基于策略脚本的千兆位入侵检测系统核心技术研究

作     者：刘旭生 

作者单位：昆明理工大学 

学位级别：硕士

导师姓名：王锋

授予年度：2008年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：入侵检测 设备轮询 动态协议探测 正则匹配 策略脚本 入侵阻断 

摘      要：入侵检测技术作为一种动态网络安全防御技术,是目前安全领域的研究热点,近些年来得到快速的发展。然而,目前大多数入侵检测系统在不牺牲检测质量的前提下,尚无法处理百兆网络满负荷时的数据分析,千兆则更是难以企及的目标。着眼于提高IDS的检测速度及精准度,遵循通用入侵检测框架(CIDF)规范,依据基于网络的入侵检测系统(NIDS)的结构要求,论文提出并实现了GIDS(Gigabits IDS)。该系统依据层次化结构设计的思想,自低向上依次分为数据采集模块、事件生成引擎、策略脚本解释器,入侵保护模块四个部分。 (1)用Libpcap网络数据采集函数库进行数据采集,同时结合零拷贝与设备轮询机制进一步提高数据采集的效率;(2)事件生成引擎利用动态协议探测技术检测数据包的协议类型,然后根据协议类型判断当前连接的状态,进而产生不同的事件供策略脚本分析处理。此外,GIDS还允许用户把一些典型的攻击特征描述成简单的规则,根据规则匹配网络数据包生成相应的事件。为了提高模式串的描述能力,我们采用正则匹配的方式进行模式匹配;(3)策略脚本解释器解释执行策略脚本,策略脚本是由Flex与Bison实现的一种类C语法的策略脚本语言——GIDS Script编写,脚本允许用户编写更多的处理逻辑,而不是用生硬的字符串匹配来判断攻击的存在。无论是脚本解析还是正则匹配,都是针对一个完整会话重组过的数据来进行,实现了检测的细粒度,提高了入侵检测的精准度;(4)为了减轻管理员负担,减少人为干预,入侵保护模块通过伪造TCP的RST报文及与防火墙ACL联动两种方式实现对入侵的及时阻断,从而有效地降低攻击的危害性。 最后,在真实环境中,我们对GIDS的CPU占用率,内存使用率,系统的吞吐量,丢包率等性能指标进行了测试,并对结果数据进行了分析。