專利名稱:基于高速網(wǎng)絡(luò)數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及高速網(wǎng)絡(luò)環(huán)境中的分布式入侵檢測(cè)技術(shù)��,對(duì)高速網(wǎng)絡(luò)環(huán)境中的流量數(shù)據(jù)進(jìn)行分布處理,實(shí)現(xiàn)負(fù)載均衡,屬于計(jì)算機(jī)安全領(lǐng)域。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展���,網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜�����,對(duì)于網(wǎng)絡(luò)安全來說��,單純的防火墻技術(shù)暴露出明顯的不足和弱點(diǎn)��,如無法解決安全后門問題�;不能阻止網(wǎng)絡(luò)內(nèi)部攻擊��,而調(diào)查發(fā)現(xiàn)�,50%以上的攻擊都來自內(nèi)部����;不能提供實(shí)時(shí)入侵檢測(cè)能力;對(duì)于病毒等束手無策等����。入侵檢測(cè)系統(tǒng)是繼防火墻和加密等安全保障技術(shù)之后出現(xiàn)的新一代的網(wǎng)絡(luò)安全防護(hù)系統(tǒng),能夠有效的彌補(bǔ)上述安全系統(tǒng)的不足���。同時(shí),由于技術(shù)的不斷更新����,現(xiàn)在的網(wǎng)絡(luò)速度越來越快���,帶寬也從十兆發(fā)展到百兆����、千兆,乃至萬兆的帶寬�。面對(duì)千兆的帶寬,目前��,大多數(shù)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)至多只能夠處理100~200M bps的網(wǎng)絡(luò)流量��。這樣的處理能力對(duì)百兆的共享式網(wǎng)絡(luò)不存在什么問題�。但是����,對(duì)于現(xiàn)在大量應(yīng)用的百兆交換式網(wǎng)絡(luò)而言,在交換機(jī)的鏡像端口上很容易產(chǎn)生千兆的流量�,遠(yuǎn)遠(yuǎn)超出了當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的處理能力�����。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的處理能力有限的主要原因在于探測(cè)器對(duì)數(shù)據(jù)包的分析需要花費(fèi)大量的計(jì)算資源����,因而無法及時(shí)處理不斷到來的網(wǎng)絡(luò)數(shù)據(jù)��。提高處理器的處理能力能夠在一定程度上緩解這個(gè)問題,但是�����,由于網(wǎng)絡(luò)速度比處理器的處理速度增加得更快����,單純提高探測(cè)器處理能力的方法并不可行。
高速數(shù)據(jù)處理平臺(tái)是一種結(jié)合硬件系統(tǒng)平臺(tái)及軟件分布實(shí)施組件技術(shù)的系統(tǒng)平臺(tái)����,該平臺(tái)包含多個(gè)異構(gòu)的處理單元�,異構(gòu)的處理單元采用不同的芯片技術(shù)和硬件架構(gòu),多個(gè)處理單元構(gòu)成一個(gè)基于以太網(wǎng)的協(xié)作集群����,分布式入侵檢測(cè)系統(tǒng)的軟件系統(tǒng)在集群上進(jìn)行并行計(jì)算,在各處理單元間實(shí)現(xiàn)高效的通信和高效的處理同步機(jī)制��,從而提供了另一種高性能入侵檢測(cè)系統(tǒng)的解決方案�����,在應(yīng)對(duì)大量應(yīng)用數(shù)據(jù)分析處理時(shí),由于數(shù)據(jù)包被分配到不同的數(shù)據(jù)處理分析單元進(jìn)行處理�,避免了單系統(tǒng)負(fù)載過高而性能下降的問題。
發(fā)明內(nèi)容
本發(fā)明提供了一種基于高速數(shù)據(jù)處理平臺(tái)的分布式入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方式�,這種方式充分利用了硬件網(wǎng)絡(luò)數(shù)據(jù)接收、轉(zhuǎn)發(fā)及處理的高性能和軟件功能的高擴(kuò)展性�����,構(gòu)建了一個(gè)性能優(yōu)良��,功能強(qiáng)大��,可靠性����,可擴(kuò)充性良好的分布式入侵檢測(cè)系統(tǒng)。
基于高速數(shù)據(jù)處理平臺(tái)的分布式入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方式�����,由系統(tǒng)數(shù)據(jù)交換支持系統(tǒng)�、數(shù)據(jù)接入及預(yù)處理板卡、入侵檢測(cè)數(shù)據(jù)處理板卡組成。其中�,接入板可實(shí)現(xiàn)接入數(shù)據(jù)預(yù)處理,通過對(duì)數(shù)據(jù)包計(jì)算HASH����,將它們動(dòng)態(tài)負(fù)載均衡的發(fā)到多塊入侵檢測(cè)處理板卡上進(jìn)行處理;入侵檢測(cè)數(shù)據(jù)處理板并行運(yùn)行��,以使整個(gè)系統(tǒng)達(dá)到千兆線速所需的處理效率��;系統(tǒng)數(shù)據(jù)交換支持系統(tǒng)�,則負(fù)責(zé)在各系統(tǒng)部件之間進(jìn)行數(shù)據(jù)傳送����。
本發(fā)明所述的千兆線速入侵檢測(cè)軟件系統(tǒng),從結(jié)構(gòu)上分為兩個(gè)部分�����,即探測(cè)器和控制器���,在探測(cè)器的實(shí)現(xiàn)上我們又采用了兩層結(jié)構(gòu)�����,即一個(gè)數(shù)據(jù)分發(fā)器Splitter及多個(gè)數(shù)據(jù)分析器�。高性能數(shù)據(jù)處理平臺(tái)的前端數(shù)據(jù)接入板接收到網(wǎng)絡(luò)數(shù)據(jù)后,將所有數(shù)據(jù)包經(jīng)過簡(jiǎn)單的包合法性檢查后拷貝給數(shù)據(jù)分發(fā)器Splitter��,數(shù)據(jù)分發(fā)器利用內(nèi)置的流量劃分算法將數(shù)據(jù)流量均衡的轉(zhuǎn)發(fā)至后面的數(shù)據(jù)分析器��。其中���,數(shù)據(jù)分發(fā)器依存于一個(gè)X86處理板�����,每個(gè)數(shù)據(jù)分析器也依存于一個(gè)X86處理板�����。
分布式入侵檢測(cè)系統(tǒng)還包括���,在數(shù)據(jù)分發(fā)器接收到來自高性能數(shù)據(jù)處理平臺(tái)的前端數(shù)據(jù)接入板的數(shù)據(jù)后,將所有數(shù)據(jù)經(jīng)過初步合法性檢查后拷貝至數(shù)據(jù)分發(fā)器Splitter�,這就對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行了第一層的分析,從而去除了網(wǎng)絡(luò)中無關(guān)入侵檢測(cè)的無效數(shù)據(jù)包�。
所述分布式入侵檢測(cè)系統(tǒng)的數(shù)據(jù)分發(fā)器Splitter,采用對(duì)數(shù)據(jù)包源��、目的地址、源端口�����、目的端口(源MAC/目的MAC)進(jìn)行hash運(yùn)算���,用于實(shí)現(xiàn)數(shù)據(jù)流量的分發(fā)和負(fù)載均衡��,保證將高速的網(wǎng)絡(luò)數(shù)據(jù)流劃分成多個(gè)低速的數(shù)據(jù)流�,交給后端的X86數(shù)據(jù)分析器處理���。由于每個(gè)探測(cè)器只負(fù)責(zé)處理一部分網(wǎng)絡(luò)流量,整個(gè)系統(tǒng)能夠達(dá)到更高的處理能力��,從而能夠提供比單個(gè)探測(cè)器更高的性能��。后端的X86數(shù)據(jù)分析器向數(shù)據(jù)分發(fā)器Splitter反饋?zhàn)约旱呢?fù)載情況��,Splitter再根據(jù)得到的反饋動(dòng)態(tài)的對(duì)流量劃分進(jìn)行調(diào)整���,從而保證各個(gè)數(shù)據(jù)分析器的負(fù)載盡可能的均衡。
分布式入侵檢測(cè)系統(tǒng)��,存在多個(gè)數(shù)據(jù)分析器對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析���,從而提取出攻擊信息。大部分入侵檢測(cè)系統(tǒng)所使用的端口掃描檢測(cè)方法是對(duì)一段時(shí)間內(nèi)從同一個(gè)源地址發(fā)出的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)��,如果發(fā)往不同的目的地址或端口的數(shù)據(jù)包超過一定的數(shù)目,則判定該源地址在進(jìn)行端口掃描����。這種方法簡(jiǎn)單易行�,但主要的缺點(diǎn)在于攻擊者很容易通過降低數(shù)據(jù)包的發(fā)送速率來躲避檢測(cè)����,只要掃描數(shù)據(jù)包的發(fā)送速率低于入侵檢測(cè)系統(tǒng)設(shè)定的閾值,入侵檢測(cè)系統(tǒng)就無法檢測(cè)出掃描行為。我們采用了Jaeyeon Jung等人提出了一種使用序列假設(shè)測(cè)試的掃描檢測(cè)方法�,通過對(duì)實(shí)際網(wǎng)絡(luò)數(shù)據(jù)集的分析發(fā)現(xiàn)掃描行為成功建立連接的比率遠(yuǎn)遠(yuǎn)低于正常的網(wǎng)絡(luò)應(yīng)用��。基于這一點(diǎn)���,我們將觀察到的每次連接是否成功表示為隨機(jī)變量��,然后使用序列假設(shè)測(cè)試確定何種發(fā)起連接的主機(jī)是否在進(jìn)行掃描�����。測(cè)試表明�����,同其它方法相比����,該方法具有更好的及時(shí)性和準(zhǔn)確性���。
總之����,基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)的方法和系統(tǒng)���,通過硬件平臺(tái)與相應(yīng)的軟件改進(jìn)兩部分進(jìn)行實(shí)現(xiàn)����,其中軟件改進(jìn)包括軟件體系結(jié)構(gòu)的改良����、以及為適應(yīng)新硬件平臺(tái)一些關(guān)鍵算法設(shè)計(jì)的修改。
在系統(tǒng)中�,探測(cè)器運(yùn)行在整個(gè)網(wǎng)絡(luò)的出入口,以及內(nèi)部網(wǎng)絡(luò)中需要重點(diǎn)保護(hù)的檢測(cè)網(wǎng)段�����;控制器提供遠(yuǎn)程控制��、顯示和管理功能���。網(wǎng)絡(luò)探測(cè)引擎全面?zhèn)陕牼W(wǎng)上信息流,動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包�,進(jìn)行檢測(cè)和實(shí)時(shí)分析,從而實(shí)時(shí)甚至提前發(fā)現(xiàn)非法或異常行為,并且執(zhí)行告警����、阻斷等功能并記錄相應(yīng)的事件日志。在探測(cè)器部分���,系統(tǒng)結(jié)合高性能硬件數(shù)據(jù)處理平臺(tái)可以劃分為數(shù)據(jù)接收、數(shù)據(jù)分發(fā)�、數(shù)據(jù)分析探測(cè)及報(bào)警四個(gè)部分����。其中數(shù)據(jù)分發(fā)�、數(shù)據(jù)分析探測(cè)和報(bào)警三個(gè)模塊位于系統(tǒng)內(nèi)部�,是系統(tǒng)內(nèi)部數(shù)據(jù)交互的接口�����,數(shù)據(jù)接入模塊與網(wǎng)絡(luò)相連進(jìn)行信息交換。控制器是由多個(gè)組件構(gòu)成的高性能的管理系統(tǒng)�����,主要包括控制臺(tái)��、實(shí)時(shí)監(jiān)控和內(nèi)容恢復(fù)模塊�����,以及事件收集器服務(wù)組件����、全局配置庫(kù)組件。
圖1為基于高性能數(shù)據(jù)處理平臺(tái)的分布式入侵檢測(cè)系統(tǒng)功能結(jié)構(gòu)2為數(shù)據(jù)分發(fā)部分示意3為數(shù)據(jù)分發(fā)���、數(shù)據(jù)處理連接示意4為本發(fā)明分布式入侵檢測(cè)框圖具體實(shí)施方式
以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明做進(jìn)一步說明如圖1所示����,整個(gè)分布式入侵檢測(cè)系統(tǒng)分為兩個(gè)有機(jī)的部分探測(cè)器和控制器。探測(cè)器部分部屬于千兆網(wǎng)絡(luò)的旁路(如千兆交換機(jī)的鏡像端口處)�����,對(duì)所有需要監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)接口上的數(shù)據(jù)包進(jìn)行數(shù)據(jù)備份�����。探測(cè)器的數(shù)據(jù)處理分為三個(gè)層次����,即數(shù)據(jù)采集部分、數(shù)據(jù)分發(fā)部分和數(shù)據(jù)分析部分���。
數(shù)據(jù)采集部分由高性能數(shù)據(jù)處理平臺(tái)的前端數(shù)據(jù)接入板實(shí)現(xiàn)���,數(shù)據(jù)接入板綜合利用網(wǎng)絡(luò)處理器、CompactPCI等技術(shù)��,對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行高速抓取并進(jìn)行初步的合法性分析�,丟棄非法的數(shù)據(jù)包��。這種數(shù)據(jù)接入板的設(shè)計(jì)采用Intel的高速網(wǎng)絡(luò)處理器��,并集成支持高速查表的芯片和支持對(duì)內(nèi)容進(jìn)行模式檢查�、匹配和標(biāo)記的協(xié)處理芯片�、CPCI2.16接口控制芯片,以及基于FPGA開發(fā)的協(xié)調(diào)多個(gè)芯片協(xié)同工作的控制器�。這種數(shù)據(jù)接入板的設(shè)計(jì),可以很好地克服網(wǎng)絡(luò)處理器在查表�、規(guī)則匹配�、內(nèi)容檢查和模式匹配等邏輯計(jì)算能力方面的不足。使網(wǎng)絡(luò)處理器專注于網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的采集或轉(zhuǎn)發(fā)控制�����。使整個(gè)硬件平臺(tái)在網(wǎng)絡(luò)報(bào)文的截獲和轉(zhuǎn)發(fā)控制方面不存在瓶頸���,即使在執(zhí)行安全策略檢查是仍能完全能達(dá)到網(wǎng)絡(luò)線速的處理要求��。而目前單純使用網(wǎng)絡(luò)處理器開發(fā)的安全產(chǎn)品���,在不執(zhí)行安全策略檢查和規(guī)則匹配時(shí)性能優(yōu)異,而一旦執(zhí)行檢查功能是性能急劇下降���,甚至不能達(dá)到基于X86架構(gòu)產(chǎn)品的水平����。前端接入板對(duì)接收到的報(bào)文進(jìn)行簡(jiǎn)單規(guī)則檢查和初步的篩選檢查,實(shí)現(xiàn)安全策略的快速定位��,而后對(duì)需要進(jìn)一步處理的報(bào)文通過專用協(xié)議進(jìn)行標(biāo)記�����,并傳送到x86處理板進(jìn)行進(jìn)一步的安全檢查��,本完成審計(jì)等動(dòng)作����。接入單元和處理單元間合理的分工,發(fā)揮了兩種硬件的各自處理性能的長(zhǎng)處��,最大限度地提高系統(tǒng)計(jì)算效能���。為千兆線速的處理要求提供足夠的性能保障�����。
如圖2�、圖3所示,數(shù)據(jù)分發(fā)部分依存于位于前端數(shù)據(jù)接入板后面的某塊X86處理板���,前端數(shù)據(jù)接入板將經(jīng)過初步檢查后的數(shù)據(jù)都拷貝到該處理板上����,該處理板在整個(gè)數(shù)據(jù)處理過程中起到一個(gè)分發(fā)器的作用�。數(shù)據(jù)分發(fā)器采用了一種基于數(shù)據(jù)包源地址、源端口���、目的地址�、目的端口以及其他相應(yīng)參數(shù)的hash算法���,并根據(jù)后面各數(shù)據(jù)分析處理板的狀態(tài)反饋,實(shí)時(shí)調(diào)整自身的流量分配比例��,保證多個(gè)數(shù)據(jù)分析處理板數(shù)據(jù)處理的負(fù)載均衡性��。
數(shù)據(jù)分析部分也依存于X86處理板��,相對(duì)于傳統(tǒng)的單X86結(jié)構(gòu)而言�����,在網(wǎng)絡(luò)數(shù)據(jù)包到達(dá)數(shù)據(jù)分析部分時(shí),已經(jīng)經(jīng)過了前端數(shù)據(jù)接入板的合法性檢查�,經(jīng)過了數(shù)據(jù)分發(fā)部分的流量均衡處理,從而大大降低了數(shù)據(jù)分析部分的處理工作�����,同時(shí)�����,多X86數(shù)據(jù)分析部分的X86處理板可以根據(jù)自身負(fù)載的狀態(tài)實(shí)時(shí)反饋給數(shù)據(jù)分發(fā)部分�����,進(jìn)而調(diào)整分發(fā)策略��,保證數(shù)據(jù)分析的可靠性和一致性���。
權(quán)利要求
1.基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)系統(tǒng)�����,由系統(tǒng)數(shù)據(jù)交換支持系統(tǒng)�����、數(shù)據(jù)接入及預(yù)處理板卡���、入侵檢測(cè)數(shù)據(jù)處理板卡組成�����;其中��,接入板可實(shí)現(xiàn)接入數(shù)據(jù)預(yù)處理���,通過對(duì)數(shù)據(jù)包計(jì)算HASH,將它們動(dòng)態(tài)負(fù)載均衡的發(fā)到多塊入侵檢測(cè)處理板卡上進(jìn)行處理�����;入侵檢測(cè)數(shù)據(jù)處理板并行運(yùn)行�����,以使整個(gè)系統(tǒng)達(dá)到千兆線速所需的處理效率����;其特征是設(shè)有系統(tǒng)數(shù)據(jù)交換支持系統(tǒng)�����,在各系統(tǒng)部件之間進(jìn)行數(shù)據(jù)傳送。
2.根據(jù)權(quán)利要求1所述的基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)系統(tǒng)��,其特征是所述的千兆線速入侵檢測(cè)軟件系統(tǒng)����,從結(jié)構(gòu)上分為兩個(gè)部分,即探測(cè)器和控制器�����,在探測(cè)器又采用了兩層結(jié)構(gòu)����,即一個(gè)數(shù)據(jù)分發(fā)器及多個(gè)數(shù)據(jù)分析器,高性能數(shù)據(jù)處理平臺(tái)的前端數(shù)據(jù)接入板接收到網(wǎng)絡(luò)數(shù)據(jù)后���,將所有數(shù)據(jù)包經(jīng)過簡(jiǎn)單的包合法性檢查后拷貝給數(shù)據(jù)分發(fā)器���,數(shù)據(jù)分發(fā)器利用內(nèi)置的流量劃分算法將數(shù)據(jù)流量均衡的轉(zhuǎn)發(fā)至后面的數(shù)據(jù)分析器;其中�����,數(shù)據(jù)分發(fā)器依存于一個(gè)X86處理板,每個(gè)數(shù)據(jù)分析器也依存于一個(gè)X86處理板���。
3.基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法����,其特征是在數(shù)據(jù)分發(fā)器接收到來自高性能數(shù)據(jù)處理平臺(tái)的前端數(shù)據(jù)接入板的數(shù)據(jù)后���,將所有數(shù)據(jù)經(jīng)過初步合法性檢查后拷貝至數(shù)據(jù)分發(fā)器���,這就對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行了第一層的分析,從而去除了網(wǎng)絡(luò)中無關(guān)入侵檢測(cè)的無效數(shù)據(jù)包���。
4.根據(jù)權(quán)利要求3的所述的基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法��,其特征是分布式入侵檢測(cè)系統(tǒng)的數(shù)據(jù)分發(fā)器��,采用對(duì)數(shù)據(jù)包源��、目的地址�����、源端口����、目的端口進(jìn)行hash運(yùn)算�����,用于實(shí)現(xiàn)數(shù)據(jù)流量的分發(fā)和負(fù)載均衡�����,保證將高速的網(wǎng)絡(luò)數(shù)據(jù)流劃分成多個(gè)低速的數(shù)據(jù)流�����,交給后端的X86數(shù)據(jù)分析器處理�����。
5.根據(jù)權(quán)利要求4的所述的基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法�����,其特征是后端的X86數(shù)據(jù)分析器向數(shù)據(jù)分發(fā)器Splitter反饋?zhàn)约旱呢?fù)載情況�����,Splitter再根據(jù)得到的反饋動(dòng)態(tài)的對(duì)流量劃分進(jìn)行調(diào)整,從而保證各個(gè)數(shù)據(jù)分析器的負(fù)載盡可能的均衡����。
6.根據(jù)權(quán)利要求3或4的所述的基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法,其特征是存在多個(gè)數(shù)據(jù)分析器對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析�����,從而提取出攻擊信息�����;大部分入侵檢測(cè)系統(tǒng)所使用的端口掃描檢測(cè)方法是對(duì)一段時(shí)間內(nèi)從同一個(gè)源地址發(fā)出的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)��,如果發(fā)往不同的目的地址或端口的數(shù)據(jù)包超過一定的數(shù)目�,則判定該源地址在進(jìn)行端口掃描。
7.根據(jù)權(quán)利要求3或4的所述的基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法���,其特征是采用一種使用序列假設(shè)測(cè)試的掃描檢測(cè)方法����,通過對(duì)實(shí)際網(wǎng)絡(luò)數(shù)據(jù)集的分析發(fā)現(xiàn)掃描行為成功建立連接的比率遠(yuǎn)遠(yuǎn)低于正常的網(wǎng)絡(luò)應(yīng)用����。
8.根據(jù)權(quán)利要求7的所述的基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法,其特征是觀察到的每次連接是否成功表示為隨機(jī)變量��,然后使用序列假設(shè)測(cè)試確定何種發(fā)起連接的主機(jī)是否在進(jìn)行掃描�。
9.根據(jù)權(quán)利要求7的所述的基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法,其特征是通過硬件平臺(tái)與相應(yīng)的軟件改進(jìn)兩部分進(jìn)行實(shí)現(xiàn)�,其中軟件改進(jìn)包括軟件體系結(jié)構(gòu)的改良、以及為適應(yīng)新硬件平臺(tái)一些關(guān)鍵算法設(shè)計(jì)的修改����。
全文摘要
基于高速數(shù)據(jù)處理平臺(tái)的入侵檢測(cè)方法和系統(tǒng),由系統(tǒng)數(shù)據(jù)交換支持系統(tǒng)�����、數(shù)據(jù)接入及預(yù)處理板卡�、入侵檢測(cè)數(shù)據(jù)處理板卡組成;其中�����,接入板可實(shí)現(xiàn)接入數(shù)據(jù)預(yù)處理��,通過對(duì)數(shù)據(jù)包計(jì)算HASH�,將它們動(dòng)態(tài)負(fù)載均衡的發(fā)到多塊入侵檢測(cè)處理板卡上進(jìn)行處理����;入侵檢測(cè)數(shù)據(jù)處理板并行運(yùn)行��,以使整個(gè)系統(tǒng)達(dá)到千兆線速所需的處理效率�;設(shè)有系統(tǒng)數(shù)據(jù)交換支持系統(tǒng),負(fù)責(zé)在各系統(tǒng)部件之間進(jìn)行數(shù)據(jù)傳送���。該系統(tǒng)利用高性能數(shù)據(jù)處理硬件平臺(tái)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包接收及轉(zhuǎn)發(fā)���、查找、分析的高效性����,結(jié)合流量負(fù)載均衡算法,在傳統(tǒng)基于X86硬件架構(gòu)的基礎(chǔ)上�����,實(shí)現(xiàn)了一個(gè)千兆環(huán)境下的分布式入侵檢測(cè)系統(tǒng)�����,提供了較好的檢測(cè)性能����。
文檔編號(hào)H04L9/32GK1838588SQ200610039899
公開日2006年9月27日 申請(qǐng)日期2006年4月26日 優(yōu)先權(quán)日2006年4月26日
發(fā)明者賴海光, 金毅, 黃皓, 謝俊元, 謝立 申請(qǐng)人:南京大學(xué), 江蘇南大蘇富特軟件股份有限公司