学位论文 > 优秀研究生学位论文题录展示
基于多核平台的入侵检测系统的设计与实现
作 者: 庄卓俊
导 师: 胡越明
学 校: 上海交通大学
专 业: 计算机系统结构
关键词: 多核计算技术 网络入侵检测系统(NIDS) Snort 负载均衡调度算法 因子分析模型
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 68次
引 用: 3次
阅 读: 论文下载
内容摘要
|
Internet技术的发展为信息交互和共享提供了便利,同时也带来了很多安全隐患。入侵检测技术是解决网络安全隐患的重要技术之一,它能够对非法或者越权使用计算机系统的人员和活动进行识别。随着网络传输速度的不断提高,传统的网络入侵检测系统(NIDS)已经无法满足高速检测的需要,如何提高NIDS的检测速度已经成为了当前入侵检测技术发展的重要课题之一。多核计算技术的迅速发展为高速NIDS的实现提供了有力的支持,通过检测任务合理的划分和调度,并充分利用多核CPU上的物理核并行执行检测任务,可以有效提高NIDS的检测速度。本文通过对入侵检测技术和多核计算技术的研究,设计了一种基于多核平台的并行NIDS系统,该系统具有简单的架构设计和较好的可扩展性。笔者利用Snort入侵检测系统的框架,实现了任务调度与并行检测等功能,并将它们集成到了Snort的系统框架中。本文的主要创新点包括以下三个方面:第一,通过分析与比较不同的并行NIDS理论模型,提出了一种适合在多核平台上实现的NIDS架构,并在Snort框架的基础上进行了实现。系统实现了包括流状态表、性能负载表和数据包环形缓冲等关键模块,并通过对Snort中部分代码的多线程化,提高了Snort的检测效率。实验结果表明:对于大部分网络流量,系统加速比一般随着线程数量的增大提高显著。第二,在综合考虑影响负载的多个性能指标的基础上,提出了一种适用于本系统的负载均衡调度算法。该算法在保证数据流连接保持的条件下,对检测任务进行了较为合理的划分和调度。实验结果表明:当网络流量中的数据流连接个数和待检测数据包的数量足够多时,该算法的数据包吞吐率通常比最小连接调度法的数据包吞吐率高。第三,提出了一种全新的负载因子定义方法。传统的负载因子定义方法很少考虑影响定义的性能指标之间的关系,并且定义方法也过于主观,缺乏理论分析的支持,一定程度上影响了定义的准确性。本文利用因子分析模型,将原始的性能指标用一组不相关的因子变量表示,通过对因子变量较为合理的负载定义并利用变量替换的方法,重新给出了一种以原始性能指标为参数的较为合理的负载因子定义方法。实验结果表明:当系统捕获的网络数据包足够多且对流量特征分析较为准确时,该方法通常比原来的主观定义方法效果好。
|
全文目录
摘要 5-7
ABSTRACT 7-13
第一章 绪论 13-19
1.1 研究目的和意义 13-14
1.2 论文的研究内容 14-15
1.3 论文的研究贡献和创新点 15-17
1.4 论文的组织结构 17-19
第二章 入侵检测系统概述 19-30
2.1 引言 19
2.2 IDS 的基本概念 19-22
2.2.1 网络中的安全隐患 20-21
2.2.2 IDS 的基本功能 21-22
2.3 IDS 的发展历史 22-23
2.4 IDS 的分类 23-27
2.4.1 根据检测对象分类 24-25
2.4.2 根据检测方法分类 25-26
2.4.3 根据响应策略分类 26
2.4.4 根据体系结构分类 26
2.4.5 根据工作方式分类 26-27
2.5 IDS 存在的缺陷和面临的挑战 27-28
2.6 IDS 的发展趋势 28-29
2.7 本章小结 29-30
第三章 基于多核平台的并行编程技术 30-44
3.1 引言 30-31
3.2 多核技术概述 31-35
3.2.1 多核处理器的基本概念 31-32
3.2.2 多核处理器的发展历史 32-33
3.2.3 Intel 超线程技术 33-34
3.2.4 多核平台为NIDS 提供的支持 34-35
3.3 并行计算技术概述 35-40
3.3.1 并行算法的概念和分类 35-36
3.3.2 并行算法的设计策略和方法 36-37
3.3.3 并行算法的编程模型 37-39
3.3.4 并行程序的性能评测 39
3.3.5 并行计算对NIDS 的意义 39-40
3.4 多核平台上并行编程的关键问题 40-43
3.4.1 编程环境的选取问题 40-41
3.4.2 任务调度的负载均衡问题 41-42
3.4.3 多核平台上的多线程程序调试问题 42-43
3.5 本章小结 43-44
第四章 基于多核平台的入侵检测系统的设计 44-75
4.1 引言 44-45
4.2 理论模型的比较和选择 45-57
4.2.1 模型设计的基本策略 46-47
4.2.2 专用检测模型 47-52
4.2.3 混合检测模型 52-55
4.2.4 通用检测模型 55-57
4.3 系统架构和系统流程 57-61
4.3.1 系统架构 57-59
4.3.2 系统流程 59-61
4.4 流状态表模块的设计 61-63
4.4.1 流状态表Hash 算法的信息论分析 61-62
4.4.2 流状态表Hash 算法的实验分析 62-63
4.5 负载均衡调度模块的设计 63-68
4.5.1 负载均衡调度算法的实现方式 63-64
4.5.2 系统中负载均衡调度算法的设计 64-68
4.6 负载因子定义模块的设计 68-74
4.6.1 负载因子定义的相关研究和主要缺陷 68-70
4.6.2 基于因子分析理论的负载定义 70-74
4.7 本章小结 74-75
第五章 基于多核平台的入侵检测系统的实现 75-107
5.1 引言 75-76
5.2 SNORT 系统源码分析 76-87
5.2.1 Snort 系统的基本流程 76-78
5.2.2 Snort 的插件机制 78-81
5.2.3 Snort 的规则链表 81-83
5.2.4 Snort 的快速规则匹配引擎 83-84
5.2.5 Snort 的数据包处理 84-86
5.2.6 Snort 的事件机制 86-87
5.3 系统模块的实现 87-98
5.3.1 流状态表的实现 88-90
5.3.2 性能负载表的实现 90-92
5.3.3 数据包环形缓冲的实现 92-95
5.3.4 调度算法的实现 95-98
5.4 系统模块与SNORT 系统的整合 98-102
5.4.1 数据包检测的线程化包装 98-99
5.4.2 重要变量的复制和共享 99-101
5.4.3 多核平台上多线程NIDS 的集成 101-102
5.5 系统调试 102-105
5.5.1 Intel(?) VTune 性能分析器简介 102
5.5.2 多核平台上多线程NIDS 的调试和优化 102-105
5.6 本章小结 105-107
第六章 系统测试 107-119
6.1 引言 107
6.2 测试环境 107-108
6.3 性能测试指标 108-109
6.4 测试结果与分析 109-117
6.4.1 加速比测试 109-111
6.4.2 调度算法的有效性测试 111-113
6.4.3 多模式匹配算法对系统性能的影响 113-114
6.4.4 负载因子定义效果测试 114-117
6.5 本章小结 117-119
第七章 总结与展望 119-121
参考文献 121-126
附录 126-130
致谢 130-132
攻读硕士学位期间的科研与学术论文 132-135
上海交通大学学位论文答辩决议书 135
|
相似论文
- 基于snort的IPS研究,TP393.08
- 基于信任度量机制的入侵检测系统研究与实现,TP393.08
- 基于关联规则的入侵检测系统设计与实现,TP393.08
- 校园局域网入侵检测技术研究,TP393.08
- 基于Snort的校园网分布式入侵检测系统设计,TP393.08
- 基于Snort入侵检测系统关联规则挖掘的研究与实现,TP393.08
- 入侵检测匹配过程与算法改进研究,TP393.08
- 基于Honeypot的入侵检测系统的应用和研究,TP393.08
- 对等网中协同入侵检测的研究,TP393.08
- 基于IPv6的入侵检测系统研究和设计,TP393.08
- 基于Snort的分布式入侵检测系统的研究与应用,TP393.08
- Linux下的网络入侵检测系统的设计与实现,TP393.08
- 基于离群点挖掘的网络入侵检测方法研究,TP393.08
- 基于Snort的入侵检测系统的研究与改进,TP393.08
- 无线局域网中DoS攻击的检测和防御方法研究,TN925.93
- 高速网络下提高Snort检测率的方法研究,TP393.08
- 校园网入侵检测系统的研究与应用,TP393.08
- Snort在校园网关键子网入侵检测中的应用,TP393.08
- 基于神经网络的入侵检测系统的研究,TP393.08
- 基于Snort的混合入侵检测系统的研究与实现,TP393.08
- 基于HMM模型的对于Snort入侵检测系统的研究与改进,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|