基于高速網絡環境下入侵檢測系統的性能優化分析

0 引言

在當今高速網絡不斷發展的形勢下，入侵檢測系統的處理能力已經落后于網絡數據的產生速度，針對這種情況，只有切實地促進高速網絡環境中入侵檢測系統性能的優化，才能有效地解決入侵檢測所存在的問題。現在網絡入侵檢測系統面臨的一個核心挑戰是處理速度問題。大多數研究人員對入侵檢測系統處理速度的研究還停留在從前的技術情況以及系統構架上分析并提出解決方法，這種方法忽略了導致網絡入侵檢測系統出現速度問題的原因。本文將在分析入侵檢測系統構成的同時，提出入侵檢測系統出現問題的因素，并深入探討有效解決速度問題的技術和方法。

1 網絡入侵檢測系統存在的速度問題

由于網絡環境和系統安全策略的不同，網絡入侵檢測系統的具體實現也分為多種形式，按照結構構成，網絡入侵檢測系統分為報文捕獲、入侵分析、響應處理三個部分，除此之外，規則集、數據存儲等功能模塊的有效應用，能夠實現系統內部更為全面、穩定的安全檢測和數據分析作用。

（1）報文捕獲模塊是網絡入侵檢測系統的基礎模塊，主要用于捕獲接收受保護系統運行狀態中的運行數據以及實現數據的過濾和相關的預處理工作，保證入侵分析模塊和數據存儲模塊擁有準確、穩定的數據源。

（2）入侵分析模塊在網絡入侵檢測系統中處于核心地位，其由對原始數據進行同步、整理、組織、分類、特征提取和類型的細致分析，提取其中所具有的系統活動特征或模式等內容構成，對判斷正常和異常行為有著不可替代的作用。

（3）響應處理模塊是指在發現入侵者的攻擊行為后，所必須實行的應對處理措施可選的響應措施主要分為主動響應和被動響應。主動響應通過采取自動的或用戶設置的方式來達到阻斷攻擊的目的或通過其它方式來阻礙攻擊的進行。被動響應只發揮報告和記錄發生的事件的作用，下一步的工作由安全員和管理員負責。

在高速網絡環境下，傳統的網絡入侵檢測系統的速度難題主要表現在以下幾個方面：

報文捕獲的速度問題。傳統的報文捕獲模塊以操作系統的捕包接口為基礎，容易操作，處理也很便捷、安全，但是由于操作系統要把采集到的數據包在返回給用戶空間的入侵檢測系統過程中進行多次的數據拷貝，這樣就導致CPU處理能力的限制。

入侵分析的速度問題。現在的大多數網絡入侵檢測系統采用的是誤用檢測模式，因此在分析過程中要實現對已采集到的數據的模式匹配。在網絡高速化發展、流量持續擴大的情況下，入侵檢測系統受到的來自網絡數據檢測的負載也在不斷增大，對傳統的模式匹配算法的速度要求也呈現不斷提高的趨勢。除此之外，由于網絡攻擊存在的多樣化、復雜化和大規模化的特性，使得模式匹配的規則集在不斷擴展，因此，要通過使用傳統的匹配算法對日趨增多的攻擊類型進行有效安全的檢測是遠遠不夠的。

2 實現網絡入侵檢測系統性能優化的措施

2.1 對報文捕獲系統進行創新和改進

高速網絡環境下的傳統數據報文捕獲系統通常會產生多余的數據拷貝或出現頻繁的中斷調用，這樣會消耗許多不必要的CPU資源，從而對系統整體性能的發揮產生不利影響。要使CPU不再被不必要的使用，優化系統性能，就要合理地引入零拷貝技術和TOE思想。

零拷貝技術較多地被應用在DMA傳送技術和內存區域映射技術上，其通過取消內存空間和用戶空間之間的數據拷貝，使得CPU不需要進行不必要的內存拷貝工作，這樣用戶程序就可以擁有更多的系統資源。雖然零拷貝降低了一般系統中因為數據拷貝而產生的過多的系統資源耗費，但其并沒有切實地使CPU處理能力滿足網絡處理的需求。當網絡帶寬較大的時候，主機系統要實現對網絡數據包的有效處理依舊要消耗大量的系統資源。

報文捕獲系統通過引入TOE思想能夠有效地提高其的靈活程度，這樣的報文捕獲系統可以根據不同的應用需要來對軟件進行靈活的修改和調整，除此之外，其使用MAC芯片能夠實現部分網絡計算的加速處理，例如校驗和的計算、MAC幀地址的過濾等，這樣就可以有效地增強原有系統的網絡處理能力。

2.2 合理改進入侵分析方法

網絡數據流量的不斷擴展和入侵特征的日益增多使得以特征檢測為基礎的傳統入侵分析方法存在較大的速度問題。因此，要促進入侵檢測系統滿足網絡快速發展的需要，優化入侵分析的速度，就必須從多個方面對分析方法進行改進和創新。

在高速網絡環境下，數據包的到達速率已經遠遠高于系統的處理能力，這就會導致丟包現象的出現。通過負載均衡技術把傳統的集中式處理機制轉換成并行處理模式，這樣能夠有效提高系統的入侵分析能力，減少系統的丟包量。負載均衡機制是指在高速網絡環境下，入侵檢測系統通過科學的流量分配方式，把前端捕獲Gbps級的大數據流分流，再利用低速入侵檢測系統將其在后端進行并行處理，以此來提高入侵檢測的效率和及時性。由于這種結構對負載均衡器有著很高的要求，除了要在前端接收高速的數據，還要實現對這些數據的合理的分類與轉發，一般要通過專用的硬件來完成工作。與此同時，制訂切實可行的負載均衡方案也是至關重要的，在這里，檢驗負載均衡方案是否合理的兩個重要指標是保證多個處理系統的負載均衡和實現轉發數據的連接完整性，這兩個指標也是進行相關研究的核心內容。

在以特征匹配為基礎的網絡入侵檢測系統里，模式匹配成為系統主要存在的性能阻礙。相關研究顯示，模式匹配過程在入侵檢測系統運行過程中耗費的時間最長，約占整個系統運行時間百分之三十。因此，通過在目前的以特征匹配為基礎的入侵檢測系統中實現模式匹配算法的優化升級能夠有效地促進系統性能的增強。

現在主要使用的模式匹配算法包括單模式匹配的BM算法、多模式匹配的AC-BM和Wu-Manber算法等。BM算法雖然是單模式算法中性能最強的，但其有著局限于提高單條規則匹配效率，不能提高整個規則及匹配效率的缺陷。AC-BM和Wu-Manber算法的匹配速度盡管很快，但還是有一些不足之處。例如，AC-BM 算法對于系統內存量的要求極其嚴格，二者對于規則集的最小長度都很敏感。對于這些不足，相關研究人員提出用規則中最少見連續字符串進行匹配的Piranha算法等匹配算法的創新思維，這些算法都具有很好的匹配性能。

隨著近些年來半導體技術的不斷進步，算法的硬件化實現也取得了很大的突破，在一定程度上促進了入侵檢測系統問題的解決和模式匹配效率的有效提高。算法的硬件實現方式包括自動機、字符串預處理、CAM 等，能夠實現在千兆以上的網絡的穩定運行。除此之外，通過把動態調整應用到規則集的使用中的方式，使規則集的大小和范圍根據網絡的流量和時間的反饋程度而進行動態的調整，這樣就能夠實現系統的丟包率和漏報率處于動態平衡，發揮入侵檢測的最優性能。這種動態調整的方式是把模式匹配進行系統的優化和創新，促使系統丟包率在現在網絡高速發展和規則集急速膨脹的情況下得到有效的控制，切實提高入侵檢測系統的性能。協議分析是按照協議規范進行網絡數據包的分析，明確數據包的分類，接著實現檢測域的精準定位，并根據相應的規則檢測出攻擊特性。它的特點是通過網絡協議的高度有序性和結構來快速檢測某個攻擊特征的位置，相較于特征的簡單匹配，其不僅減少了計算量，而且有效地提高了檢測的精確水平。

協議分析在應用層中的合理應用促進了入侵檢測系統的準確率和效率的明顯提高，其也具備了對于變種攻擊較強的免疫能力。由于協議分析模塊的單獨實現較為困難，所以采取與模式匹配算法相結合的手段，通過對網絡數據保進行層層協議解析后，再運用模式匹配算法對特定檢測域進行特征檢測，有效地利用網絡協議的層次性和規則性對規則集進行分類，這樣，就能有效地減少在相應的模式匹配中需要匹配的規則數，減少模式匹配所需的計算量，此外，還能夠進一步增強系統檢測的準確度。

3 結束語

在當今高速網絡不斷發展創新的形勢下，入侵檢測系統也面臨著很多的機遇和挑戰，只有在充分了解了網絡入侵檢測系統的系統構成之后，認識到系統在高速網絡環境中所產生的速度問題和阻礙因素，最后針對這些問題，總結并提出切實合理的應對方案，才能促進高速網絡環境下入侵檢測系統性能優化的有效實現。