收藏本站
《华南理工大学》 2010年
收藏 | 手机打开
二维码
手机客户端打开本文

基于网络处理器的入侵检测系统设计与性能优化研究

许宪成  
【摘要】:目前入侵检测仍然是极富挑战性的工作。由于复杂性和分析困难,网络入侵检测系统一般运行在PC或通用工作站上。不幸的是,因为在高带宽的网络流量下有限的分析能力,传统通用系统已被证实不适于作为高速网络入侵检测系统的运行平台。人们试图通过在网络接口上过滤不感兴趣的数据包,来提高网络入侵检测系统的性能。好在网络体系结构及其构成要素已经有了质的飞跃,这使得具体实施网络处理的位置也随之变化。现在可以把一个复杂的网络处理“化整为零”分布于整个数据包通行路径。作为网络通信节点的现代主机系统或服务器体系结构充分利用了多核CPU的处理优势,而且网络处理器(NP)和FPGA也被有机地集成到网络接口卡上,形成新的称之为智能网络接口卡(iNIC)的计算资源。这就为将入侵检测功能从主机卸载到智能网卡提供了机会。目前网络处理器板卡(NPNIC)的智能程度及性价比越来越好,附带这种增强计算能力的智能NP板卡的主机系统完全可以将以往通常由边缘路由器担负的大量处理任务卸载到主机本身。 这种多核与虚拟化等新技术的出现迫使人们必须重新思考如何完成传统的网络处理任务。本文从入侵检测在网络中的部署位置角度分析现有集中式系统的不足,结合主机智能板卡上网络处理器多核多线程并行处理特点,提出利用可提供额外处理能力的NP智能网卡接口实现分布式入侵检测系统(iNIC NIDS), iNIC NIDS集分布式系统和NP二者优势于一身、具有可靠性高、可扩展性好及吞吐量高的优点,特别适用于复杂高速网络的分布式入侵检测。我们给出了其部署方案,并以智能板卡的可编程网络处理器为平台,实现了方案的状态检测原型系统SCUT NP-NIDS。论文的主要工作包括: 1、提出了一种基于节点主机NP智能板卡的分布式入侵检测系统设计方案。 方案集分布式系统与网络处理器优势于一身。具有对数据流更细粒度的检测、只对各自收到的数据流实施本地私有安全策略、可以定制安全策略,可扩展性好及抗毁性好、方便攻击的证据收集与固定等优点。我们给出了总体方案,提出了分离系统策略控制接口与数据接口的设计理念,对安全策略实施和主机的网络处理器网络接口、用户界面及系统各模块间通信进行了的详细描述与分析,并通过原型系统实现验证了方案可行性。 2、实现了优化的状态网络入侵检测系统原型。 状态入侵检测系统性能主要取决于会话表的处理速度和规则匹配算法的效率。我们从设计到实现对TCP会话重组模块进行了多项优化和改进:采用二叉排序树Hash表方式组织会话表快速而高效,精心设计的会话表项结构在维护会话状态的同时避免了多余的访存操作;将会话表分割后分配至不同的存储通道,提高了访问速度;改进的关键字的查找算法使得查找效率提升一倍;创造性地提出具有Cache功能的会话节点回收与分配算法,使得分配回收效率提高了16倍;创新性地提出了多队列超时算法,算法仅与会话节点数线性相关,效率高且易于实现,避免了低效的会话树遍历操作。原型系统会话重组模块的构建实现了数据包间的关联处理,满足了当今在线深度内容检测的要求。实际测试表明,精心设计的数据结构和算法及系列优化措施大幅提升了系统性能。 3、提出两种接口设计方法并以此完善了原型系统的用户界面与用户-内核接口。 一方面利用IOCTL机制,实现了NP智能板卡的用户-内核接口所需的虚拟设备及其操作函数,解决了棘手的异构处理器不同地址空间的地址转换与访问问题。方便了规则库升级,提高了系统的灵活配置适应能力。另一方面,巧妙借用开源路由软件Zebra实现了原型系统的CLI命令行接口实现了所提方案的控制接口,既可对系统进行本地调试和维护,又方便网络管理员对原型系统远程实施管理策略。 4、提出并实现了原型系统主机的智能网络处理器网络接口。 提出以此接口可作为所提方案的主机与板卡间数据接口实现入侵检测应用的卸载,实现了主机的网络处理器板卡驱动所需的各操作函数。现有主机顶层应用无需任何改变即可通过该接口与底层硬件网络处理单元进行交互,使得复杂检测任务的处理可在主机CPU和板卡NP间合理配置,也极大地方便系统增加新颖网络应用服务。 5、提出入侵检测应用卸载概念并引入评价模型、搭建了原型系统的实验平台。 我们提出了入侵检测应用卸载到网络处理器智能板卡的概念,并尝试借助LAWS模型对各种条件下应用卸载的性能提升提供理论依据并进行实验验证。所构建的实验平台包括测试基准和测试用例及网络分析仪套件。我们全面考察了不同协议背景不同访问方式下智能NP网络接口相较普通网络接口的性能表现;从多种角度评估了会话重组状态检测模块的有效性;对入侵检测应用在通信路径上不同位置不同处理层次网络接口的实现情况进行了详实的性能分析与对比。实验结果表明,将入侵检测应用放置在距离网络链路更近的网络处理器,可使系统在减少约30倍时延同时,通过提前阻止非法流提升合法流约30倍的带宽。一系列的测试验证了分布式环境下基于网络处理器智能板卡的入侵检测系统(iNIC NIDS)的有效性和可行性。
【学位授予单位】:华南理工大学
【学位级别】:博士
【学位授予年份】:2010
【分类号】:TP393.08

手机知网App
【引证文献】
中国硕士学位论文全文数据库 前1条
1 任正坤;模糊免疫算法在模拟电路故障诊断中的应用研究[D];太原理工大学;2012年
【参考文献】
中国期刊全文数据库 前10条
1 张凤斌,杨永田,江子扬;遗传算法在基于网络异常的入侵检测中的应用[J];电子学报;2004年05期
2 连一峰,戴英侠,胡艳,许一凡;分布式入侵检测模型研究[J];计算机研究与发展;2003年08期
3 李晓峰;冯登国;徐震;;一种通用访问控制管理模型[J];计算机研究与发展;2007年06期
4 杨宏宇;谢丽霞;;网络入侵诱骗技术——蜜罐系统的应用[J];计算机工程;2006年13期
5 苏洁;乔佩利;刘亚辉;;基于免疫进化计算的分布式入侵检测方法[J];计算机工程;2010年06期
6 高艳 ,管晓宏 ,孙国基 ,冯力;基于实时击键序列的主机入侵检测[J];计算机学报;2004年03期
7 崔竞松,王丽娜,张焕国,傅建明;一种并行容侵系统研究模型———RC模型[J];计算机学报;2004年04期
8 冯力 ,管晓宏 ,郭三刚 ,高艳 ,刘培妮;采用规划识别理论预测系统调用序列中的入侵企图[J];计算机学报;2004年08期
9 徐波;何飞;薛一波;李军;;Architecture-Aware Session Lookup Design for Inline Deep Inspection on Network Processors[J];Tsinghua Science and Technology;2009年01期
10 张磊,ercist.iscas.ac.cn,卿斯汉,ercist.iscas.ac.cn;一个基于Agent的防火墙系统的设计与实现[J];软件学报;2000年05期
中国博士学位论文全文数据库 前1条
1 罗鑫;访问控制技术与模型研究[D];北京邮电大学;2009年
【共引文献】
中国期刊全文数据库 前10条
1 蒲荣富;;基于正态分布的异常入侵检测系统[J];阿坝师范高等专科学校学报;2006年03期
2 王会英;;蜜罐技术在农业信息系统安全中的应用[J];安徽农业科学;2012年14期
3 吴建胜,战学刚;基于TCP状态有限自动机的入侵检测研究[J];鞍山科技大学学报;2005年05期
4 高超;王丽君;;数据挖掘技术在基于系统调用的入侵检测中的应用[J];鞍山科技大学学报;2006年01期
5 焦亚冰;;网络入侵检测系统研究综述[J];安阳工学院学报;2006年04期
6 徐漫江,曹元大;一种树形结构分布式入侵检测系统的设计与实现[J];北京理工大学学报;2004年09期
7 尹春勇,孙汝霞;网络嗅探器研究[J];滨州师专学报;2004年04期
8 易桂生,黄程波;基于网络处理器的QoS策略应用网关[J];江西师范大学学报(自然科学版);2004年06期
9 王英;邓亚平;曾立梅;;遗传算法在入侵检测中的应用[J];重庆邮电学院学报(自然科学版);2006年02期
10 谢莉钧;刘乃琦;郝玉洁;;Intel IXP2400网络处理器体系结构研究[J];成都信息工程学院学报;2006年06期
中国重要会议论文全文数据库 前10条
1 李飞;张斌;葛亮;孙若男;;面向组合服务自适应执行的环境感知引擎[A];CCF NCSC 2011——第二届中国计算机学会服务计算学术会议论文集[C];2011年
2 周洲仪;吴新松;;一种高速安全反向代理服务器的设计与实现[A];第八届全国信息隐藏与多媒体安全学术大会湖南省计算机学会第十一届学术年会论文集[C];2009年
3 刘辉兰;李陶深;葛志辉;;基于代理的分布式入侵检测系统中网络代理的相关技术研究[A];广西计算机学会2005年学术年会论文集[C];2005年
4 李陶深;葛志辉;;一种基于智能代理的分布式入侵检测系统设计[A];广西计算机学会2005年学术年会论文集[C];2005年
5 张满怀;;两类基于异常的网络入侵检测方法的比较[A];2007中国科协年会——通信与信息发展高层论坛论文集[C];2007年
6 李丹丹;龚雪春;;网络处理器负载均衡设计及性能分析[A];2006年全国理论计算机科学学术年会论文集[C];2006年
7 彭志豪;李冠宇;;分布式入侵检测系统研究综述[A];2006年全国开放式分布与并行计算学术会议论文集(一)[C];2006年
8 赵欣;时向泉;吴纯青;;支持TCP/IP卸载引擎的协议栈的设计与实现[A];2006年全国开放式分布与并行计算机学术会议论文集(三)[C];2006年
9 危辉平;陶宏才;;一种新的基于相关性的层次型分布式入侵检测模型[A];四川省通信学会Ip应用与增值电信技术会议论文集[C];2011年
10 李韬;张晓明;孙志刚;;基于数据流的新型网络处理器体系结构设计[A];计算机技术与应用进展——全国第17届计算机科学与技术应用(CACIS)学术会议论文集(下册)[C];2006年
中国博士学位论文全文数据库 前10条
1 王大伟;基于免疫的入侵检测系统中检测器性能研究[D];哈尔滨理工大学;2010年
2 向军;网络处理器并行线速处理关键技术研究[D];华南理工大学;2010年
3 王娟;大规模网络安全态势感知关键技术研究[D];电子科技大学;2010年
4 黄超;基于角色的访问控制策略构建方法研究[D];浙江大学;2010年
5 单征;基于分层架构的网络处理器系统性能分析方法研究[D];解放军信息工程大学;2007年
6 王伟;无线传感器网络安全技术研究[D];太原理工大学;2011年
7 魏小涛;在线自适应网络异常检测系统模型与相关算法研究[D];北京交通大学;2009年
8 王海威;智能电视操作系统服务性能与资源调度关键技术研究[D];中国科学技术大学;2011年
9 马毅超;大规模陆上地震仪器中高速可靠数据传输方法的研究[D];中国科学技术大学;2011年
10 王飞;入侵检测分类器设计及其融合技术研究[D];南京理工大学;2011年
中国硕士学位论文全文数据库 前10条
1 李小刚;教学网络的分布式入侵检测系统的研究与应用[D];郑州大学;2010年
2 陆国际;基于角色的访问控制策略的集成研究[D];大连理工大学;2010年
3 杨帅;电子政务中面向组织协作的访问控制模型研究[D];大连理工大学;2010年
4 扶宗文;基于粗糙集与支持向量机的入侵检测研究[D];长沙理工大学;2010年
5 张晓光;基于模式匹配的入侵检测系统应用研究[D];大连海事大学;2010年
6 姚兴;免疫原理在大规模分布式入侵检测系统中的应用研究[D];江西师范大学;2010年
7 陈晶;基于序列模式挖掘算法的入侵检测研究[D];华东师范大学;2011年
8 高国峰;入侵容忍技术在入侵检测框架中的应用研究[D];哈尔滨理工大学;2010年
9 于晓丽;供应链系统模型与性能分析中的H_∞控制方法[D];哈尔滨理工大学;2010年
10 王瑛;基于模糊聚类的入侵检测算法研究[D];江西理工大学;2010年
【同被引文献】
中国期刊全文数据库 前10条
1 彭良玉;禹旺兵;;基于小波分析和克隆选择算法的模拟电路故障诊断[J];电工技术学报;2007年06期
2 刘树林,张嘉钟,王日新,时文刚;基于免疫系统的旋转机械在线故障诊断[J];大庆石油学院学报;2001年04期
3 焦李成,杜海峰;人工免疫系统进展与展望[J];电子学报;2003年10期
4 严宣辉;;应用疫苗接种策略的免疫入侵检测模型[J];电子学报;2009年04期
5 黄政辉;;模拟电路故障诊断的方法研究[J];湖北广播电视大学学报;2007年11期
6 许军;吕强;陈圣俭;;电路故障诊断方法的研究现状与发展[J];火力与指挥控制;2008年S2期
7 张勇,杨玲;一个不需要产生候选集频繁集挖掘算法的研究[J];吉林农业大学学报;2003年03期
8 李岩;张凤斌;;量子驱动的克隆选择在入侵检测中的应用[J];计算机工程与应用;2010年30期
9 王磊,潘进,焦李成;免疫规划[J];计算机学报;2000年08期
10 张红梅;范明钰;;人工免疫在未知木马检测中的应用研究[J];计算机应用研究;2009年10期
中国博士学位论文全文数据库 前2条
1 王大伟;基于免疫的入侵检测系统中检测器性能研究[D];哈尔滨理工大学;2010年
2 王金林;基于混沌时间序列和SVM的入侵检测系统研究[D];天津大学;2010年
中国硕士学位论文全文数据库 前5条
1 陈晶;基于序列模式挖掘算法的入侵检测研究[D];华东师范大学;2011年
2 熊春柳;人工免疫在故障诊断中的应用[D];浙江大学;2006年
3 王宏;模拟电路故障诊断故障字典法研究[D];西安电子科技大学;2007年
4 王亮只;实值空间动态克隆选择算法研究[D];哈尔滨理工大学;2009年
5 蒋周娜;基于小波神经网络的模拟电路故障诊断方法研究及系统实现[D];西安电子科技大学;2010年
【二级参考文献】
中国期刊全文数据库 前10条
1 李守鹏,孙红波;信息系统安全策略研究[J];电子学报;2003年07期
2 姚立红,訾小超,茅兵,谢立;针对权限滥用的安全增强研究[J];电子学报;2003年11期
3 林闯;王元卓;杨扬;曲扬;;基于随机Petri网的网络可信赖性分析方法研究[J];电子学报;2006年02期
4 杨芙清,梅宏,李克勤;软件复用与软件构件技术[J];电子学报;1999年02期
5 杨武,方滨兴,云晓春,张宏莉;基于骨干网的并行集群入侵检测系统[J];哈尔滨工业大学学报;2004年03期
6 杨武,方滨兴,云晓春,张宏莉;Research and improvement on packet capture mechanism in linux for high-speed network[J];Journal of Harbin Institute of Technology;2005年05期
7 官尚元;梅一多;秦南;董小社;;网格环境中分布式自动信任协商机制[J];华中科技大学学报(自然科学版);2007年S2期
8 郑纬民,杨博,林伟坚,李志光;SMP机群系统上优化通信的并行任务调度[J];中国科学E辑:技术科学;2001年05期
9 ;CROWN:A service grid middleware with trust management mechanism[J];Science in China(Series F:Information Sciences);2006年06期
10 田大新,刘衍珩,李永丽,唐怡;数据包过滤规则的快速匹配算法和冲突检测[J];计算机研究与发展;2005年07期
【相似文献】
中国期刊全文数据库 前10条
1 魏利华;丁辉;宣军英;刘小晶;;面向入侵检测的网络处理器设计[J];计算机工程;2008年20期
2 孙海军;高岩;;基于SOPC网络处理器入侵检测的研究[J];微计算机信息;2009年23期
3 陈嘉;司天哥;戴一奇;;基于IXP1200入侵检测系统的流量分配器的研究[J];计算机工程;2006年13期
4 陈宇;薛鹏;翟伟斌;刘宝旭;许榕生;;基于IXP2400开发NIDS负载均衡器的研究[J];计算机工程;2007年01期
5 雷俊;胡越明;;一种基于网络处理器的IDS的设计方案[J];微型电脑应用;2007年09期
6 黄凯明;;两类模式匹配问题的并行解决方案[J];中国高新技术企业;2010年24期
7 张可;王钟庄;吴瑜;朱金奇;;基于IXP2350的协同免疫三层防御IDS设计[J];计算机应用研究;2008年07期
8 张可;吴瑜;刘乃琦;贾海涛;;电力信息网新型IDS体系设计[J];计算机科学;2009年03期
9 王晓雯;尹少平;;一种基于NP的深度检测防火墙新架构[J];电力学报;2008年04期
10 张乐平;章民融;;基于Intel IXP2400的网络入侵检测系统实现[J];计算机应用与软件;2006年10期
中国重要会议论文全文数据库 前10条
1 马思瑶;尹佳斌;孙志刚;;网络处理器设计中的存储瓶颈问题[A];第15届全国信息存储技术学术会议论文集[C];2008年
2 喻飞;沈岳;廖桂平;张林峰;徐成;;基于模糊推理的入侵检测系统[A];第二十六届中国控制会议论文集[C];2007年
3 张治洲;郑康锋;;一种高效的网络处理器资源访问算法[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年
4 邵荣平;孙志刚;张晓明;;基于SOPC的网络处理器原型设计[A];2003中国通信专用集成电路技术及产业发展研讨会论文集[C];2003年
5 程三军;;入侵检测系统在应用中的若干问题与对策[A];第十八次全国计算机安全学术交流会论文集[C];2003年
6 魏先民;;Snort、AAFID入侵检测系统关键模块的分析与研究[A];山东省计算机学会2005年信息技术与信息化研讨会论文集(二)[C];2005年
7 杨樱;周文虎;;基于神经网络专家系统的入侵检测系统的研究[A];中国通信学会第五届学术年会论文集[C];2008年
8 申红婷;;遗传算法在网络入侵检测中的应用[A];中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集(上册)[C];2008年
9 刘滨;位绍文;;我国入侵检测系统(IDS)研究综述[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
10 邹平辉;;基于神经网络的入侵检测系统的设计[A];2009年全国开放式分布与并行计算机学术会议论文集(上册)[C];2009年
中国重要报纸全文数据库 前10条
1 勤誉;网络处理器击退ASIC 成市场主流[N];电子资讯时报;2004年
2 胡成臣 王元元 刘斌;网络处理器的应用之道[N];计算机世界;2006年
3 杜荣华;网络处理器灵活应变[N];中国计算机报;2003年
4 ;英飞凌发布新型VoIP处理器[N];人民邮电;2006年
5 烽火网络有限责任公司 岳青伦;基于网络处理器的BT业务流识别[N];通信产业报;2006年
6 任续烨;英特尔发布IXP23XX\IXP46X NP[N];中国计算机报;2004年
7 ;网络处理器与ASIC[N];网络世界;2003年
8 向北;手机CPU三国争霸[N];电脑报;2008年
9 ;主动防御 监控攻击[N];中国计算机报;2003年
10 张志斌;为下一代RNC设计奠基[N];网络世界;2004年
中国博士学位论文全文数据库 前10条
1 许宪成;基于网络处理器的入侵检测系统设计与性能优化研究[D];华南理工大学;2010年
2 单征;基于分层架构的网络处理器系统性能分析方法研究[D];解放军信息工程大学;2007年
3 李韬;粗粒度数据流网络处理器设计关键技术研究[D];国防科学技术大学;2010年
4 谢立峰;基于网络处理器的网络服务质量和网络安全研究[D];浙江大学;2004年
5 李玉萍;基于先进计算的智能入侵检测系统研究[D];中国地震局地球物理研究所;2012年
6 向军;网络处理器并行线速处理关键技术研究[D];华南理工大学;2010年
7 王金林;基于混沌时间序列和SVM的入侵检测系统研究[D];天津大学;2010年
8 刘祯;网络处理器存储子系统中Cache机制的研究[D];清华大学;2006年
9 郑波;基于网络处理器的传输控制模型、算法及实现[D];清华大学;2006年
10 吴佳骏;多核多线程处理器上任务调度技术研究[D];中国科学院研究生院(计算技术研究所);2006年
中国硕士学位论文全文数据库 前10条
1 王钰;基于网络处理器的防火墙规则匹配模块及入侵检测系统预处理模块的设计与实现[D];北京邮电大学;2007年
2 王晓华;面向网络处理器的编程模型研究[D];西北工业大学;2005年
3 王毅;网络处理器包传输结构的研究[D];西北工业大学;2004年
4 邵荣平;网络处理器并行处理技术研究[D];国防科学技术大学;2003年
5 陈凤其;基于遗传规划的入侵检测系统研究与实现[D];暨南大学;2010年
6 李希勇;基于移动代理机制的入侵检测系统研究与实现[D];湖南大学;2010年
7 周彬彬;基于程序行为静态分析的入侵检测系统研究与设计[D];北京邮电大学;2010年
8 薛董敏;无线局域网入侵检测系统的研究[D];西北大学;2011年
9 廖杨;基于多核网络处理器的IP转发系统的设计与实现[D];电子科技大学;2010年
10 薛卫东;基于网络处理器IXP2350的网络流量控制研究与实现[D];西安科技大学;2010年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026