网络入侵检测系统的负载均衡方案

在高速网络环境下,数据流的高速化使得网络入侵检测系统往往会出现严重的漏报率,针对此性能瓶颈,提出了一种基于预测的并行入侵检测系统的负载均衡方案。该方案主动测量各探测器的负载为预测依据,采用混沌时间序列的全域预测法为预测手段,利用预测的负载值为负载均衡的根据。通过仿真实验,证明了该方案的可行性及有效性,它能有效地均衡负载、减少系统的丢包率。     

PABCS:一种用于并行入侵检测的流量划分算法

网络入侵检测系统的处理速度越来越难以跟上网络的速度,使用多个探测器并行处理网络数据流可以大幅度提高网络入侵检测系统的性能,其关键问题是如何将网络流量划分给多个探测器.考虑负载均衡、攻击证据保持和效率三个方面的要求,提出了一种称为PABCS的流量划分算法.该算法利用TCP连接的状态进行流量的划分,提供了比通常使用的基于Hash的算法更好的负载均衡能力,同时,PABCS保证划分后不丢失检测攻击所需的信息.实验表明,文中算法能够达到1Gbps的处理能力.     

基于动态负载均衡的分层式高速网络入侵检测模型

设计了一种新颖的适用于高速网络的分层式动态负载均衡入侵检测系统模型及相应的动态流量均衡算法。该模型采用两级分流结构,由均衡代理与探测器根据均衡算法配合完成流量的动态均衡分配;动态均衡算法通过对数据包的特征域做敞列运算,将其映射到某个探测器的接收区间内．并根据探测器的负载情况调节接收区间的宽度,合理分配各个探测器上的流量。性能分析和实验结果表明,该模型能够充分利用系统的计算资源,具有良好的动态流量均衡性能及高度的可扩展性,在高带宽环境中有较高的效率。     

基于分流技术的高速网络入侵检测系统设计

针对网络入侵检测系统因自身性能缘故在高速网络上难以有效地进行实时入侵检测,设计了一种基于动态流量负载均衡的分流式入侵检测系统模型,模型中的数据分流器将捕获的网络数据包在数据链路层转发至多个探测机进行处理,并通过动态负载均衡分流算法实现数据的均衡分流.该设计方法能够充分利用系统的计算资源,具有良好的扩展性、动态流量均衡性和检测性能.实验结果表明,通过分流器分流到各个探测器的数据包个数基本上能平均分配,系统的检测分析能力随探测机数量的增加而明显增强.     

多核平台入侵检测系统负载均衡算法设计与实现*

负载均衡是基于多核平台实现高速入侵检测系统的关键技术之一。基于真实流量统计分析发现的流阈值与流数目、流字节数之间变化的规律,提出只调整较大流的动态分流算法HCLF,并实现了原型系统。实验测试表明,与静态哈希算法和新流调整算法相比,HCLF算法在负载均衡度、系统丢包率方面具有显著的优越性,改善了多核平台高速入侵检测系统对突发流量和应用环境的适应性。     

一种基于马尔可夫的负载均衡方法

对于采用并行的高速网络入侵检测系统,负载均衡能力是一个重要的性能指标。多数的负载均衡算法都是根据检测引擎的负载情况来动态地分配数据流。提出了一种基于马尔可夫的负载均衡方法,根据流量分配的历史序列,来决定当前数据流的分配。同时结合当前系统的负载情况,来实现数据流的合理分配。     

基于负载预测的通信网络入侵检测系统设计

针对传统通信网络入侵检测系统负载不均而导致检测精准度低的问题,提出了基于负载预测的通信网络入侵检测系统设计;设计系统硬件结构,使用T-KOKO型监听器及带有监听面板AP-9812M的语音信息监听工具,使用HDMI分配器传输监听信号,选择JY211-QTQ-04型号光缆探测器,其内部含有发射机和接收机,用于发射和接收数据,采用TCP继电器控制器用于改变指令正常执行的顺序;确定负载指标,动态调整负载预测策略,保证负载均衡,并通过hash函数获取网络攻击行初始判别概率向量,实现通信网络入侵检测;由实验结果可知,该系统的运行时间平均值为86.3 s,吞吐率平均为74 Mbps,网络入侵检测准确率平均值为95%,证明所设计通信网络入侵检测系统运行时间较短,吞吐量较高,证明了该系统的检测速度较快,且检测准确率较好,能够为通信网络的安全运行提供系统支持。     

基于FPGA的万兆流量并行实时处理系统研究

针时万兆网络环境下入侵检测、流量审计等应用系统处理能力瓶颈,提出一个并行实时处理体系结构,并基于FPGA实现了原型系统,该系统对OC192(10 Gbps)流量进行分类、过滤及统计,然后将流量分发到多个后台并行处理.系统中设计了通用包分类结构RSTCAM(range-supported split TCAM),该结构资源占用量少,可降低系统功耗,且易于实现范围查找,对基于TCAM包分类系统具有普遍意义.系统中还提出了一种负载均衡算法FDLB(feedback-based dynamic load balancing),FDLB改进了基于表的Hash方法,在保证会话完整性的前提下将流量优先分发给当前负载最小的后端处理.测试表明,原型系统完全胜任万兆流量的线速处理,平均处理延迟为4.2μs.     

基于B+树快速调优的反馈式负载平衡算法

网络带宽飞速发展,应用并行处理技术可以大幅度提高网络入侵检测系统（NIDS）的性能。并行处理环境下的NIDS要求在对报文进行负载均衡分配时要保持连接的完整性,即相关的报文要分配到同一个处理节点。基于B+树的稳定和均衡特性,提出基于B+树快速调优的反馈式负载平衡算法(BLB)。该算法利用B+树搜索性能高、完全平衡的特性,当负载不均衡时,对B+树结构的流表进行快速调优,重映射流表,达到负载均衡。通过仿真实验,证明了该方案能快速使B+树结构连接密集度达到平衡,有效地均衡负载,降低系统的丢包率。     

高速网络环境下的入侵检测技术研究

首先介绍了目前高速网络环境下的入侵检测系统的研究概况,接着对基于FPGA和基于负载均衡技术的两类入侵检测系统模型进行了分析,并重点研究了基于网络处理器的采用负载均衡技术的入侵检测系统中的关键技术即数据捕获技术、负载均衡技术和数据分析技术.     

基于目标预判的网络入侵检测频率自调整算法

在集群环境中,入侵者攻击特定目标是提高攻击效率一种常规手段,有针对性地调度计算资源可有效提高检测效率。提出一种基于攻击目标预判的网络入侵检测系统（NIDS）的检测频率自调整算法DFSATP,检测分析采集到的数据,将发往潜在被攻击目标范围的数据列为高危数据,其余数据为低危数据,指引网络入侵检测系统高频检测发往预测目标的高危数据包,低频检测低危数据包,从而提高NIDS的检测效率,保障在有限的计算资源情况下提高异常数据的检出率。模拟实验结果表明,在高速网络环境下,DFSATP对NIDS检测频率的调整,使得异常数据的检出率得到了一定程度的提升。     

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统（NIDS）的处理速度无法跟上网络通讯及其数量的增长速度，提出了基于Netfilter的分布式NIDS系统和负载均衡算法，在Netfilter上实现了数据包的分流，使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明，分布式NIDS中每个NIDS的负载基本相等，漏检率减少到了单个NIDS的1/4。     

面向并行入侵检测的主动式负载均衡算法

针对网络流量中有些流数目少但其所占的流量比重很大,以及高速网络流量存在极强的突发性,本文提出了一种基于缓冲区队列管理的主动式入侵检测负载均衡（ALBIDS）算法。该算法由静态HASH分流与动态调整两部分组成,模拟实验表明：在真实网络流量trace下,与静态HASH算法和最小队列长度动态调整负载均衡算法相比较,本算法负载均衡度好、流破坏率小、丢包率小,具有很高的应用价值。     

一种面向会话的自适应负载均衡算法

在论述负载均衡技术相关工作的基础上,基于IP报文头多域分类方法,提出自适应负载均衡算法MSF(minimum sessions first),通过动态调整TCP流数目最少的流束,能够在各处理节点间保持动态负载均衡的同时维持会话的完整性.模拟结果表明,MSF算法具有设计简洁、负载均匀度好、重映射破坏度小、会话完整性破坏度小等优点,对不同负载具有良好的综合性能.该算法已经成功地应用在国防科学技术大学计算机学院研制的高速网络安全设备中,在保持较好的负载均衡效果的前提下保证了会话的完整性,提高了网络安全设备的性能.     

结合遗传算法的NIDS多媒体包多线程择危模型

当网络流量超出网络入侵检测系统（NIDS）负载能力时,漏检将不可避免,此时应选择较危险的数据包优先处理。因多媒体数据包在流量中所占比例较大,故曾提出对其识别和特殊处理的方法,收效良好。在此基础上,提出结合遗传算法的NIDS多媒体包多线程择危模型,该模型能在漏检发生时,根据不同线程的最大处理能力,按照多媒体数据包的危险程度择危优先处理。实验结果表明,使用该模型能够有效提高NIDS在每个线程内所选择的多媒体数据包序列的危险系数。     

一种可扩展的高效入侵监测平台技术

为了在更高带宽的网络中进行有效的入侵检测分析,研究了入侵检测中的数据获取技术,提出了一种可扩展的高效入侵监测框架SEIMA(scalable efficient intrusion monitoring architecture).在SEIMA结构模型中,通过将高效网络流量负载分割器与多个并行工作的入侵检测传感器相结合,从而可以将入侵检测扩展应用到更高的网络带宽中;通过使用高效地址翻译技术和缓冲区管理机制实现了旁路操作系统的高性能用户级网络报文传输模型,以便提高单传感器的报文处理性能;通过采用有限自动机的方法构建了基于用户层的多规则报文过滤器以消除多余数据包的处理开销.模拟环境和实际环境下的测试结果表明,SEIMA在提高网络入侵检测系统数据获取效率的同时,能够降低系统CPU的利用率,从而可以将更多的系统资源用于更复杂的数据分析过程.     

基于分布式入侵检测系统的负载均衡算法的比较

随着网络带宽的增长,分布式NIDS逐渐成为入侵检测系统的主流,而其中的负载均衡技术是提高系统性能的关键技术之一。通过模拟的方法,利用真实的网络数据,将多种负载均衡算法分为无连接约束算法和有连接约束算法进行了比较、评价,为分布式入侵检测系统的设计提供负载均衡算法的选择依据。     

基于流特征的数据中心非对称流负载均衡方法

数据中心边界广泛部署的地址转换技术产生的非对称流为负载均衡系统的设计带来了挑战.为了解决软件负载均衡系统不能充分发挥多核处理器和网卡硬件能力的问题,提出一种基于流特征的非对称流负载均衡方法.首先,分析网卡的数据包散列机制,提出数据包调度算法,将数据包调度至预期的CPU核;然后,基于会话报文序列的时间与空间特征,构建大象流识别算法;最后,基于识别结果,提出负载均衡方法.实验结果表明,非对称流负载均衡方法可以正确处理非对称流的负载均衡,平均吞吐率提升约14.5%.