应用层并行重组在NIDS中的设计与实现

应用层并行重组在NIDS中的设计与实现

杨宏宇¹,²,³, 赵晓玲³

1. 中国民航学院软件技术研究中心, 天津 300300; 2. 中国民航学院天津市智能信号与图像处理重点实验室, 天津 300300; 3. 天津大学电信学院, 天津 300072

收稿日期:2005-06-22 修回日期:1900-01-01 出版日期:2006-07-26 发布日期:2006-07-26
通讯作者: 杨宏宇

Design and Implementation of Application Layer ParallelReassembling in NIDS

YANG Hongyu¹,²,³, ZHAO Xiaoling³

1. Software Research Center, Civil Aviation University of China, Tianjin 300300, China; 2. Tianjin Key Laboratory for Advanced Signal Processing, Civil Aviation University of China, Tianjin 300300, China; 3. School of Electronic Information Engineering, Tianjin University, Tianjin 300072, China

Received:2005-06-22 Revised:1900-01-01 Online:2006-07-26 Published:2006-07-26
Contact: YANG Hongyu

摘要/Abstract

摘要： 针对目前网络入侵检测系统在IP分片重组和TCP流重组中的不足, 提出应用层协议并行重组的新方法ALPPR及其原型系统. 根据报文重组的特点, 采用基于LogP模型的并行处理思想和主从模式实现并行任务的分配和处理. 在并行重组过程中, 采用二维链表保存(例如会话列表、相应状态和任务分配结果等)关键信息. 同时,该方法采用动态分配策略实现并行重组中的负载平衡. 实验结果证明了ALPPR方法的可行性和有效性.

关键词: 入侵检测, 并行重组, 二维链表, 负载平衡

Abstract: A new parallel reassembly approach ALPPR and its prototype are presented in the light of the weakness of present Network Intrusion Detection Systems (NIDS), especially the procedure of IP fragments and TCP flows reassembling. We adopted an idea based on LogP model and masterslave mode to complete parallel task allocation and implementation. Some key information such as sessions and their corresponding states, operation results were saved by using a twodimensional linked list in parallel reassembly process. Meanwhile, a dynamic allocation strategy was used to keep load balancing. Experimental results show that ALPPR has good effectiveness and high performance.

Key words: intrusion detection, parallel reassembling, twodimensional linked list, load balance

中图分类号:

TP393.08

杨宏宇,,, 赵晓玲. 应用层并行重组在NIDS中的设计与实现[J]. J4, 2006, 44(04): 575-582.

YANG Hongyu,,, ZHAO Xiaoling. Design and Implementation of Application Layer ParallelReassembling in NIDS[J]. J4, 2006, 44(04): 575-582.

[1]	任维武, 张波辰, 底晓强, 卢奕南. 基于人工蜂群优化的密度聚类异常入侵检测算法[J]. 吉林大学学报(理学版), 2018, 56(1): 95-100.
[2]	袁开银, 费岚. 混合粒子群优化算法选择特征的网络入侵检测[J]. 吉林大学学报(理学版), 2016, 54(02): 309-314.
[3]	郭其标, 李秉键. 基于最小信息准则和BP算法的网络入侵检测[J]. 吉林大学学报(理学版), 2015, 53(04): 715-719.
[4]	杨志伟, 努尔布力, 贾雪, 胡亮. 基于ReliefF的入侵特征选择方法[J]. 吉林大学学报(理学版), 2015, 53(03): 505-510.
[5]	崔亚芬, 解男男. 一种基于特征选择的入侵检测方法[J]. 吉林大学学报(理学版), 2015, 53(01): 112-116.
[6]	王忠策, 李蕴奇. 基于旋量理论多关节柔性机器人操作臂的逆动力学模型推导与仿真[J]. J4, 2011, 49(01): 98-104.
[7]	胡亮, 王程明, 赵阔, 努尔布力, 姜千. 基于人工免疫模型的入侵检测系统中检测器生成算法的分析与改进[J]. J4, 2010, 48(1): 67-72.
[8]	胡亮, 任维武, 任斐, 刘晓博, 金刚. 基于改进密度聚类的异常检测算法[J]. J4, 2009, 47(05): 954-960.
[9]	张丹, 任斐, 赵阔，张园园，刘晓博, 任维武，胡亮. 基于SVM的在线无监督入侵检测系统[J]. J4, 2009, 47(02): 323-329.
[10]	李瑞雪,, 房至一,, 戴志明, 闫友来, 肖玮. 基于贝叶斯理论的入侵检测评测方法研究[J]. J4, 2008, 46(05): 925-929.
[11]	肖玮,, 房至一, 王玮, 杨宏军. 一种适应负载特征的入侵检测方法[J]. J4, 2008, 46(04): 725-728.
[12]	库宇, 胡亮, 张晓晖. 一种基于代理和蜜罐技术的分布式入侵检测系统模型[J]. J4, 2007, 45(03): 399-404.
[13]	许封元1, 房至一1, 朱维平2. 进程迁移对负载平衡影响的实验[J]. J4, 2006, 44(06): 925-930.
[14]	刘小杨，房至一, 翟羽佳, 袁龙略. 用Honeypot改善NIDS性能[J]. J4, 2006, 44(01): 67-72.
[15]	房至一, 黄孟陬, 张震. 基于集中控制的Web Cache体系结构[J]. J4, 2004, 42(03): 387-387392.