《基于网络处理器的入侵检测系统的设计与实现》由会员分享,可在线阅读,更多相关《基于网络处理器的入侵检测系统的设计与实现(66页珍藏版)》请在金锄头文库上搜索。
1、上海交通大学 硕士学位论文 基于网络处理器的入侵检测系统的设计与实现 姓名:周震 申请学位级别:硕士 专业:计算机应用 指导教师:胡越明 20071201 III 上海交通大学上海交通大学 学位论文原创性声明学位论文原创性声明 本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研 究工作所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他 个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人 和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本 人承担。 学位论文作者签名:周 震 日期:2008 年 1 月 23 日 IV 上海交通大学上海
2、交通大学 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校 保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和 借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数 据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论 文。 保密保密,在 年解密后适用本授权书。 本学位论文属于 不保密 不保密。 (请在以上方框内打“” ) 学位论文作者签名:周 震 指导教师签名:胡越明 日期:2008 年 1 月 23 日 日期:2008 年 1 月 23 日 上海交通大学硕士学位论文 5 基于网络处
3、理器的入侵检测系统的设计与实现 基于网络处理器的入侵检测系统的设计与实现 摘 要 摘 要 入侵检测技术是网络安全的核心技术,目前入侵检测系统的处理 速度远远不能满足网络的高速发展。 大多数网络入侵检测系统在不牺 牲检测质量的前提下,无法处理千兆网络满负荷时的数据量。同时大 多数入侵检测系统也不能满足灵活性、可扩展性方面的要求。本文通 过对现有的入侵检测系统的体系结构和模式匹配算法进行重新设计, 提出了一种新的基于网络处理器入侵检测系统结构。 IXP2400 是 Intel 公司推出的新一代网络处理器。IXP2400 是近几 年发展的针对网络数据处理特征的新技术, 其核心内容是采用多级并 行处理
4、技术和专用功能部件代替复杂费时算法, 以获得极大的数据包 处理性能。 本人深入研究了 Intel 公司提供的 IXP2400 系列网络处理器的体 系架构;学习了解了入侵检测系统所要求的功能及性能特点;提出了 整个系统 “数据采集基于协议的解析分类匹配检测” 的设计思想; 实现了该系统各个模块的功能目标;并在模拟环境下进行了仿真,验 证了系统的实现方案。在系统的设计和实现过程中,该系统利用 IXP2400 处理器内部硬件的高性能和可扩展性特点,采用多处理器并 行处理结构, 并对模式匹配算法加以改进, 大大提高了入侵检测速度, 改善了系统性能。 关键词关键词:入侵检测系统,MWM 模式匹配算法,网
5、络处理器,IXP2400, 微引擎 上海交通大学硕士学位论文 6 THE DESIGN AND IMPLEMENTATION OF INTRUSION DETECTION SYSTEM BASED ON NETWORK PROCESSOR ABSTRACT Intrusion detection is a dynamic core technology in network security. The process speed of intrusion detection system cant keep up with the high speed of network today tha
6、n before. In network security field, Most of the intrusion detection systems could not handle the processing with the maximal data load in 1000Mbps-level networks. These systems could not meet the requirements of facility and scalability either. This article proposes a new network intrusion detectio
7、n system architecture based on network processor by redesigning the IDSs architecture and pattern matching arithmetic. IXP2400 is a new generation network processor of Intel Corporation. Its a newly developed technology focusing on processing data on the network. It employs multi-grades parallel and
8、 special function units to accelerate the speed of complex and time-consuming algorithms,so that the best processing performance can be reached. The main work I did comprise deeply researching of IXP2XXX processors architecture, studing and thinking of the intrusion detection systems requirements, g
9、iving out a designment of the “receiving-classification based on protocol-detection” system, implementation of the modules included in this system and completion the performance analysis in a simulation environment. In the process of designing and implementing, the new system takes advantage of the
10、high performance and scalability of the processor. A multi-processing units in parallel architecture is adopted and a developed pattern marching algorithm is described in our approach. The results of experiments show that our method can accelerate the speed of intrusion detection and improve the per
11、formance of IDS. Keywords: Intrusion Detection, MWM Pattern Matching Algorithm, Network Processor, IXP2400, Microengine 上海交通大学硕士学位论文 9 第一章 序 言第一章 序 言 1.1. 研究背景及选题意义研究背景及选题意义 互联网是在开放、 自由的基础之上应运而生的, 随着信息化进程的深入和互联网的迅速 发展,人们的工作、学习和生活方式正在发生巨大变化,信息资源得到最大程度的共享。近 年来,我国互联网发展取得了令人瞩目的成绩。根据中国互联网络信息中心(CNNIC)最新发
12、布的统计报告显示,截至 2007 年 6 月,中国网民人数已经达到 1.62 亿,网络已经逐渐渗 透到我国国民经济的各个领域和人民生活的各个方面。 计算机网络在给人们带来便利的同时 也必然引入了很多安全问题。 2007 年全国信息网络安全状况与计算机病毒调查结果显示 5 , 连续 3 年我国网络安全事件发生比例呈上升趋势, 今年达到 65.7%,较 2006 年上升 11.7%, 计算机病毒感染比例在前两年基本持平的情况下,尤其是今年计算机病毒感染率达到 91.4%。2006 年以来,出现了针对银行的木马、病毒事件和“敲诈者病毒”。后来又相继出 现“熊猫烧香”等病毒。“ 熊猫烧香” 病毒利用蠕
13、虫的传播能力和多种传播渠道帮助木马 传播, 攫取非法经济效益, 给被感染的用户带来重大损失。继“ 熊猫烧香” 之后, 复合型 病毒大量出现, 如“仇英”、“艾妮”等病毒。同时, 网上贩卖病毒、木马和僵尸网络的活 动不断增多, 且公开化利用病毒、 木马技术传播垃圾邮件和进行网络攻击、 破坏的事件呈上 升趋势。根据调查结果显示, 浏览器配置被修改、数据受损或丢失、系统使用受限、网络无 法使用、密码被盗是计算机病毒造成的主要破坏后果。攻击者利用各种系统、应用程序或网 络协议的漏洞进行攻击,给网络用户带来重大损失。 在传统的网络安全解决方案中, 采用了网络防火墙作为网络安全主要防线。 但防火墙自 身很
14、容易被攻破,限于其自身的性能,尚不具备实时监视入侵的能力。因此各种防护手段运 用而生。入侵检测系统 3 (IDS,Intrusion Detection System)作为动态防护技术的核心,它弥补 了静态安全技术的不足,是安全防御系统的重要组成部分。主要通过监控网络、系统状态、 行为以及系统的使用情况,来检测系统用户越权访问以及外来入侵。 随着网络流量的急剧增加, 网络入侵检测系统必须具有非常高的检测速度才能满足用户 的需求。因此网络设备需要更强大的处理能力,但目前通用 CPU 无法胜任这种需求。要进 一步提高性能,可以从以下几点着手:进一步提高 CPU 主频;在单个 CPU 内使用流水 线
15、;采用多 CPU;提高访存速度。综合考虑,提高 CPU 主频的余地不大,而且过分提 高主频还会导致散热问题;在通用 CPU 中使用已经很普遍;所以相对于通用 CPU,提高性 能的主要途径是和。Intel 就提供这样的的网络处理器,其安全芯片通过良好的体系结 构设计和专门针对网络处理优化的部件, 为上层提供了一个可编程控制的环境, 可以很好地 解决硬件加速和软件可扩展的折衷问题。 上海交通大学硕士学位论文 10 因此本设计采用了 Intel 网络处理器 8 IXP2400,该处理器可以完成高速、大容量的智 能数据处理, 采用 Intel 的 XScale 处理器内核以及 8 个独立的 32 位
16、RISC 数据分组转发高速 引擎,这 8 个微引擎的处理能力累计可达每秒 23.1 千兆次运算速度。因此,在此基础上开 发出的入侵检测系统具有更高的检测速度,完全可以满足千兆网络流量的需求。 1.2. 相关研究现状相关研究现状 入侵检测 24 作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操 作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防 御的角度出发, 入侵检测受到了人们的高度重视。 国内的现状是入侵检测仅仅停留在研究和 实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块阶段。可 见,入侵检测产品仍具有较大的发展空间。从技术上讲,除了完善常规的、传统的技术(模 式识别和完整性检测)外,应重点加强统计分析的相关技术研究。目前,许多学者在研究新 的检测方法,如采用自动代理主动防御的方法 11 、将免疫学原理 33 应用到入侵检测的方法 等。目前,IDS 分析及检测一般通过以下几种技术手段进行分析:特征库匹配 13 、异常
