專利名稱:高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)和檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計算機應(yīng)用技術(shù),尤其涉及一種利用多臺計算機和網(wǎng)絡(luò)交換機實現(xiàn)網(wǎng)絡(luò)入侵檢測的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)和檢測方法�����。
背景技術(shù):
在計算機應(yīng)用系統(tǒng)中,網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)已經(jīng)成為入侵檢測的重要實施工具���。然而�,隨著網(wǎng)絡(luò)技術(shù)的進步和各行業(yè)網(wǎng)絡(luò)應(yīng)用的縱深發(fā)展��,網(wǎng)絡(luò)入侵檢測系統(tǒng)的性能在檢測過程中的地位越來越重要���,只有在保證網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測性能的情況下�����,高效的分析算法�、完整的規(guī)則集等技術(shù)要素才可能發(fā)揮作用����。
現(xiàn)有的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)的實現(xiàn)方法主要有如下幾種方法一在單臺計算機上實施檢測。這種方法的系統(tǒng)結(jié)構(gòu)方框圖如圖1所示����。其包含的技術(shù)手段包括使用更快的處理器�����、使用專用的檢測硬件、使用高性能的分析算法�、減少檢測規(guī)則集的規(guī)模等。從表面上看��,這種實現(xiàn)方法可以暫時緩解大流量檢測的壓力��。但是��,畢竟單臺計算機的硬件性能有限�,在網(wǎng)絡(luò)速度越來越快的今天,要用單臺計算機來處理數(shù)以千計的因特網(wǎng)主機的并發(fā)流量已經(jīng)越來越成為一件不可能完成的任務(wù)�。
方法二使用專用的硬件設(shè)備進行分流,實現(xiàn)多機檢測���。在檢測過程中����,網(wǎng)絡(luò)流量首先通過硬件分流設(shè)備進行分流�,大流量的信息被分成數(shù)個較小的流量信息,然后由多個網(wǎng)絡(luò)入侵檢測系統(tǒng)對經(jīng)過分流的信息進行檢測���。這種方法的系統(tǒng)結(jié)構(gòu)方框圖如圖2所示�����。由于這種方法解決了方法一中的硬件瓶頸問題�����,已經(jīng)被一些高性能產(chǎn)品所使用�。但目前市場上的一些分流硬件的技術(shù)尚不成熟,使用這類分流器易造成產(chǎn)品性能的不穩(wěn)定���。而且成熟的高性能分流硬件價格相當(dāng)高昂���,使部署成本大大增加。
發(fā)明內(nèi)容
本發(fā)明的目的����,在于提供一種利用分流技術(shù)實現(xiàn)多機檢測的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)和檢測方法。
本發(fā)明的目的是這樣實現(xiàn)的����,一種高性能網(wǎng)絡(luò)入侵檢測系統(tǒng),該系統(tǒng)與高速網(wǎng)絡(luò)相連�,包括執(zhí)行入侵檢測的檢測引擎,其特點是還包括一臺轉(zhuǎn)發(fā)器和至少一臺交換機�,所述的檢測引擎為多臺����;所述的轉(zhuǎn)發(fā)器的輸入端連接高速網(wǎng)絡(luò)�����,其輸出端連接一臺或分別連接多臺交換機�,交換機同時分別連接多臺檢測引擎�;轉(zhuǎn)發(fā)器用于從高速網(wǎng)絡(luò)抓取數(shù)據(jù)包、修改數(shù)據(jù)包的目的MAC地址后轉(zhuǎn)發(fā)到交換機�����,交換機用于接收來自轉(zhuǎn)發(fā)器的數(shù)據(jù)包���、并根據(jù)目標地址將數(shù)據(jù)包發(fā)送到合適的檢測引擎�����。
所述的轉(zhuǎn)發(fā)器內(nèi)安裝有分流系統(tǒng)����,該分流系統(tǒng)由抓包模塊���、包處理模塊和發(fā)包模塊組成�;抓包模塊用于抓取網(wǎng)絡(luò)數(shù)據(jù)包,包處理模塊用于修改數(shù)據(jù)包的目的MAC地址����,發(fā)包模塊用于將修改后的數(shù)據(jù)包發(fā)往交換機。
一種高性能網(wǎng)絡(luò)入侵檢測方法�����,通過高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)實施��,該檢測方法對一個數(shù)據(jù)包的處理步驟如下第一步�、抓取數(shù)據(jù)包轉(zhuǎn)發(fā)器中的抓包模塊從高速網(wǎng)絡(luò)中抓取數(shù)據(jù)包;第二步�����、修改目的MAC地址轉(zhuǎn)發(fā)器中的包處理模塊根據(jù)預(yù)定義的策略將第一步所抓取的數(shù)據(jù)包的目的MAC地址修改為與各檢測引擎對應(yīng)的地址�;第三步、轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)器中的發(fā)包模塊將修改目的MAC地址后的數(shù)據(jù)包轉(zhuǎn)發(fā)到高性能交換機��;第四步�����、分流數(shù)據(jù)包高性能交換機接收由轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)來的數(shù)據(jù)包后,通過識別目的MAC地址將數(shù)據(jù)包發(fā)送到合適的檢測引擎����,實現(xiàn)數(shù)據(jù)包的分流��;第五步�、入侵檢測各檢測引擎接收到數(shù)據(jù)包后獨立工作,分別對來自交換機的一部分數(shù)據(jù)包進行入侵檢測��。
在處理一個數(shù)據(jù)包的同時��,以流水線并發(fā)處理的方式處理其它數(shù)據(jù)包���。
本發(fā)明的一種高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)和檢測方法由于采用了以上技術(shù)方案��,使其與現(xiàn)有技術(shù)相比�����,具有以下明顯的特點和優(yōu)點1�、實行了數(shù)據(jù)分流����,提高了檢測性能由于采用了轉(zhuǎn)發(fā)器并在轉(zhuǎn)發(fā)器中安裝了分流系統(tǒng),能將來自高速網(wǎng)絡(luò)的大流量數(shù)據(jù)分流到多個檢測引擎,由每個檢測引擎獨立集中處理一部分流量�����,大大減少了漏報����、誤報現(xiàn)象的發(fā)生,提高了檢測性能���。
2��、伸縮性好由于使用交換機代替計算機完成分流操作�����,交換機的插槽數(shù)量多���,也很容易擴充,克服了普通計算機插槽數(shù)量少對檢測引擎數(shù)量的限制��,可以在很大的范圍內(nèi)選擇檢測引擎的數(shù)量����。
3���、部署方便、安全易用由于本發(fā)明中使用的計算機����、交換機等設(shè)備均系管理人員熟悉的常用設(shè)備,對管理操作人員的技術(shù)要求相對較低��。同時�����,由于這類設(shè)備投入使用的時間長��、范圍廣��,和專用分流設(shè)備相比�,技術(shù)更加完善�����,使用更加安全�。
4、易于維護�����,節(jié)約運作成本本發(fā)明中使用的交換機作為一項成熟的技術(shù),一般不容易發(fā)生問題��。維護工作只需保證轉(zhuǎn)發(fā)器能正確的工作就可以了�。由于轉(zhuǎn)發(fā)器的工作流程比較簡單,只需要從一個網(wǎng)口獲取數(shù)據(jù)包����,修改目的MAC地址,發(fā)到另一個網(wǎng)卡即可��,因而轉(zhuǎn)發(fā)器的維護工作也很容易�。
5、性價比高�,本發(fā)明中使用的計算機和交換機都是較為常見的設(shè)備,和專用分流設(shè)備相比�,價格比較低廉,性價比較高�����。
通過以下實施例結(jié)合其附圖的描述��,可以進一步理解本發(fā)明的目的�、具體結(jié)構(gòu)特點和優(yōu)點���,其中,附圖為圖1是現(xiàn)有技術(shù)一種高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)的結(jié)構(gòu)方框圖�;圖2是現(xiàn)有技術(shù)另一種高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)的結(jié)構(gòu)方框圖;
圖3是本發(fā)明高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)的結(jié)構(gòu)方框圖�;圖4是轉(zhuǎn)發(fā)器的邏輯結(jié)構(gòu)圖;圖5是標準以太網(wǎng)數(shù)據(jù)包的結(jié)構(gòu)示意圖�;圖6是轉(zhuǎn)發(fā)器修改數(shù)據(jù)包MAC地址的示意圖;圖7是本發(fā)明高性能網(wǎng)絡(luò)入侵檢測方法對一個數(shù)據(jù)包的處理步驟流程圖�。
具體實施例方式
請參見圖3,本發(fā)明的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)�����,由一臺轉(zhuǎn)發(fā)器���、至少一臺交換機和多臺檢測引擎通過信息傳輸線路連接組成;轉(zhuǎn)發(fā)器的輸入端連接高速網(wǎng)絡(luò)���,其輸出端連接一臺或分別連接多臺交換機�����,交換機的輸出端分別連接多臺檢測引擎����。轉(zhuǎn)發(fā)器內(nèi)安裝有分流系統(tǒng),該分流系統(tǒng)由抓包模塊����、包處理模塊和發(fā)包模塊組成,其邏輯結(jié)構(gòu)如圖4所示�����,抓包模塊抓取網(wǎng)絡(luò)數(shù)據(jù)包之后��,包處理模塊根據(jù)預(yù)定義的策略修改數(shù)據(jù)包的目的MAC地址�����,然后由發(fā)包模塊將修改后的數(shù)據(jù)包轉(zhuǎn)發(fā)往高性能交換機�。交換機用于接收來自轉(zhuǎn)發(fā)器的數(shù)據(jù)包、并根據(jù)目標地址將數(shù)據(jù)包發(fā)送到合適的檢測引擎����。各檢測引擎分別獨立執(zhí)行入侵檢測。
轉(zhuǎn)發(fā)器的主要功能是修改數(shù)據(jù)包的目的MAC地址���。以太網(wǎng)數(shù)據(jù)包主要由目的MAC地址���、源MAC地址��、類型等部分組成���,其基本結(jié)構(gòu)如圖5所示。包處理模塊負責(zé)修改其中的目的MAC地址部分����,根據(jù)預(yù)定義的策略將目的MAC地址修改為與各檢測引擎對應(yīng)的地址,其目的是分攤各檢測引擎的處理流量�,為交換機的分流操作提供依據(jù)。目的MAC地址的修改過程如圖6所示�。
請參見圖7,本發(fā)明的高性能網(wǎng)絡(luò)入侵檢測方法��,通過本發(fā)明的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)實施�,該檢測方法在高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)啟動后��,對一個數(shù)據(jù)包的處理步驟�,首先由轉(zhuǎn)發(fā)器執(zhí)行以下第一步至第三步第一步、抓取數(shù)據(jù)包轉(zhuǎn)發(fā)器中的抓包模塊從高速網(wǎng)絡(luò)中抓取數(shù)據(jù)包���;第二步�、修改目的MAC地址轉(zhuǎn)發(fā)器中的包處理模塊根據(jù)預(yù)定義的策略將第一步所抓取的數(shù)據(jù)包的目的MAC地址修改為與各檢測引擎對應(yīng)的地址;
第三步���、轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)器中的發(fā)包模塊將修改目的MAC地址后的數(shù)據(jù)包轉(zhuǎn)發(fā)到高性能交換機����;接著由高性能交換機執(zhí)行第四步分流數(shù)據(jù)包高性能交換機接收由轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)來的數(shù)據(jù)包后��,通過識別目的MAC地址將數(shù)據(jù)包發(fā)送到合適的檢測引擎�,實現(xiàn)數(shù)據(jù)包的分流;最后由各檢測引擎執(zhí)行第五步入侵檢測各檢測引擎接收到數(shù)據(jù)包后獨立工作�,分別對來自交換機的一部分數(shù)據(jù)包進行入侵檢測。
在處理一個數(shù)據(jù)包的同時���,以流水線并發(fā)處理的方式處理其它數(shù)據(jù)包���。
權(quán)利要求
1.一種高性能網(wǎng)絡(luò)入侵檢測系統(tǒng),該系統(tǒng)與高速網(wǎng)絡(luò)相連���,包括執(zhí)行入侵檢測的檢測引擎��,其特征在于還包括一臺轉(zhuǎn)發(fā)器和至少一臺交換機����,所述的檢測引擎為多臺,所述的轉(zhuǎn)發(fā)器的輸入端連接高速網(wǎng)絡(luò)�����,其輸出端連接一臺或分別連接多臺交換機�����,交換機同時分別連接多臺檢測引擎����;所述轉(zhuǎn)發(fā)器用于從高速網(wǎng)絡(luò)抓取數(shù)據(jù)包、修改數(shù)據(jù)包的目的MAC地址后轉(zhuǎn)發(fā)到交換機�����,交換機用于接收來自轉(zhuǎn)發(fā)器的數(shù)據(jù)包���、并根據(jù)目標地址將數(shù)據(jù)包發(fā)送到合適的檢測引擎���。
2.根據(jù)權(quán)利要求1所述的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)�����,其特征在于所述的轉(zhuǎn)發(fā)器內(nèi)安裝有分流系統(tǒng),該分流系統(tǒng)由抓包模塊��、包處理模塊和發(fā)包模塊組成����;抓包模塊用于抓取網(wǎng)絡(luò)數(shù)據(jù)包,包處理模塊用于修改數(shù)據(jù)包的目的MAC地址����,發(fā)包模塊用于將修改后的數(shù)據(jù)包發(fā)往交換機。
3.一種高性能網(wǎng)絡(luò)入侵檢測方法����,通過高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)實施,其特征在于該檢測方法對一個數(shù)據(jù)包的處理步驟如下第一步����、抓取數(shù)據(jù)包轉(zhuǎn)發(fā)器中的抓包模塊從高速網(wǎng)絡(luò)中抓取數(shù)據(jù)包;第二步����、修改目的MAC地址轉(zhuǎn)發(fā)器中的包處理模塊根據(jù)預(yù)定義的策略將第一步所抓取的數(shù)據(jù)包的目的MAC地址修改為與各檢測引擎對應(yīng)的地址;第三步��、轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)器中的發(fā)包模塊將修改目的MAC地址后的數(shù)據(jù)包轉(zhuǎn)發(fā)到高性能交換機;第四步����、分流數(shù)據(jù)包高性能交換機接收由轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)來的數(shù)據(jù)包后,通過識別目的MAC地址將數(shù)據(jù)包發(fā)送到合適的檢測引擎��,實現(xiàn)數(shù)據(jù)包的分流��;第五步�����、入侵檢測各檢測引擎接收到數(shù)據(jù)包后獨立工作�����,分別對來自交換機的一部分數(shù)據(jù)包進行入侵檢測��。
4.如權(quán)利要求3所述的高性能網(wǎng)絡(luò)入侵檢測方法��,其特征在于該方法在處理一個數(shù)據(jù)包的同時�,以流水線并發(fā)處理的方式處理其它數(shù)據(jù)包。
全文摘要
本發(fā)明公開了一種高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)和檢測方法��,其檢測系統(tǒng)由一臺轉(zhuǎn)發(fā)器�、至少一臺交換機和多臺檢測引擎通過信息傳輸線路連接組成,在轉(zhuǎn)發(fā)器內(nèi)安裝有分流系統(tǒng)���。其檢測方法對一個數(shù)據(jù)包的處理過程包括抓取數(shù)據(jù)包���、修改目的MAC地址、轉(zhuǎn)發(fā)數(shù)據(jù)包��、分流數(shù)據(jù)包和入侵檢測等步驟�����。本發(fā)明的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)和檢測方法實行了數(shù)據(jù)分流����,提高了檢測性能,部署方便��、具有良好的伸縮性��,易于使用和維護�,性價比高。適用于各種需要多臺檢測引擎才能實現(xiàn)高性能入侵檢測的高速網(wǎng)絡(luò)���。
文檔編號H04M3/22GK1450758SQ03116970
公開日2003年10月22日 申請日期2003年5月16日 優(yōu)先權(quán)日2003年5月16日
發(fā)明者金波, 周晴杰, 譚明, 吳詠煒, 吳國江 申請人:上海金諾網(wǎng)絡(luò)安全技術(shù)發(fā)展股份有限公司