收藏本站
《华南理工大学》 2010年 博士论文
收藏 | 手机打开
二维码
手机客户端打开本文

基于网络处理器的入侵检测系统设计与性能优化研究

许宪成  
【摘要】:目前入侵检测仍然是极富挑战性的工作。由于复杂性和分析困难,网络入侵检测系统一般运行在PC或通用工作站上。不幸的是,因为在高带宽的网络流量下有限的分析能力,传统通用系统已被证实不适于作为高速网络入侵检测系统的运行平台。人们试图通过在网络接口上过滤不感兴趣的数据包,来提高网络入侵检测系统的性能。好在网络体系结构及其构成要素已经有了质的飞跃,这使得具体实施网络处理的位置也随之变化。现在可以把一个复杂的网络处理“化整为零”分布于整个数据包通行路径。作为网络通信节点的现代主机系统或服务器体系结构充分利用了多核CPU的处理优势,而且网络处理器(NP)和FPGA也被有机地集成到网络接口卡上,形成新的称之为智能网络接口卡(iNIC)的计算资源。这就为将入侵检测功能从主机卸载到智能网卡提供了机会。目前网络处理器板卡(NPNIC)的智能程度及性价比越来越好,附带这种增强计算能力的智能NP板卡的主机系统完全可以将以往通常由边缘路由器担负的大量处理任务卸载到主机本身。 这种多核与虚拟化等新技术的出现迫使人们必须重新思考如何完成传统的网络处理任务。本文从入侵检测在网络中的部署位置角度分析现有集中式系统的不足,结合主机智能板卡上网络处理器多核多线程并行处理特点,提出利用可提供额外处理能力的NP智能网卡接口实现分布式入侵检测系统(iNIC NIDS), iNIC NIDS集分布式系统和NP二者优势于一身、具有可靠性高、可扩展性好及吞吐量高的优点,特别适用于复杂高速网络的分布式入侵检测。我们给出了其部署方案,并以智能板卡的可编程网络处理器为平台,实现了方案的状态检测原型系统SCUT NP-NIDS。论文的主要工作包括: 1、提出了一种基于节点主机NP智能板卡的分布式入侵检测系统设计方案。 方案集分布式系统与网络处理器优势于一身。具有对数据流更细粒度的检测、只对各自收到的数据流实施本地私有安全策略、可以定制安全策略,可扩展性好及抗毁性好、方便攻击的证据收集与固定等优点。我们给出了总体方案,提出了分离系统策略控制接口与数据接口的设计理念,对安全策略实施和主机的网络处理器网络接口、用户界面及系统各模块间通信进行了的详细描述与分析,并通过原型系统实现验证了方案可行性。 2、实现了优化的状态网络入侵检测系统原型。 状态入侵检测系统性能主要取决于会话表的处理速度和规则匹配算法的效率。我们从设计到实现对TCP会话重组模块进行了多项优化和改进:采用二叉排序树Hash表方式组织会话表快速而高效,精心设计的会话表项结构在维护会话状态的同时避免了多余的访存操作;将会话表分割后分配至不同的存储通道,提高了访问速度;改进的关键字的查找算法使得查找效率提升一倍;创造性地提出具有Cache功能的会话节点回收与分配算法,使得分配回收效率提高了16倍;创新性地提出了多队列超时算法,算法仅与会话节点数线性相关,效率高且易于实现,避免了低效的会话树遍历操作。原型系统会话重组模块的构建实现了数据包间的关联处理,满足了当今在线深度内容检测的要求。实际测试表明,精心设计的数据结构和算法及系列优化措施大幅提升了系统性能。 3、提出两种接口设计方法并以此完善了原型系统的用户界面与用户-内核接口。 一方面利用IOCTL机制,实现了NP智能板卡的用户-内核接口所需的虚拟设备及其操作函数,解决了棘手的异构处理器不同地址空间的地址转换与访问问题。方便了规则库升级,提高了系统的灵活配置适应能力。另一方面,巧妙借用开源路由软件Zebra实现了原型系统的CLI命令行接口实现了所提方案的控制接口,既可对系统进行本地调试和维护,又方便网络管理员对原型系统远程实施管理策略。 4、提出并实现了原型系统主机的智能网络处理器网络接口。 提出以此接口可作为所提方案的主机与板卡间数据接口实现入侵检测应用的卸载,实现了主机的网络处理器板卡驱动所需的各操作函数。现有主机顶层应用无需任何改变即可通过该接口与底层硬件网络处理单元进行交互,使得复杂检测任务的处理可在主机CPU和板卡NP间合理配置,也极大地方便系统增加新颖网络应用服务。 5、提出入侵检测应用卸载概念并引入评价模型、搭建了原型系统的实验平台。 我们提出了入侵检测应用卸载到网络处理器智能板卡的概念,并尝试借助LAWS模型对各种条件下应用卸载的性能提升提供理论依据并进行实验验证。所构建的实验平台包括测试基准和测试用例及网络分析仪套件。我们全面考察了不同协议背景不同访问方式下智能NP网络接口相较普通网络接口的性能表现;从多种角度评估了会话重组状态检测模块的有效性;对入侵检测应用在通信路径上不同位置不同处理层次网络接口的实现情况进行了详实的性能分析与对比。实验结果表明,将入侵检测应用放置在距离网络链路更近的网络处理器,可使系统在减少约30倍时延同时,通过提前阻止非法流提升合法流约30倍的带宽。一系列的测试验证了分布式环境下基于网络处理器智能板卡的入侵检测系统(iNIC NIDS)的有效性和可行性。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 ;Netronome推出业界首款统一计算网络流处理器[J];电子与电脑;2009年07期
2 正华;网络处理器研发动态[J];电子产品世界;2001年01期
3 张人杰,蔡华,余少华;现代高速网络设备核心部件——网络处理器技术分析[J];数据通信;2002年03期
4 Editorial;Powerful的网络搜寻引擎协助指点迷津——IDT兼容性佳的NSE力求整体支持并重战略生态[J];电子与电脑;2005年11期
5 罗华,张思东,张宏科;基于IXP2400网络处理器的网络防护系统设计和实现[J];电信快报;2004年11期
6 陈军;基于IXP2400网络处理器的MPLS转发实现技术分析[J];福建电脑;2005年03期
7 高磊,张德运,李金库,李庆海;网络处理器平台下基于角色的分片审计研究[J];西安交通大学学报;2005年06期
8 ;NetLogic Microsystems与台积电就40nm技术展开合作[J];电子工业专用设备;2009年07期
9 张钢钢,白英杰,徐媛;网络处理器Intel IXP1200应用[J];电子产品世界;2001年14期
10 谭章熹,林闯,任丰源,周文江;网络处理器的分析与研究[J];软件学报;2003年02期
11 Jeff Munch;网络处理器与CompactPCI[J];通讯世界;2003年04期
12 李秋江,韦卫,贺志强;网络处理器体系结构分析[J];计算机工程与应用;2004年05期
13 许建宏;;多核Router在Intranet中的应用[J];才智;2010年10期
14 ;TI具有嵌入式ZigBee PRO协议栈的最新ZigBee网络处理器[J];单片机与嵌入式系统应用;2011年03期
15 李洪杰,张宏科;用网络处理器构建核心路由器方案的研究[J];北方交通大学学报;2002年03期
16 张诗超,罗汉文;下一代网络的核心技术——网络处理器[J];通信技术;2002年05期
17 田勇 ,李立新 ,徐开勇 ,李福林;网络处理器IXP2400及应用[J];电子产品世界;2004年04期
18 田勇,李立新,徐开勇,李福林;网络处理器IXP2400及应用[J];电子产品世界;2004年07期
19 范华春,王颖,杨彬,李雪莹,陈宇,许榕生;基于网络处理器及协处理器的高速网IDS的研究[J];计算机工程与应用;2005年01期
20 张宇雷;黄皓;;基于网络处理器的零拷贝技术[J];计算机应用研究;2007年01期
中国重要会议论文全文数据库 前10条
1 马思瑶;尹佳斌;孙志刚;;网络处理器设计中的存储瓶颈问题[A];第15届全国信息存储技术学术会议论文集[C];2008年
2 张治洲;郑康锋;;一种高效的网络处理器资源访问算法[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年
3 邵荣平;孙志刚;张晓明;;基于SOPC的网络处理器原型设计[A];2003中国通信专用集成电路技术及产业发展研讨会论文集[C];2003年
4 许榕生;;网络安全与网络处理器[A];第11届全国计算机在现代科学技术领域应用学术会议论文集[C];2003年
5 胡淮杨;郑康锋;;一种基于网络处理器的IPTV负载均衡方案[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
6 周鹏;郑康锋;;基于网络处理器高速深度检测防火墙的研究与设计[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年
7 张建宇;廖唯棨;张行功;邹维;;网络处理器的发展及其在网络安全中的应用[A];全国网络与信息安全技术研讨会'2005论文集(下册)[C];2005年
8 周卫华;倪县乐;丁炜;;基于IXP1200网络处理器的安全路由器的设计和实现[A];第六届全国计算机应用联合学术会议论文集[C];2002年
9 程胜;张勖;窦忠辉;丁炜;;基于IXP1200网络处理器的IP路由器的设计和分析[A];第六届全国计算机应用联合学术会议论文集[C];2002年
10 钟婷;刘勇;李志军;秦志光;;基于网络处理器的IPv4/IPv6综合防火墙体系结构研究[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
中国博士学位论文全文数据库 前10条
1 单征;基于分层架构的网络处理器系统性能分析方法研究[D];解放军信息工程大学;2007年
2 李韬;粗粒度数据流网络处理器设计关键技术研究[D];国防科学技术大学;2010年
3 许宪成;基于网络处理器的入侵检测系统设计与性能优化研究[D];华南理工大学;2010年
4 谢立峰;基于网络处理器的网络服务质量和网络安全研究[D];浙江大学;2004年
5 向军;网络处理器并行线速处理关键技术研究[D];华南理工大学;2010年
6 刘祯;网络处理器存储子系统中Cache机制的研究[D];清华大学;2006年
7 郑波;基于网络处理器的传输控制模型、算法及实现[D];清华大学;2006年
8 吴佳骏;多核多线程处理器上任务调度技术研究[D];中国科学院研究生院(计算技术研究所);2006年
9 张晓明;网络处理器设计的若干关键技术研究[D];国防科学技术大学;2006年
10 时向泉;高性能路由器中NP并行处理及拥塞控制机制研究[D];国防科学技术大学;2007年
中国硕士学位论文全文数据库 前10条
1 王晓华;面向网络处理器的编程模型研究[D];西北工业大学;2005年
2 王毅;网络处理器包传输结构的研究[D];西北工业大学;2004年
3 邵荣平;网络处理器并行处理技术研究[D];国防科学技术大学;2003年
4 廖杨;基于多核网络处理器的IP转发系统的设计与实现[D];电子科技大学;2010年
5 薛卫东;基于网络处理器IXP2350的网络流量控制研究与实现[D];西安科技大学;2010年
6 吴霖;基于多核网络处理器的P2P高速流量识别系统的设计与实现[D];苏州大学;2010年
7 文成玉;基于IXA的IP交换技术的研究与分析[D];电子科技大学;2004年
8 董明峰;面向网络处理器的软件开发平台的研究[D];西北工业大学;2005年
9 杜敏;基于IXP2400的防火墙应用设计与实现[D];电子科技大学;2004年
10 潘胜刚;网络处理器在全息存储数据通道中的应用研究[D];华中科技大学;2004年
中国重要报纸全文数据库 前10条
1 勤誉;网络处理器击退ASIC 成市场主流[N];电子资讯时报;2004年
2 胡成臣 王元元 刘斌;网络处理器的应用之道[N];计算机世界;2006年
3 杜荣华;网络处理器灵活应变[N];中国计算机报;2003年
4 ;英飞凌发布新型VoIP处理器[N];人民邮电;2006年
5 烽火网络有限责任公司 岳青伦;基于网络处理器的BT业务流识别[N];通信产业报;2006年
6 任续烨;英特尔发布IXP23XX\IXP46X NP[N];中国计算机报;2004年
7 ;网络处理器与ASIC[N];网络世界;2003年
8 向北;手机CPU三国争霸[N];电脑报;2008年
9 张志斌;为下一代RNC设计奠基[N];网络世界;2004年
10 李丹;千兆防火墙架构之争[N];计算机世界;2006年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978