0 引言

在當今高速網(wǎng)絡不斷發(fā)展的形勢下，入侵檢測系統(tǒng)的處理能力已經(jīng)落后于網(wǎng)絡數(shù)據(jù)的產(chǎn)生速度，針對這種情況，只有切實地促進高速網(wǎng)絡環(huán)境中入侵檢測系統(tǒng)性能的優(yōu)化，才能有效地解決入侵檢測所存在的問題?，F(xiàn)在網(wǎng)絡入侵檢測系統(tǒng)面臨的一個核心挑戰(zhàn)是處理速度問題。大多數(shù)研究人員對入侵檢測系統(tǒng)處理速度的研究還停留在從前的技術情況以及系統(tǒng)構架上分析并提出解決方法，這種方法忽略了導致網(wǎng)絡入侵檢測系統(tǒng)出現(xiàn)速度問題的原因。本文將在分析入侵檢測系統(tǒng)構成的同時，提出入侵檢測系統(tǒng)出現(xiàn)問題的因素，并深入探討有效解決速度問題的技術和方法。

1 網(wǎng)絡入侵檢測系統(tǒng)存在的速度問題

由于網(wǎng)絡環(huán)境和系統(tǒng)安全策略的不同，網(wǎng)絡入侵檢測系統(tǒng)的具體實現(xiàn)也分為多種形式，按照結構構成，網(wǎng)絡入侵檢測系統(tǒng)分為報文捕獲、入侵分析、響應處理三個部分，除此之外，規(guī)則集、數(shù)據(jù)存儲等功能模塊的有效應用，能夠實現(xiàn)系統(tǒng)內部更為全面、穩(wěn)定的安全檢測和數(shù)據(jù)分析作用。

（1）報文捕獲模塊是網(wǎng)絡入侵檢測系統(tǒng)的基礎模塊，主要用于捕獲接收受保護系統(tǒng)運行狀態(tài)中的運行數(shù)據(jù)以及實現(xiàn)數(shù)據(jù)的過濾和相關的預處理工作，保證入侵分析模塊和數(shù)據(jù)存儲模塊擁有準確、穩(wěn)定的數(shù)據(jù)源。

（2）入侵分析模塊在網(wǎng)絡入侵檢測系統(tǒng)中處于核心地位，其由對原始數(shù)據(jù)進行同步、整理、組織、分類、特征提取和類型的細致分析，提取其中所具有的系統(tǒng)活動特征或模式等內容構成，對判斷正常和異常行為有著不可替代的作用。

（3）響應處理模塊是指在發(fā)現(xiàn)入侵者的攻擊行為后，所必須實行的應對處理措施可選的響應措施主要分為主動響應和被動響應。主動響應通過采取自動的或用戶設置的方式來達到阻斷攻擊的目的或通過其它方式來阻礙攻擊的進行。被動響應只發(fā)揮報告和記錄發(fā)生的事件的作用，下一步的工作由安全員和管理員負責。

在高速網(wǎng)絡環(huán)境下，傳統(tǒng)的網(wǎng)絡入侵檢測系統(tǒng)的速度難題主要表現(xiàn)在以下幾個方面：

報文捕獲的速度問題。傳統(tǒng)的報文捕獲模塊以操作系統(tǒng)的捕包接口為基礎，容易操作，處理也很便捷、安全，但是由于操作系統(tǒng)要把采集到的數(shù)據(jù)包在返回給用戶空間的入侵檢測系統(tǒng)過程中進行多次的數(shù)據(jù)拷貝，這樣就導致CPU處理能力的限制。

入侵分析的速度問題。現(xiàn)在的大多數(shù)網(wǎng)絡入侵檢測系統(tǒng)采用的是誤用檢測模式，因此在分析過程中要實現(xiàn)對已采集到的數(shù)據(jù)的模式匹配。在網(wǎng)絡高速化發(fā)展、流量持續(xù)擴大的情況下，入侵檢測系統(tǒng)受到的來自網(wǎng)絡數(shù)據(jù)檢測的負載也在不斷增大，對傳統(tǒng)的模式匹配算法的速度要求也呈現(xiàn)不斷提高的趨勢。除此之外，由于網(wǎng)絡攻擊存在的多樣化、復雜化和大規(guī)?；奶匦?，使得模式匹配的規(guī)則集在不斷擴展，因此，要通過使用傳統(tǒng)的匹配算法對日趨增多的攻擊類型進行有效安全的檢測是遠遠不夠的。

2 實現(xiàn)網(wǎng)絡入侵檢測系統(tǒng)性能優(yōu)化的措施

2.1 對報文捕獲系統(tǒng)進行創(chuàng)新和改進

高速網(wǎng)絡環(huán)境下的傳統(tǒng)數(shù)據(jù)報文捕獲系統(tǒng)通常會產(chǎn)生多余的數(shù)據(jù)拷貝或出現(xiàn)頻繁的中斷調用，這樣會消耗許多不必要的CPU資源，從而對系統(tǒng)整體性能的發(fā)揮產(chǎn)生不利影響。要使CPU不再被不必要的使用，優(yōu)化系統(tǒng)性能，就要合理地引入零拷貝技術和TOE思想。

零拷貝技術較多地被應用在DMA傳送技術和內存區(qū)域映射技術上，其通過取消內存空間和用戶空間之間的數(shù)據(jù)拷貝，使得CPU不需要進行不必要的內存拷貝工作，這樣用戶程序就可以擁有更多的系統(tǒng)資源。雖然零拷貝降低了一般系統(tǒng)中因為數(shù)據(jù)拷貝而產(chǎn)生的過多的系統(tǒng)資源耗費，但其并沒有切實地使CPU處理能力滿足網(wǎng)絡處理的需求。當網(wǎng)絡帶寬較大的時候，主機系統(tǒng)要實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的有效處理依舊要消耗大量的系統(tǒng)資源。

報文捕獲系統(tǒng)通過引入TOE思想能夠有效地提高其的靈活程度，這樣的報文捕獲系統(tǒng)可以根據(jù)不同的應用需要來對軟件進行靈活的修改和調整，除此之外，其使用MAC芯片能夠實現(xiàn)部分網(wǎng)絡計算的加速處理，例如校驗和的計算、MAC幀地址的過濾等，這樣就可以有效地增強原有系統(tǒng)的網(wǎng)絡處理能力。

2.2 合理改進入侵分析方法

網(wǎng)絡數(shù)據(jù)流量的不斷擴展和入侵特征的日益增多使得以特征檢測為基礎的傳統(tǒng)入侵分析方法存在較大的速度問題。因此，要促進入侵檢測系統(tǒng)滿足網(wǎng)絡快速發(fā)展的需要，優(yōu)化入侵分析的速度，就必須從多個方面對分析方法進行改進和創(chuàng)新。

在高速網(wǎng)絡環(huán)境下，數(shù)據(jù)包的到達速率已經(jīng)遠遠高于系統(tǒng)的處理能力，這就會導致丟包現(xiàn)象的出現(xiàn)。通過負載均衡技術把傳統(tǒng)的集中式處理機制轉換成并行處理模式，這樣能夠有效提高系統(tǒng)的入侵分析能力，減少系統(tǒng)的丟包量。負載均衡機制是指在高速網(wǎng)絡環(huán)境下，入侵檢測系統(tǒng)通過科學的流量分配方式，把前端捕獲Gbps級的大數(shù)據(jù)流分流，再利用低速入侵檢測系統(tǒng)將其在后端進行并行處理，以此來提高入侵檢測的效率和及時性。由于這種結構對負載均衡器有著很高的要求，除了要在前端接收高速的數(shù)據(jù)，還要實現(xiàn)對這些數(shù)據(jù)的合理的分類與轉發(fā)，一般要通過專用的硬件來完成工作。與此同時，制訂切實可行的負載均衡方案也是至關重要的，在這里，檢驗負載均衡方案是否合理的兩個重要指標是保證多個處理系統(tǒng)的負載均衡和實現(xiàn)轉發(fā)數(shù)據(jù)的連接完整性，這兩個指標也是進行相關研究的核心內容。

在以特征匹配為基礎的網(wǎng)絡入侵檢測系統(tǒng)里，模式匹配成為系統(tǒng)主要存在的性能阻礙。相關研究顯示，模式匹配過程在入侵檢測系統(tǒng)運行過程中耗費的時間最長，約占整個系統(tǒng)運行時間百分之三十。因此，通過在目前的以特征匹配為基礎的入侵檢測系統(tǒng)中實現(xiàn)模式匹配算法的優(yōu)化升級能夠有效地促進系統(tǒng)性能的增強。

現(xiàn)在主要使用的模式匹配算法包括單模式匹配的BM算法、多模式匹配的AC-BM和Wu-Manber算法等。BM算法雖然是單模式算法中性能最強的，但其有著局限于提高單條規(guī)則匹配效率，不能提高整個規(guī)則及匹配效率的缺陷。AC-BM和Wu-Manber算法的匹配速度盡管很快，但還是有一些不足之處。例如，AC-BM 算法對于系統(tǒng)內存量的要求極其嚴格，二者對于規(guī)則集的最小長度都很敏感。對于這些不足，相關研究人員提出用規(guī)則中最少見連續(xù)字符串進行匹配的Piranha算法等匹配算法的創(chuàng)新思維，這些算法都具有很好的匹配性能。

隨著近些年來半導體技術的不斷進步，算法的硬件化實現(xiàn)也取得了很大的突破，在一定程度上促進了入侵檢測系統(tǒng)問題的解決和模式匹配效率的有效提高。算法的硬件實現(xiàn)方式包括自動機、字符串預處理、CAM 等，能夠實現(xiàn)在千兆以上的網(wǎng)絡的穩(wěn)定運行。除此之外，通過把動態(tài)調整應用到規(guī)則集的使用中的方式，使規(guī)則集的大小和范圍根據(jù)網(wǎng)絡的流量和時間的反饋程度而進行動態(tài)的調整，這樣就能夠實現(xiàn)系統(tǒng)的丟包率和漏報率處于動態(tài)平衡，發(fā)揮入侵檢測的最優(yōu)性能。這種動態(tài)調整的方式是把模式匹配進行系統(tǒng)的優(yōu)化和創(chuàng)新，促使系統(tǒng)丟包率在現(xiàn)在網(wǎng)絡高速發(fā)展和規(guī)則集急速膨脹的情況下得到有效的控制，切實提高入侵檢測系統(tǒng)的性能。協(xié)議分析是按照協(xié)議規(guī)范進行網(wǎng)絡數(shù)據(jù)包的分析，明確數(shù)據(jù)包的分類，接著實現(xiàn)檢測域的精準定位，并根據(jù)相應的規(guī)則檢測出攻擊特性。它的特點是通過網(wǎng)絡協(xié)議的高度有序性和結構來快速檢測某個攻擊特征的位置，相較于特征的簡單匹配，其不僅減少了計算量，而且有效地提高了檢測的精確水平。

協(xié)議分析在應用層中的合理應用促進了入侵檢測系統(tǒng)的準確率和效率的明顯提高，其也具備了對于變種攻擊較強的免疫能力。由于協(xié)議分析模塊的單獨實現(xiàn)較為困難，所以采取與模式匹配算法相結合的手段，通過對網(wǎng)絡數(shù)據(jù)保進行層層協(xié)議解析后，再運用模式匹配算法對特定檢測域進行特征檢測，有效地利用網(wǎng)絡協(xié)議的層次性和規(guī)則性對規(guī)則集進行分類，這樣，就能有效地減少在相應的模式匹配中需要匹配的規(guī)則數(shù)，減少模式匹配所需的計算量，此外，還能夠進一步增強系統(tǒng)檢測的準確度。

3 結束語

在當今高速網(wǎng)絡不斷發(fā)展創(chuàng)新的形勢下，入侵檢測系統(tǒng)也面臨著很多的機遇和挑戰(zhàn)，只有在充分了解了網(wǎng)絡入侵檢測系統(tǒng)的系統(tǒng)構成之后，認識到系統(tǒng)在高速網(wǎng)絡環(huán)境中所產(chǎn)生的速度問題和阻礙因素，最后針對這些問題，總結并提出切實合理的應對方案，才能促進高速網(wǎng)絡環(huán)境下入侵檢測系統(tǒng)性能優(yōu)化的有效實現(xiàn)。