基于高速網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)系統(tǒng)的性能優(yōu)化分析

0 引言

在當(dāng)今高速網(wǎng)絡(luò)不斷發(fā)展的形勢(shì)下，入侵檢測(cè)系統(tǒng)的處理能力已經(jīng)落后于網(wǎng)絡(luò)數(shù)據(jù)的產(chǎn)生速度，針對(duì)這種情況，只有切實(shí)地促進(jìn)高速網(wǎng)絡(luò)環(huán)境中入侵檢測(cè)系統(tǒng)性能的優(yōu)化，才能有效地解決入侵檢測(cè)所存在的問題。現(xiàn)在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)面臨的一個(gè)核心挑戰(zhàn)是處理速度問題。大多數(shù)研究人員對(duì)入侵檢測(cè)系統(tǒng)處理速度的研究還停留在從前的技術(shù)情況以及系統(tǒng)構(gòu)架上分析并提出解決方法，這種方法忽略了導(dǎo)致網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)出現(xiàn)速度問題的原因。本文將在分析入侵檢測(cè)系統(tǒng)構(gòu)成的同時(shí)，提出入侵檢測(cè)系統(tǒng)出現(xiàn)問題的因素，并深入探討有效解決速度問題的技術(shù)和方法。

1 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)存在的速度問題

由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的不同，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的具體實(shí)現(xiàn)也分為多種形式，按照結(jié)構(gòu)構(gòu)成，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分為報(bào)文捕獲、入侵分析、響應(yīng)處理三個(gè)部分，除此之外，規(guī)則集、數(shù)據(jù)存儲(chǔ)等功能模塊的有效應(yīng)用，能夠?qū)崿F(xiàn)系統(tǒng)內(nèi)部更為全面、穩(wěn)定的安全檢測(cè)和數(shù)據(jù)分析作用。

（1）報(bào)文捕獲模塊是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基礎(chǔ)模塊，主要用于捕獲接收受保護(hù)系統(tǒng)運(yùn)行狀態(tài)中的運(yùn)行數(shù)據(jù)以及實(shí)現(xiàn)數(shù)據(jù)的過濾和相關(guān)的預(yù)處理工作，保證入侵分析模塊和數(shù)據(jù)存儲(chǔ)模塊擁有準(zhǔn)確、穩(wěn)定的數(shù)據(jù)源。

（2）入侵分析模塊在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中處于核心地位，其由對(duì)原始數(shù)據(jù)進(jìn)行同步、整理、組織、分類、特征提取和類型的細(xì)致分析，提取其中所具有的系統(tǒng)活動(dòng)特征或模式等內(nèi)容構(gòu)成，對(duì)判斷正常和異常行為有著不可替代的作用。

（3）響應(yīng)處理模塊是指在發(fā)現(xiàn)入侵者的攻擊行為后，所必須實(shí)行的應(yīng)對(duì)處理措施可選的響應(yīng)措施主要分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。主動(dòng)響應(yīng)通過采取自動(dòng)的或用戶設(shè)置的方式來達(dá)到阻斷攻擊的目的或通過其它方式來阻礙攻擊的進(jìn)行。被動(dòng)響應(yīng)只發(fā)揮報(bào)告和記錄發(fā)生的事件的作用，下一步的工作由安全員和管理員負(fù)責(zé)。

在高速網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的速度難題主要表現(xiàn)在以下幾個(gè)方面：

報(bào)文捕獲的速度問題。傳統(tǒng)的報(bào)文捕獲模塊以操作系統(tǒng)的捕包接口為基礎(chǔ)，容易操作，處理也很便捷、安全，但是由于操作系統(tǒng)要把采集到的數(shù)據(jù)包在返回給用戶空間的入侵檢測(cè)系統(tǒng)過程中進(jìn)行多次的數(shù)據(jù)拷貝，這樣就導(dǎo)致CPU處理能力的限制。

入侵分析的速度問題?，F(xiàn)在的大多數(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)采用的是誤用檢測(cè)模式，因此在分析過程中要實(shí)現(xiàn)對(duì)已采集到的數(shù)據(jù)的模式匹配。在網(wǎng)絡(luò)高速化發(fā)展、流量持續(xù)擴(kuò)大的情況下，入侵檢測(cè)系統(tǒng)受到的來自網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)的負(fù)載也在不斷增大，對(duì)傳統(tǒng)的模式匹配算法的速度要求也呈現(xiàn)不斷提高的趨勢(shì)。除此之外，由于網(wǎng)絡(luò)攻擊存在的多樣化、復(fù)雜化和大規(guī)?；奶匦?，使得模式匹配的規(guī)則集在不斷擴(kuò)展，因此，要通過使用傳統(tǒng)的匹配算法對(duì)日趨增多的攻擊類型進(jìn)行有效安全的檢測(cè)是遠(yuǎn)遠(yuǎn)不夠的。

2 實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)性能優(yōu)化的措施

2.1 對(duì)報(bào)文捕獲系統(tǒng)進(jìn)行創(chuàng)新和改進(jìn)

高速網(wǎng)絡(luò)環(huán)境下的傳統(tǒng)數(shù)據(jù)報(bào)文捕獲系統(tǒng)通常會(huì)產(chǎn)生多余的數(shù)據(jù)拷貝或出現(xiàn)頻繁的中斷調(diào)用，這樣會(huì)消耗許多不必要的CPU資源，從而對(duì)系統(tǒng)整體性能的發(fā)揮產(chǎn)生不利影響。要使CPU不再被不必要的使用，優(yōu)化系統(tǒng)性能，就要合理地引入零拷貝技術(shù)和TOE思想。

零拷貝技術(shù)較多地被應(yīng)用在DMA傳送技術(shù)和內(nèi)存區(qū)域映射技術(shù)上，其通過取消內(nèi)存空間和用戶空間之間的數(shù)據(jù)拷貝，使得CPU不需要進(jìn)行不必要的內(nèi)存拷貝工作，這樣用戶程序就可以擁有更多的系統(tǒng)資源。雖然零拷貝降低了一般系統(tǒng)中因?yàn)閿?shù)據(jù)拷貝而產(chǎn)生的過多的系統(tǒng)資源耗費(fèi)，但其并沒有切實(shí)地使CPU處理能力滿足網(wǎng)絡(luò)處理的需求。當(dāng)網(wǎng)絡(luò)帶寬較大的時(shí)候，主機(jī)系統(tǒng)要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的有效處理依舊要消耗大量的系統(tǒng)資源。

報(bào)文捕獲系統(tǒng)通過引入TOE思想能夠有效地提高其的靈活程度，這樣的報(bào)文捕獲系統(tǒng)可以根據(jù)不同的應(yīng)用需要來對(duì)軟件進(jìn)行靈活的修改和調(diào)整，除此之外，其使用MAC芯片能夠?qū)崿F(xiàn)部分網(wǎng)絡(luò)計(jì)算的加速處理，例如校驗(yàn)和的計(jì)算、MAC幀地址的過濾等，這樣就可以有效地增強(qiáng)原有系統(tǒng)的網(wǎng)絡(luò)處理能力。

2.2 合理改進(jìn)入侵分析方法

網(wǎng)絡(luò)數(shù)據(jù)流量的不斷擴(kuò)展和入侵特征的日益增多使得以特征檢測(cè)為基礎(chǔ)的傳統(tǒng)入侵分析方法存在較大的速度問題。因此，要促進(jìn)入侵檢測(cè)系統(tǒng)滿足網(wǎng)絡(luò)快速發(fā)展的需要，優(yōu)化入侵分析的速度，就必須從多個(gè)方面對(duì)分析方法進(jìn)行改進(jìn)和創(chuàng)新。

在高速網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)包的到達(dá)速率已經(jīng)遠(yuǎn)遠(yuǎn)高于系統(tǒng)的處理能力，這就會(huì)導(dǎo)致丟包現(xiàn)象的出現(xiàn)。通過負(fù)載均衡技術(shù)把傳統(tǒng)的集中式處理機(jī)制轉(zhuǎn)換成并行處理模式，這樣能夠有效提高系統(tǒng)的入侵分析能力，減少系統(tǒng)的丟包量。負(fù)載均衡機(jī)制是指在高速網(wǎng)絡(luò)環(huán)境下，入侵檢測(cè)系統(tǒng)通過科學(xué)的流量分配方式，把前端捕獲Gbps級(jí)的大數(shù)據(jù)流分流，再利用低速入侵檢測(cè)系統(tǒng)將其在后端進(jìn)行并行處理，以此來提高入侵檢測(cè)的效率和及時(shí)性。由于這種結(jié)構(gòu)對(duì)負(fù)載均衡器有著很高的要求，除了要在前端接收高速的數(shù)據(jù)，還要實(shí)現(xiàn)對(duì)這些數(shù)據(jù)的合理的分類與轉(zhuǎn)發(fā)，一般要通過專用的硬件來完成工作。與此同時(shí)，制訂切實(shí)可行的負(fù)載均衡方案也是至關(guān)重要的，在這里，檢驗(yàn)負(fù)載均衡方案是否合理的兩個(gè)重要指標(biāo)是保證多個(gè)處理系統(tǒng)的負(fù)載均衡和實(shí)現(xiàn)轉(zhuǎn)發(fā)數(shù)據(jù)的連接完整性，這兩個(gè)指標(biāo)也是進(jìn)行相關(guān)研究的核心內(nèi)容。

在以特征匹配為基礎(chǔ)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)里，模式匹配成為系統(tǒng)主要存在的性能阻礙。相關(guān)研究顯示，模式匹配過程在入侵檢測(cè)系統(tǒng)運(yùn)行過程中耗費(fèi)的時(shí)間最長(zhǎng)，約占整個(gè)系統(tǒng)運(yùn)行時(shí)間百分之三十。因此，通過在目前的以特征匹配為基礎(chǔ)的入侵檢測(cè)系統(tǒng)中實(shí)現(xiàn)模式匹配算法的優(yōu)化升級(jí)能夠有效地促進(jìn)系統(tǒng)性能的增強(qiáng)。

現(xiàn)在主要使用的模式匹配算法包括單模式匹配的BM算法、多模式匹配的AC-BM和Wu-Manber算法等。BM算法雖然是單模式算法中性能最強(qiáng)的，但其有著局限于提高單條規(guī)則匹配效率，不能提高整個(gè)規(guī)則及匹配效率的缺陷。AC-BM和Wu-Manber算法的匹配速度盡管很快，但還是有一些不足之處。例如，AC-BM 算法對(duì)于系統(tǒng)內(nèi)存量的要求極其嚴(yán)格，二者對(duì)于規(guī)則集的最小長(zhǎng)度都很敏感。對(duì)于這些不足，相關(guān)研究人員提出用規(guī)則中最少見連續(xù)字符串進(jìn)行匹配的Piranha算法等匹配算法的創(chuàng)新思維，這些算法都具有很好的匹配性能。

隨著近些年來半導(dǎo)體技術(shù)的不斷進(jìn)步，算法的硬件化實(shí)現(xiàn)也取得了很大的突破，在一定程度上促進(jìn)了入侵檢測(cè)系統(tǒng)問題的解決和模式匹配效率的有效提高。算法的硬件實(shí)現(xiàn)方式包括自動(dòng)機(jī)、字符串預(yù)處理、CAM 等，能夠?qū)崿F(xiàn)在千兆以上的網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。除此之外，通過把動(dòng)態(tài)調(diào)整應(yīng)用到規(guī)則集的使用中的方式，使規(guī)則集的大小和范圍根據(jù)網(wǎng)絡(luò)的流量和時(shí)間的反饋程度而進(jìn)行動(dòng)態(tài)的調(diào)整，這樣就能夠?qū)崿F(xiàn)系統(tǒng)的丟包率和漏報(bào)率處于動(dòng)態(tài)平衡，發(fā)揮入侵檢測(cè)的最優(yōu)性能。這種動(dòng)態(tài)調(diào)整的方式是把模式匹配進(jìn)行系統(tǒng)的優(yōu)化和創(chuàng)新，促使系統(tǒng)丟包率在現(xiàn)在網(wǎng)絡(luò)高速發(fā)展和規(guī)則集急速膨脹的情況下得到有效的控制，切實(shí)提高入侵檢測(cè)系統(tǒng)的性能。協(xié)議分析是按照協(xié)議規(guī)范進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的分析，明確數(shù)據(jù)包的分類，接著實(shí)現(xiàn)檢測(cè)域的精準(zhǔn)定位，并根據(jù)相應(yīng)的規(guī)則檢測(cè)出攻擊特性。它的特點(diǎn)是通過網(wǎng)絡(luò)協(xié)議的高度有序性和結(jié)構(gòu)來快速檢測(cè)某個(gè)攻擊特征的位置，相較于特征的簡(jiǎn)單匹配，其不僅減少了計(jì)算量，而且有效地提高了檢測(cè)的精確水平。

協(xié)議分析在應(yīng)用層中的合理應(yīng)用促進(jìn)了入侵檢測(cè)系統(tǒng)的準(zhǔn)確率和效率的明顯提高，其也具備了對(duì)于變種攻擊較強(qiáng)的免疫能力。由于協(xié)議分析模塊的單獨(dú)實(shí)現(xiàn)較為困難，所以采取與模式匹配算法相結(jié)合的手段，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)保進(jìn)行層層協(xié)議解析后，再運(yùn)用模式匹配算法對(duì)特定檢測(cè)域進(jìn)行特征檢測(cè)，有效地利用網(wǎng)絡(luò)協(xié)議的層次性和規(guī)則性對(duì)規(guī)則集進(jìn)行分類，這樣，就能有效地減少在相應(yīng)的模式匹配中需要匹配的規(guī)則數(shù)，減少模式匹配所需的計(jì)算量，此外，還能夠進(jìn)一步增強(qiáng)系統(tǒng)檢測(cè)的準(zhǔn)確度。

3 結(jié)束語(yǔ)

在當(dāng)今高速網(wǎng)絡(luò)不斷發(fā)展創(chuàng)新的形勢(shì)下，入侵檢測(cè)系統(tǒng)也面臨著很多的機(jī)遇和挑戰(zhàn)，只有在充分了解了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的系統(tǒng)構(gòu)成之后，認(rèn)識(shí)到系統(tǒng)在高速網(wǎng)絡(luò)環(huán)境中所產(chǎn)生的速度問題和阻礙因素，最后針對(duì)這些問題，總結(jié)并提出切實(shí)合理的應(yīng)對(duì)方案，才能促進(jìn)高速網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)系統(tǒng)性能優(yōu)化的有效實(shí)現(xiàn)。