一种高性能入侵防御系统的设计与实现被引量：2

Design and Implementation of a High Performance Intrusion Prevention System

下载PDF

导出

摘要随着高速网络的普及,传统的入侵防御系统在数据包的高速捕获和实时处理方面,已经不能满足性能上的要求。设计并实现了一种高性能入侵防御系统,PF_RING DNA Intrusion Prevention System:PDIPS。PDIPS运行在通用多核平台,采用PF_RING的DNA技术,实现对数据包的线速捕获,同时采用多线程和CPU绑定技术并行地处理数据包,提高了系统的整体性能。试验结果表明,在相同的测试环境下,本系统与传统的入侵防御方案相比,在性能上有较好的提升,可以适应千兆环境的需求。 With the popularization of high-speed network, the traditional intrusion prevention system in high speed packet capture and real-time processing, has already can＇t meet the requirements of the performance. The paper proposed a kind of high performance intrusion prevention system, PF_PJNG DNA Intrusion Prevention System： PDIPS. PDIPS run on general multi-core platform, it used the PF PJNG DNA technology to realize the packet capture in wire speed, at the same time, multithreading and CPU binding technology is used for parallel packets processing, to improve the overall performance. The test results show that under the same test environ ment, PDIPS compared to traditional intrusion prevention scheme in performance has preferably improved, can adapt to the needs of the gigabit environment.

作者谢大斌梁刚

机构地区四川大学计算机学院

出处《计算机安全》 2013年第3期2-8,共7页 Network & Computer Security

基金国家自然科学基金(61173159)

关键词入侵防御 DNA PF_RING 高性能 Intrusion prevention system DNA PF_PJNG High performance

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献15

1史志才,夏永祥.高速网络环境下的入侵检测技术研究综述[J].计算机应用研究,2010,27(5):1606-1610. 被引量：15
2Luca Deri. Improving Passive Packet Capture: Beyond Device Polling[J]. 4th International System Administration and Network Engineering Conference - SANE 2004. October 2004.
3Luca Deri. nCap: Wire-speed Packet Capture and Transmission. Third IEEE International Workshop on End to End Monitoring-E2EMON. May 2005.
4BOYEg g S, MOOBE algorithm[J]. Communicat J S. A fast string searching ons of ACM, 1977, 20(10): 762-772.
5AHO A, C0gASICK M. Efficient string to bibliographic search[J]. Communications of matching an aid ACM, 1975, 18(6): 55-40.
6Sun W, Manber U. A Fast Algorithm For Multi -pattern Searching [D] University of The Computer Science Depart -merit of The Arizona, 1994.
7Chia-Mei Chen, Ya-Lin Chen, Hsiao-Chung Lin. An efficient network intrusion detection. Computer Communications Volume 55, Issue 4, I March 2010, Pages 477-484.
8Giorgos Vasiliad oannidis. MIDeA, a Michalis Polychronakis, Sotiris ti-parallel intrusion detection architecture. CCS 'll Proceedings of the 18th ACM conference on Computer and communications security, 20 pages 297-508.
9Hassen Sallay, Mohsen gouached, Adel Ammar, 0uissemBen Fred j, Khalid AI-Shalfan, Inspired Speed 20] 1. ntrusion Detection System Majdi Ben Saad. Wild- Fram- ework for High Networks (liP) IDS Framewo- rE. Volume 5, issue 4. 2 pages.
10P.obertLove.1inux内核设计与实现.北京:机械工业出版社,2011.

二级参考文献41

1金国华,陈福接.简单访问模式下假共享Cache行抖动的消除[J].计算机学报,1994,17(6):435-445. 被引量：1
2赖海光,黄皓,谢俊元.利用对称多处理器提高NIDS的性能[J].计算机应用,2005,25(5):1141-1144. 被引量：2
3程光,龚俭,丁伟,徐加羚.面向IP流测量的哈希算法研究[J].软件学报,2005,16(5):652-658. 被引量：54
4唐谦,张大方.入侵检测中模式匹配算法的性能分析[J].计算机工程与应用,2005,41(17):136-138. 被引量：22
5蒋文保,郝双,戴一奇,刘庭华.高速网络入侵检测系统负载均衡策略与算法分析[J].清华大学学报（自然科学版）,2006,46(1):106-110. 被引量：29
6JOSEPH S S.Intrusion detection:the art and the practice[J].Information Management and Computer Security,2003,11(4):175-186.
7IHEAGWARA C,BLYTH A,SINGHAL M.A comparative experimental evaluation study of intrusion detection system performance in a Gigabit environment[J].Journal of Computer Security,2003,11(1):1-33.
8SEKAR R,GUANG Y,VERMA S,et al.A high-performance network intrusion detection system[C]//Proc of the 6th ACM Symposium on Computer and Communication Security.New York:ACM Press,1999:8-17.
9KIM D Y,KIM S,CHOI L,et al.A high-throughput system architecture for deep packet filtering in network intrusion prevention[C]//Proc of International Conference on Architecture of Computing Systems.2006:407-421.
10KRUEGEL C,VALEUR F,VIGNA G.Stateful intrusion detection for high-speed network[C]//Proc of IEEE Symposium on Security and Privacy.Washington DC:IEEE Computer Society,2002:285-294.

共引文献33

1王宇.受控网络环境下攻击检测体系的构建[J].保密科学技术,2012(10):54-59.
2李彬彬,李青.LBM在多核并行编程模型中的应用[J].计算机技术与发展,2011,21(7):221-223. 被引量：1
3张水平,李纪真,张凤琴,李晓波,余侃民.基于云计算的数据中心安全体系研究与实现[J].计算机工程与设计,2011,32(12):3965-3968. 被引量：26
4周天剑,王震,姚沁,许鸿锦.基于RFID盲人导航系统[J].计算机技术与发展,2011,21(12):217-220. 被引量：3
5姜玉,陈旭.专家语音通知系统中多队列多线程机制的实现[J].计算机技术与发展,2012,22(2):14-17.
6史志才,夏永祥.基于粗糙集的入侵检测方法研究[J].计算机工程与科学,2012,34(2):13-18. 被引量：4
7王国鑫,朱宪花.分布式信息安全防御系统的设计与实现[J].计算机工程,2012,38(6):156-157. 被引量：5
8昌杰.基于多核处理器的程序性能优化方法[J].巢湖学院学报,2012,14(3):38-41.
9李静梅,王超宇.一种改进的自适应时钟算法[J].计算机工程,2012,38(20):286-289. 被引量：2
10江超,王海燕,陈磊,石景峰.基于生物免疫原理的新型无线传感器网络安全算法[J].吉林大学学报（理学版）,2012,50(6):1204-1208. 被引量：4

同被引文献23

1徐慧,姜恒,杨林.PF_RING高效数据包捕获技术研究与设计[J].计算机科学,2012,39(S2):88-89. 被引量：5
2闫丽丽,涂天禄,周兴涛.Libpcap数据包捕获机制剖析与研究[J].网络安全技术与应用,2006(4):38-40. 被引量：12
3Luigi Rizzo,Matteo Landi. netmap: Memory Mapped Access To Network Devices[J].Computer Communication Review,2011,41 ( 04 ) : 422-423.
4Garcia L M. Programming with Libpcap - Sniffing the Network From Our Own ApplicationJJ]. hakin9, 2008 ( 02 ) : 38-46.
5The WinPcap Team. NPF driver internals manual[EB/OL].http://www. winpcap.org/docs/docs 41b5/html/group NPF.html, 2012-06-28.
6Rizzo L. netmap: a novel framework for fast packet I/O[C]. Proceedings of the 2012 USENIX Annual Technical Conference, USENIX, 2012.
7LUIGI R.IZZO.Revisiting Network I/O APIs: The Netmap Framework[J].Communications of the ACM, 2012, 55 ( 03 ) : 45-51.
8Benda, L,Miller, D,Andras, K et al.NetMap: a new tool in support of watershed science and resource management.[J].Forest Science, 2007, 53 ( 02 ) ." 206-219.
9LUIGI RIZZO.Revisiting Network I/O APls: The Netmap Framework[J].Communications of the ACM, 2{}12, 55 ( 03 ) : 45-51.
10Liao MinKJun, Lu ShiMin, Xie ChongXin et al.A quick epifluorescence microscopy method for sediment bacteria enumeration[J]. Journal of food, agriculture &amp; environment, 2012, 10 ( 1 Pt.2 ) : 946-948.

引证文献2

1刘文敏,张冬梅,李舒辰,汪莹.基于Netmap的网络监听技术研究[J].信息网络安全,2013(11):45-48. 被引量：4
2段飞.面向主动入侵防御的动态复合虚拟网络框架设计[J].自动化与仪器仪表,2016(10):177-178. 被引量：2

二级引证文献6

1王桢.基于数据包污染的局域网络监听探测[J].软件导刊,2014,13(8):144-146.
2吴斌,逯全芳.基于Linux日志系统的Android移动智能终端操作系统攻击测评[J].网络安全技术与应用,2015(12):75-76. 被引量：2
3海小娟.计算机网络安全入侵检测系统的设计与应用研究[J].自动化与仪器仪表,2017(10):142-143. 被引量：12
4吴克河,王冬冬.基于PF＿RING的高速网络数据捕获方法[J].计算机与数字工程,2019,47(3):598-604. 被引量：6
5程杰,胡威,庞进,卢晓梅,李文健,周浩,陈云领.基于移动目标的动态安全防护系统研究与应用[J].电力信息与通信技术,2019,17(8):24-30. 被引量：2
6李欣,樊志杰,曹志威,胡正梁,陈国梁.基于PF_RING的多核视频流高性能传输模型[J].北京航空航天大学学报,2020,46(9):1670-1676. 被引量：4

1周德荣.基于Linux的高性能网络数据捕获技术研究[J].西南民族大学学报（自然科学版）,2009,35(6):1280-1284. 被引量：3
2程宗星,何绍勇,尚苗星.PF_RING对入侵防御系统中数据包捕获性能的研究[J].现代计算机（中旬刊）,2015(4):48-52.
3徐慧,姜恒,杨林.PF_RING高效数据包捕获技术研究与设计[J].计算机科学,2012,39(S2):88-89. 被引量：5
4李康,辛阳,朱洪亮.Snort入侵检测系统中数据包捕获模块的分析与设计[J].信息网络安全,2012(10):23-28. 被引量：2
5梁波,王锋,邓辉.高速网络环境下的数据采集技术[J].计算机工程与科学,2009,31(7):29-30. 被引量：4
6齐战胜,林立友.基于多核架构和多收发队列的高速捕包模型研究[J].网络安全技术与应用,2013(2):63-66.
7赵宁,谢淑翠.基于dpdk的高效数据包捕获技术分析与应用[J].计算机工程与科学,2016,38(11):2209-2215. 被引量：21
8刘宝辰.基于千兆网卡的PF_RING功能的分析与设计[J].微型电脑应用,2012,28(11):22-25.
9方亮,喻金科.基于Linux的高速网络数据捕获技术[J].计算机与现代化,2010(9):30-33. 被引量：6
10曹艳秋.与防火墙协同工作的网络入侵检测系统研究[J].数字技术与应用,2011,29(5):67-67.

计算机安全

2013年第3期

浏览历史

内容加载中请稍等...

一种高性能入侵防御系统的设计与实现被引量：2

参考文献15

二级参考文献41

共引文献33

同被引文献23

引证文献2

二级引证文献6

相关作者

相关机构

相关主题

浏览历史

一种高性能入侵防御系统的设计与实现 被引量：2

参考文献15

二级参考文献41

共引文献33

同被引文献23

引证文献2

二级引证文献6

相关作者

相关机构

相关主题

浏览历史

一种高性能入侵防御系统的设计与实现被引量：2