的处理装置及其使用的多线程处理方法
机译: 多线程框架支持的动态负载均衡和多线程处理方法
机译: 入侵检测系统中的负载均衡方法及装置
