基于高速网络环境下入侵检测系统的性能优化分析

时间：2024-09-03

0 引言

在当今高速网络不断发展的形势下，入侵检测系统的处理能力已经落后于网络数据的产生速度，针对这种情况，只有切实地促进高速网络环境中入侵检测系统性能的优化，才能有效地解决入侵检测所存在的问题。现在网络入侵检测系统面临的一个核心挑战是处理速度问题。大多数研究人员对入侵检测系统处理速度的研究还停留在从前的技术情况以及系统构架上分析并提出解决方法，这种方法忽略了导致网络入侵检测系统出现速度问题的原因。本文将在分析入侵检测系统构成的同时，提出入侵检测系统出现问题的因素，并深入探讨有效解决速度问题的技术和方法。

1 网络入侵检测系统存在的速度问题

由于网络环境和系统安全策略的不同，网络入侵检测系统的具体实现也分为多种形式，按照结构构成，网络入侵检测系统分为报文捕获、入侵分析、响应处理三个部分，除此之外，规则集、数据存储等功能模块的有效应用，能够实现系统内部更为全面、稳定的安全检测和数据分析作用。

（1）报文捕获模块是网络入侵检测系统的基础模块，主要用于捕获接收受保护系统运行状态中的运行数据以及实现数据的过滤和相关的预处理工作，保证入侵分析模块和数据存储模块拥有准确、稳定的数据源。

（2）入侵分析模块在网络入侵检测系统中处于核心地位，其由对原始数据进行同步、整理、组织、分类、特征提取和类型的细致分析，提取其中所具有的系统活动特征或模式等内容构成，对判断正常和异常行为有着不可替代的作用。

（3）响应处理模块是指在发现入侵者的攻击行为后，所必须实行的应对处理措施可选的响应措施主要分为主动响应和被动响应。主动响应通过采取自动的或用户设置的方式来达到阻断攻击的目的或通过其它方式来阻碍攻击的进行。被动响应只发挥报告和记录发生的事件的作用，下一步的工作由安全员和管理员负责。

在高速网络环境下，传统的网络入侵检测系统的速度难题主要表现在以下几个方面：

报文捕获的速度问题。传统的报文捕获模块以操作系统的捕包接口为基础，容易操作，处理也很便捷、安全，但是由于操作系统要把采集到的数据包在返回给用户空间的入侵检测系统过程中进行多次的数据拷贝，这样就导致CPU处理能力的限制。

入侵分析的速度问题。现在的大多数网络入侵检测系统采用的是误用检测模式，因此在分析过程中要实现对已采集到的数据的模式匹配。在网络高速化发展、流量持续扩大的情况下，入侵检测系统受到的来自网络数据检测的负载也在不断增大，对传统的模式匹配算法的速度要求也呈现不断提高的趋势。除此之外，由于网络攻击存在的多样化、复杂化和大规模化的特性，使得模式匹配的规则集在不断扩展，因此，要通过使用传统的匹配算法对日趋增多的攻击类型进行有效安全的检测是远远不够的。

2 实现网络入侵检测系统性能优化的措施

2.1 对报文捕获系统进行创新和改进

高速网络环境下的传统数据报文捕获系统通常会产生多余的数据拷贝或出现频繁的中断调用，这样会消耗许多不必要的CPU资源，从而对系统整体性能的发挥产生不利影响。要使CPU不再被不必要的使用，优化系统性能，就要合理地引入零拷贝技术和TOE思想。

零拷贝技术较多地被应用在DMA传送技术和内存区域映射技术上，其通过取消内存空间和用户空间之间的数据拷贝，使得CPU不需要进行不必要的内存拷贝工作，这样用户程序就可以拥有更多的系统资源。虽然零拷贝降低了一般系统中因为数据拷贝而产生的过多的系统资源耗费，但其并没有切实地使CPU处理能力满足网络处理的需求。当网络带宽较大的时候，主机系统要实现对网络数据包的有效处理依旧要消耗大量的系统资源。

报文捕获系统通过引入TOE思想能够有效地提高其的灵活程度，这样的报文捕获系统可以根据不同的应用需要来对软件进行灵活的修改和调整，除此之外，其使用MAC芯片能够实现部分网络计算的加速处理，例如校验和的计算、MAC帧地址的过滤等，这样就可以有效地增强原有系统的网络处理能力。

2.2 合理改进入侵分析方法

网络数据流量的不断扩展和入侵特征的日益增多使得以特征检测为基础的传统入侵分析方法存在较大的速度问题。因此，要促进入侵检测系统满足网络快速发展的需要，优化入侵分析的速度，就必须从多个方面对分析方法进行改进和创新。

在高速网络环境下，数据包的到达速率已经远远高于系统的处理能力，这就会导致丢包现象的出现。通过负载均衡技术把传统的集中式处理机制转换成并行处理模式，这样能够有效提高系统的入侵分析能力，减少系统的丢包量。负载均衡机制是指在高速网络环境下，入侵检测系统通过科学的流量分配方式，把前端捕获Gbps级的大数据流分流，再利用低速入侵检测系统将其在后端进行并行处理，以此来提高入侵检测的效率和及时性。由于这种结构对负载均衡器有着很高的要求，除了要在前端接收高速的数据，还要实现对这些数据的合理的分类与转发，一般要通过专用的硬件来完成工作。与此同时，制订切实可行的负载均衡方案也是至关重要的，在这里，检验负载均衡方案是否合理的两个重要指标是保证多个处理系统的负载均衡和实现转发数据的连接完整性，这两个指标也是进行相关研究的核心内容。

在以特征匹配为基础的网络入侵检测系统里，模式匹配成为系统主要存在的性能阻碍。相关研究显示，模式匹配过程在入侵检测系统运行过程中耗费的时间最长，约占整个系统运行时间百分之三十。因此，通过在目前的以特征匹配为基础的入侵检测系统中实现模式匹配算法的优化升级能够有效地促进系统性能的增强。

现在主要使用的模式匹配算法包括单模式匹配的BM算法、多模式匹配的AC-BM和Wu-Manber算法等。BM算法虽然是单模式算法中性能最强的，但其有着局限于提高单条规则匹配效率，不能提高整个规则及匹配效率的缺陷。AC-BM和Wu-Manber算法的匹配速度尽管很快，但还是有一些不足之处。例如，AC-BM 算法对于系统内存量的要求极其严格，二者对于规则集的最小长度都很敏感。对于这些不足，相关研究人员提出用规则中最少见连续字符串进行匹配的Piranha算法等匹配算法的创新思维，这些算法都具有很好的匹配性能。

随着近些年来半导体技术的不断进步，算法的硬件化实现也取得了很大的突破，在一定程度上促进了入侵检测系统问题的解决和模式匹配效率的有效提高。算法的硬件实现方式包括自动机、字符串预处理、CAM 等，能够实现在千兆以上的网络的稳定运行。除此之外，通过把动态调整应用到规则集的使用中的方式，使规则集的大小和范围根据网络的流量和时间的反馈程度而进行动态的调整，这样就能够实现系统的丢包率和漏报率处于动态平衡，发挥入侵检测的最优性能。这种动态调整的方式是把模式匹配进行系统的优化和创新，促使系统丢包率在现在网络高速发展和规则集急速膨胀的情况下得到有效的控制，切实提高入侵检测系统的性能。协议分析是按照协议规范进行网络数据包的分析，明确数据包的分类，接着实现检测域的精准定位，并根据相应的规则检测出攻击特性。它的特点是通过网络协议的高度有序性和结构来快速检测某个攻击特征的位置，相较于特征的简单匹配，其不仅减少了计算量，而且有效地提高了检测的精确水平。

协议分析在应用层中的合理应用促进了入侵检测系统的准确率和效率的明显提高，其也具备了对于变种攻击较强的免疫能力。由于协议分析模块的单独实现较为困难，所以采取与模式匹配算法相结合的手段，通过对网络数据保进行层层协议解析后，再运用模式匹配算法对特定检测域进行特征检测，有效地利用网络协议的层次性和规则性对规则集进行分类，这样，就能有效地减少在相应的模式匹配中需要匹配的规则数，减少模式匹配所需的计算量，此外，还能够进一步增强系统检测的准确度。