《入侵检测系统中检测引擎的研究与实现》由会员分享,可在线阅读,更多相关《入侵检测系统中检测引擎的研究与实现(52页珍藏版)》请在金锄头文库上搜索。
1、华中科技大学 硕士学位论文 入侵检测系统中检测引擎的研究与实现 姓名:邱庆哲 申请学位级别:硕士 专业:通信与信息系统 指导教师:杜旭 20070603 华 中 科 技 大 学 硕 士 学 位 论 文 I 摘 要 随着网络的深入发展,入侵检测已经成为防范网络安全的重要手段。其检测引擎 的性能直接影响了入侵检测系统的性能。入侵检测引擎包含两部分技术协议分析 技术以及特征分析技术。传统的入侵检测系统用软件实现。然而,随着网络通信量的 迅速膨胀,特征分析中的字符串匹配速度已经成为其进一步发展的瓶颈。一种快速入 侵检测系统的硬件实现法已成为必要,并已成为最近的一大研究热点。本文特别针对 上述问题,对检
2、测引擎中的协议分析技术以及特征分析技术进行了硬件的研究并最终 进行实现。 在协议分析方面,本文提出 TCAM 协议分析方法。该方法能够快速准确的进行 数据包的协议分析,达到了线速处理。通过不同指令,它能够支持 72/144/288 比特关 键字的查找。与传统的软件方法相比,其速度有大幅提高,并且支持新的动态协议类 型。 在特征分析方面,本文还给出了一种基于 FPGA 的字符串匹配算法。该算法通过 位宽扩展,流水线间字符串共享、以及 FPGA 的查找表(LUT)共享这三步,用低端 FPGA 成功解决了高速字符串匹配问题。与传统字符串匹配算法相比,该算法大幅缩 小了匹配算法芯片资源的占用率,是一种
3、高效的并行多模式字符串匹配算法。 本文在实现部分给出了入侵检测系统的一个参考设计。其中包括数据包采集模 块,协议解析模块,特征分析模块以及协议分析模块。在文章的最后还对该设计进行 了仿真验证。 通过实验证明,本文提出的入侵检测引擎的硬件实现法能够很好的应用于实际网 络。 关键词关键词: 入侵检测系统; 数据包捕获; 协议解析; 特征分析; 协议分析; 字符串匹配算法; 规则管理; 内容寻址存储器 华 中 科 技 大 学 硕 士 学 位 论 文 II Abstract With the high-speed development of the network, Intrusion Detect
4、ion System (IDS) has become an important way to defense network. The capability of detecting engine affects the performance of IDS in a direct way. Intrusion-detection engine contains two important technologies which are respectively protocol analysis and signature analysis. Traditional IDS is reali
5、zed by software. However, as the network expands rapidly, the speed of string match of signature analysis has become the bottleneck of further development. A hardware realization of IDS is in necessity and has been a focus of current research. In order to solve the questions listed above, this thesi
6、s researches on protocol analyzing technology and signature analyzing technology of detection engine and realizes it in hardware in the end. In the aspect of signature analysis, the thesis presents a method of TCAM protocol analysis. This method can achieve line speed by fast and accurate protocol a
7、nalyzing to the packet. It supports key research of 72/144/288 bit by different Instruction. Compared with traditional software methods, the detection speed has been improved greatly and at the same time, supports new dynamic protocol. In the aspect of signature analysis, the thesis also proposes an
8、 Implementation of String Matching Based on FPGA. By extending the width of data-bus, and sharing the common sub-logic and Look-up Table (LUT) using pipeline in the design, we successfully solve the high-speed string match problem by a general FPGA. In comparison with traditional string match algori
9、thms, our algorithm can effectively shrink the chip-area of the string match filter, and it has been proven to be a highly effective parallel multi-string match algorithm. In the realization part of this thesis, this thesis introduces a reference design of IDS System. It includes packet capturing mo
10、dule, protocol parsing module, signature analyzing module and protocol analyzing module. Finally there is verification of this system in the end of this thesis. By experiment, the hardware realization of Intrusion detection engine is proved to be suitable for the real network. Key words: Intrusion D
11、etection System (IDS); Packet Capturing; Protocol Parsing; Signature Analyze; Protocol Analyze; String Match Algorithm; Rule Management; Content Addressable Memory 独创性声明 本人声明所呈交的学位论文是我个人在导师的指导下进行的研究工 作及取得的研究成果。尽我所知,除文中已标明引用的内容外,本论文不 包含任何其他人或集体已经发表或撰写过的研究成果。 对本文的研究做出 贡献的个人和集体, 均已在文中以明确方式标明。 本人完全意识到本声
12、明 的法律结果由本人承担。 学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即: 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版, 允许 论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部 分内容编入有关数据库进行检索, 可以采用影印、 缩印或扫描等复制手段 保存和汇编本学位论文。 保密,在_年解密后适用本授权书。 本论文属于 不保密。 (请在以上方框内打“” ) 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 华 中 科 技 大 学 硕 士 学 位 论 文 1 1
13、绪 论 1.1 选题背景与课题意义 随着人类社会生活对 Internet 需求的日益增长, 网络安全逐渐成为 Internet 及各项 网络服务和应用进一步发展所需解决的关键问题,尤其是从 1993 年以来,随着 Internet/Intranet 技术日趋成熟,通过 Internet 进行的各种电子商务和电子政务活动日 益增多,很多组织和企业都建立了自己的内部网络并将之与 Internet 联通。这些电子 商务和政务应用和企业网络中的商业秘密便是攻击者的目标。攻击者可以从容地对那 些没有安全保护的网络进行攻击和入侵,如进行拒绝服务攻击、从事非授权的访问、 肆意窃取和篡改重要的数据信息、安装后
14、门监听程序以便随时获得内部信息、传播计 算机病毒、摧毁主机等等。攻击和入侵事件给这些机构和企业带来了巨大的经济损失 和形象的损害, 甚至直接威胁到国家的安全。 据统计, 目前网络攻击手段多达数千种, 仅在 2000 年就造就上万亿美元的经济损失,网络安全问题变得极其严峻。在这种形 势下,网络安全以保护网络中的信息免受各种攻击为根本目的变得越来越重要123。 入侵 (Intrusion) 是指任何试图破坏资源的完整性 (Integrity) 、 可用性 (Availability) 和保密性(Confidentiality)的活动的集合4。其不仅包括发起攻击的人(如恶意的黑 客) 取得超出合法范
15、围的系统控制权, 也包括收集漏洞信息, 造成拒绝访问 (Denial of Service, DoS)等对计算机系统造成危害的行为。传统的计算机安全理论(如防火墙技 术,VPN 技术,认证/PKI 技术等等)不能适应动态变化的,多为互联的网络环境。 其设计思路基于防,即,仅考虑与已知的安全威胁与有限范围的未知安全威胁,并对 其进行防护56。 入侵检测是指检测上述行为的活动,识别出未经授权或越权访问系统资源的行 为。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从 中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统就是 按照一定的安全策略建立相应安全辅助
16、措施, 发现入侵行为的软硬件组合保障系统7。 对入侵检测系统(Intrusion Detection System,IDS)的要求是8:如果系统遭到攻 击,入侵检测系统应尽可能地检测到,甚至是实时地检测到入侵攻击,然后采取适当 的处理措施。入侵检测系统作为安全技术其作用在于: (1) 识别入侵者; (2) 识别入侵行为; 华 中 科 技 大 学 硕 士 学 位 论 文 2 (3) 检测和监视已成功的安全突破; (4) 为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。 从这些角度看待安全问题,入侵检测非常必要,它将弥补传统安全保护措施的不 足。 目前入侵检测系统主要包括三种体系结构:基于主机的入侵检测系统(Host Intrusion Detection System,HIDS)、基于网络的入侵检测系统(Network Intrusion Detection System, NIDS)、 分布式入侵检测系统(Distributed Intrusion Detection Syst
