论文部分内容阅读
随着千兆网络的渐渐普及,网络环境较之以前有了很大的不同,网络数据传输速度大大高于以前。传统的入侵检测设备已不能很好的保护新的网络环境,它们不能及时地处理网络上的数据包,从而可能会漏报一些网络攻击,给所保护的网络造成严重的安全隐患。例如,由于攻击者的入侵,将会带来信息泄露,信息篡改,网络服务不可用等危险,这些危险都需要有入侵检测系统来遏制,防患于未然。在全球信息社会即将来临之际,信息安全问题日益凸显,迫切要求解决千兆网络环境中的入侵检测问题。
本文针对千兆网络环境给入侵检测系统带来的各种挑战,研究并实现了千兆线速入侵检测系统KNIDS(Kilomega Network Intrusion Detect System)。KNIDS采用XpeediumTMCXE-16网络处理器,辅以pp1200、TCAM芯片和CPCI 2.16技术开发了千兆线速入侵检测硬件平台,采用哈希链表为基础的网络扫描检测技术,实现了快速对多个连接同时检测,采用完整的协议分析,实现了对大部分流行应用层协议重复再现功能,并监视协议异常。KNIDS能及时地处理千兆网络上的所有数据包,发现攻击行为,并和防火墙联动,通知防火墙阻止攻击行为,它和单一使用网络处理器或专用集成电路(ASIC)技术实现的千兆线速入侵检测系统相比,具有结构开放、灵活、综合计算能力强,可靠性高等优势。
本文先分析了课题的研究背景,和课题研究的意义,然后介绍入侵检测系统的发展历程,对入侵检测系统进行了分类,介绍了常用的入侵检测方法和入侵检测系统的基本结构,并对入侵检测系统将来的发展发向作了自己的分析。然后介绍了KNIDS的硬件平台,和软件系统结构。接着分析了KNIDS的关键技术,基于哈希链表的网络扫描检测模型,同时还分析了一些其它简单攻击检测模型,还有应用层协议的解析模型。最后通过实验分析验证了KNIDS的系统性能,和它的检测准确性。