專利名稱：模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)過濾和監(jiān)控技術(shù)領(lǐng)域，尤其涉及一種模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)。
背景技術(shù)：
網(wǎng)絡(luò)入侵檢測系統(tǒng)(Network Intrusion Detection System,NIDS)是一禾中監(jiān)控網(wǎng)絡(luò)或系統(tǒng)活動中惡意或有害的行為并進行報警的網(wǎng)絡(luò)安全系統(tǒng)。它通過旁路或在線的方式截獲網(wǎng)絡(luò)中的數(shù)據(jù)包(以下簡稱網(wǎng)包)，并對其內(nèi)容進行分析，對含有攻擊的網(wǎng)包予以報警或截斷，以實現(xiàn)入侵檢測/防御的功能。由于NIDS的功能復(fù)雜，一般使用軟件實現(xiàn)，運行于防火墻或安全網(wǎng)關(guān)系統(tǒng)內(nèi)部。 近年來，業(yè)界對網(wǎng)絡(luò)設(shè)備的吞吐量要求越來越高，NIDS作為安全網(wǎng)關(guān)的性能瓶頸，需要大量的計算力以實現(xiàn)高吞吐量的處理。在通用處理器架構(gòu)下要滿足NIDS運算需求的提升，僅靠單一CPU是有限的，近年來發(fā)展的多核處理器解決了單核處理器運算力增長不足的難題。但多核的應(yīng)用有一個條件，就是程序的一個線程僅能運行在一個處理器內(nèi)核上，要充分利用多個內(nèi)核的性能優(yōu)勢，必須使用多個線程并行處理。因此，NIDS并行處理架構(gòu)是迎合當今處理器多核化的重要技術(shù)。 如圖1所示，現(xiàn)有技術(shù)中常用的NIDS包括以下幾部分包獲取模塊、編碼解析模塊，入侵檢測模塊和信息反饋模塊。其中，入侵檢測模塊是NIDS的核心功能部分，該模塊通過預(yù)處理、規(guī)則匹配等幾個步驟來檢測網(wǎng)包中是否含有攻擊。然而，入侵檢測模塊也是最耗時的模塊， 一般并行化NIDS都會選擇檢測模塊進行并行化處理，以達到提高多核CPU利用率的目的。 現(xiàn)有技術(shù)中通用處理器架構(gòu)下的并行NIDS并不多，比較典型的有Intel公司的Supra-Snort和美國普渡大學的Multi-Snort。然而，前者沒有實現(xiàn)多線程間的內(nèi)存共享，使得多線程運行時內(nèi)存消耗過大，限制了該系統(tǒng)的應(yīng)用范圍；后者沒有實現(xiàn)模塊化構(gòu)架，因此難以對該系統(tǒng)添加新的應(yīng)用。

發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)中存在的缺陷和不足，本發(fā)明的目的是提供一種具有并行處理架構(gòu)的模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，能夠使得內(nèi)存消耗大大下降，并方便地添加新的應(yīng)用。
為達到上述目的，本發(fā)明提出了一種模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，包括數(shù)據(jù)源模塊，其用于包獲取和編碼解析，所述系統(tǒng)還包括 分流模塊，用于完成來自所述編碼解析模塊的網(wǎng)包的調(diào)度，并通過緩沖隊列將網(wǎng)包分發(fā)到檢測模塊中的各個檢測子模塊；禾口 檢測模塊，用于檢測網(wǎng)包中是否含有攻擊，其使用多個線程，包括一種或多種檢測子模塊，同種類的檢測子模塊共享只讀數(shù)據(jù)。其中，所述數(shù)據(jù)源模塊和所述分流模塊使用一個線程。
其中，所述分流模塊還可以包括一五元組信息分發(fā)子模塊，用于根據(jù)網(wǎng)包的五元
組信息完成將網(wǎng)包分發(fā)至所述檢測模塊，其中，所述五元組信息包括源/目的網(wǎng)絡(luò)層地址、源/目的傳輸層端口和傳輸層協(xié)議標志。 其中，所述分流模塊還可以包括一哈希編碼子模塊，用于將所述五元組信息進行
哈希編碼以決定將網(wǎng)包分發(fā)至所述檢測模塊中的哪個檢測子模塊。 其中，所述檢測模塊至少可以包括入侵檢測模塊、防病毒模塊及網(wǎng)址過濾模塊中的一種或多種檢測子模塊。 其中，該系統(tǒng)還可以包括信息反饋、網(wǎng)包阻斷模塊。 其中，所述系統(tǒng)還包括一檢測子模塊加載模塊，用于通過讀取配置文件動態(tài)加載所述檢測子模塊。 其中，所述同種類的檢測子模塊可以被設(shè)置為同一優(yōu)先級，所述分流模塊自動將流量均勻分發(fā)給同等優(yōu)先級的各個檢測子模塊。 其中，根據(jù)所述檢測模塊中所包括的檢測子模塊的種類，相應(yīng)地，所述只讀數(shù)據(jù)至少可以包括入侵檢測規(guī)則集、病毒庫及網(wǎng)址庫中的一種或多種。 上述技術(shù)方案具有如下優(yōu)點本發(fā)明通過分流模塊實現(xiàn)了系統(tǒng)的并行處理，從而將數(shù)據(jù)采集與檢測分離開，形成了可獨立設(shè)計的數(shù)據(jù)采集及分發(fā)/檢測模塊式架構(gòu)，便于不同種類的數(shù)據(jù)源與檢測模塊的分別設(shè)計，及使用硬件實現(xiàn)某一特定模塊的功能，且可以并方便地添加新的應(yīng)用；檢測模塊使用多線程設(shè)計，能夠充分利用多核處理器的處理能力，性能可隨處理器核數(shù)線性增長，且可以動態(tài)加載多個檢測模塊，便于針對不同硬件情況進行配置；同時實現(xiàn)了同種模塊間的內(nèi)存共享，使得內(nèi)存消耗大大下降，增強了系統(tǒng)的通用性。


圖1是現(xiàn)有技術(shù)的NIDS的原理框圖； 圖2是本發(fā)明實施例提出的網(wǎng)絡(luò)入侵檢測系統(tǒng)的原理框 圖3是本發(fā)明實施例提出的網(wǎng)絡(luò)入侵檢測系統(tǒng)的使用實例框圖。
具體實施例方式
下面結(jié)合附圖和實施例，對本發(fā)明的具體實施方式
作進一步詳細描述。以下實施例用于說明本發(fā)明，但不用來限制本發(fā)明的范圍。
如圖2所示，依據(jù)本發(fā)明實施例的系統(tǒng)包括 數(shù)據(jù)源模塊，其用于包獲取和編碼解析(分別相當于現(xiàn)有的NIDS系統(tǒng)中的包獲取模塊和編碼解析模塊)，具體來說，整合了數(shù)據(jù)采集、數(shù)據(jù)解析、流管理、IP碎片重組、TCP流重組等功能； 分流模塊，用于完成來自所述編碼解析模塊的網(wǎng)包的調(diào)度，管理網(wǎng)包緩沖隊列的調(diào)度，并通過網(wǎng)包緩沖隊列(使用緩沖隊列使得模塊間無需相互等待)將網(wǎng)包分發(fā)到檢測模塊中的各個檢測子模塊； 檢測模塊，用于檢測網(wǎng)包中是否含有攻擊，其采用多線程設(shè)計，包括一種或多種檢測子模塊，同種類的檢測子模塊共享只讀數(shù)據(jù)。所述數(shù)據(jù)源模塊和所述分流模塊使用一個線程(數(shù)據(jù)采集及分發(fā)線程)；禾口 信息反饋、網(wǎng)包阻斷模塊(相當于現(xiàn)有技術(shù)的NIDS系統(tǒng)中的信息反饋模塊)。 其中，分流模塊可以根據(jù)網(wǎng)包的五元組信息完成將網(wǎng)包分發(fā)至所述檢測模塊，其
中，所述五元組信息包括源/目的網(wǎng)絡(luò)層地址(各32bit)、源/目的傳輸層端口 (各16bit)
和傳輸層協(xié)議標志(8bit)。所述分流模塊可以將所述五元組信息進行哈希編碼以決定將網(wǎng)
包分發(fā)至所述檢測模塊中的哪個檢測子模塊。所述檢測模塊至少可以包括入侵檢測模塊、
防病毒模塊及網(wǎng)址過濾模塊中的一種或多種檢測子模塊。例如，如圖3所示，可以包括入侵
檢測模塊和防病毒模塊兩種。在圖2 3中，每個虛線框代表一個線程。 本實施例中，所述檢測子模塊可以由所述系統(tǒng)通過讀取配置文件動態(tài)加載。同種
類的檢測子模塊可以被設(shè)置為同一優(yōu)先級，分流模塊會自動在各個優(yōu)先級上將流量均勻分
發(fā)給同等優(yōu)先級的各個檢測子模塊，同一網(wǎng)包可以由多級不同的檢測子模塊依次處理，實
現(xiàn)靈活配置功能。 本實施例中，根據(jù)所述檢測模塊中所包括的檢測子模塊的種類，相應(yīng)地，所述只讀
數(shù)據(jù)至少可以包括入侵檢測規(guī)則集、病毒庫及網(wǎng)址庫中的一種或多種。 本實施例中，所述同種類的檢測子模塊可以通過TLS (ThreadLocal Storage,線程
本地存儲)技術(shù)共享只讀數(shù)據(jù)。各檢測子模塊的線程之間原本是毫無關(guān)聯(lián)的，但是檢測子
模塊間的數(shù)據(jù)存在冗余，一些本可以共享的內(nèi)存會被重復(fù)申請。這類內(nèi)存主要是運行時只
讀的那些，例如，編譯后的規(guī)則集有2. 3GB之多，如果每個檢測子模塊的線程都擁有一份，
每個線程都需要消耗2.3G內(nèi)存，這樣多線程化之后很容易造成內(nèi)存不足。為此，本發(fā)明實
施例實現(xiàn)了檢測子模塊之間的內(nèi)存共享，例如共享了入侵檢測規(guī)則集和病毒庫，使得內(nèi)存
消耗大大下降，增強了系統(tǒng)的通用性。 以上所述僅是本發(fā)明的實施方式，應(yīng)當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明技術(shù)原理的前提下，還可以做出若干改進和變型，這些改進和變型也應(yīng)視為本發(fā)明的保護范圍。
權(quán)利要求
一種模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，包括數(shù)據(jù)源模塊，其用于包獲取和編碼解析，其特征在于，所述系統(tǒng)還包括分流模塊，用于完成來自所述編碼解析模塊的網(wǎng)包的調(diào)度，并通過緩沖隊列將網(wǎng)包分發(fā)到檢測模塊中的各個檢測子模塊；檢測模塊，用于檢測網(wǎng)包中是否含有攻擊，其包括一種或多種檢測子模塊；其中，所述數(shù)據(jù)源模塊和所述分流模塊使用一個線程。
2. 根據(jù)權(quán)利要求1所述的模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，所述分流模塊還包括一五元組信息分發(fā)子模塊，用于根據(jù)網(wǎng)包的五元組信息完成將網(wǎng)包分發(fā)至所述檢測模塊，其中，所述五元組信息包括源/目的網(wǎng)絡(luò)層地址、源/目的傳輸層端口和傳輸層協(xié)議標志o
3. 根據(jù)權(quán)利要求2所述的模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，所述分流模塊還包括一哈希編碼子模塊，用于將所述五元組信息進行哈希編碼以決定將網(wǎng)包分發(fā)至所述檢測模塊中的哪個檢測子模塊。
4. 根據(jù)權(quán)利要求1所述的模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，所述檢測模塊至少包括入侵檢測模塊、防病毒模塊及網(wǎng)址過濾模塊中的一種或多種檢測子模塊。
5. 根據(jù)權(quán)利要求1 4之任一所述的模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，該系統(tǒng)還包括信息反饋、網(wǎng)包阻斷模塊。
6. 根據(jù)權(quán)利要求1 4之任一所述的模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，還包括一檢測子模塊加載模塊，用于通過讀取配置文件動態(tài)加載所述檢測子模塊。
7. 根據(jù)權(quán)利要求1 4之任一所述的模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，所述同種類的檢測子模塊被設(shè)置為同一優(yōu)先級，所述分流模塊自動將流量均勻分發(fā)給同等優(yōu)先級的各個檢測子模塊。
8. 根據(jù)權(quán)利要求4所述的模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，根據(jù)所述檢測模塊中所包括的檢測子模塊的種類，相應(yīng)地，所述只讀數(shù)據(jù)至少包括入侵檢測規(guī)則集、病毒庫及網(wǎng)址庫中的一種或多種。
全文摘要
本發(fā)明公開了一種模塊化的網(wǎng)絡(luò)入侵檢測系統(tǒng)。該系統(tǒng)包括數(shù)據(jù)源模塊，其用于包獲取和編碼解析，分流模塊，用于完成來自編碼解析模塊的網(wǎng)包的調(diào)度，并將網(wǎng)包分發(fā)到檢測模塊中的各個檢測子模塊；檢測模塊，用于檢測網(wǎng)包中是否含有攻擊，其使用多個線程，包括一種或多種檢測子模塊；其中，所述數(shù)據(jù)源模塊和所述分流模塊使用一個線程。本發(fā)明的技術(shù)方案可獨立設(shè)計的數(shù)據(jù)采集及分發(fā)/檢測模塊式架構(gòu)，便于使用硬件實現(xiàn)特定模塊的功能；能夠充分利用多核處理器的處理能力，性能可隨處理器核數(shù)線性增長，且可動態(tài)加載多個檢測模塊，便于針對不同硬件情況配置；同時使內(nèi)存消耗大大下降，增強了系統(tǒng)的通用性。
文檔編號H04L29/06GK101699788SQ200910236818
公開日2010年4月28日 申請日期2009年10月30日 優(yōu)先權(quán)日2009年10月30日
發(fā)明者李軍, 薛一波, 陳新明 申請人:清華大學