本文主要为广大网友提供“用于网络入侵检测系统的零拷贝技术的设计与实现”,希望对需要用于网络入侵检测系统的零拷贝技术的设计与实现网友有所帮助,学习一下!
论文字数:24725,页数:44 有开题报告,任务书
摘 要
入侵检测作为一种积极主动的安全防护技术,它不仅能检测未经授权的对象入侵系统,而且也能监视授权对象对系统资源的非法使用。随着因特网应用的日益普及,基于网络的入侵检测越来越受到重视。
零拷贝是实现主机或路由器等设备高速网络接口的主要技术。零拷贝技术通过减少或消除关键通信路径影响速度的操作,降低数据传输的操作系统开销和协议处理开销,从而有效提高通信性能,实现高速数据传输。基于该技术,本文在Linux平台上设计和实现了一个简单的用于入侵检测系统的数据捕获模块。该模块由网络数据包捕获模块、内存映射模块、网络数据包分析模块、存储模块和界面管理模块五个子模块所构成,实现了对以太网网络数据包的捕获,零拷贝传输和网络数据包内容的分析。通过以缓存映射为基础的零拷贝技术,实现了网络数据包从内核空间到用户空间的零拷贝传输,并分析数据包内容,有效的解决了丢包和同步的问题,从而实现了网络接口设备直接将数据包以直接内存存取方式存储到应用程序可以访问的地址空间,避免数据包在内核态里传输时的内存操作,缩短了数据包的行走路径。
关键词:零拷贝;高速网络接口;内存映射;入侵检测系统
The Design and Implementation of Zero-copy Module of NIDS
Abstract
As a kind of active security technique, intrusion detection system (IDS) not only can detect the unauthorized object to intrude the system, but also can monitor the authorized object to use the system resource unlawfully. With the internet used increasingly, more and more people attach importance to the intrusion detection system based on network (NIDS).
Zero-copy is an important technology to realize high-speed network interfacing for hosts and routers. It achieves high-speed data transfer through decreasing the overhead of data transmission caused by the operating system and transmission protocol. Its main idea is to reduce or eliminate some manipulations that affect speed in the critical transmission path. Based on the technology, this paper on the Linux platform have designed and achieved a simple data capture module of intrusion detection system. This module is composed of such five sub-module as following: network packet capture module, memory mapping module, network packet analysis module, storage module and user interface management module. They achieve the Ethernet network packet capture, zero-copy data transmission and network packet content analysis. Through zero-copy technology based on memory map, we achieve the zero-copy transmission of network data packets from the core space to user space and analyze the content of data packets, to effectively solve the packet loss and synchronization problem. And by realizing DMA the packet from network card to the memory that the user program can access directly, it avoids the memory access in kernel state and shortens the path to transmit a packet.
Key words: zero copy;high-speed network interface;memory map;IDS
目 录
1 绪论 1
1.1 网络与信息安全现状及发展趋势 1
1.1.1 网络与信息安全现状 1
1.1.2 网络与信息安全发展趋势 2
1.2 入侵检测及零拷贝技术研究现状和发展趋势 3
1.2.1 入侵检测研究的必要性 3
1.2.2 入侵检测研究现状及发展趋势 3
1.2.3 零拷贝技术的必要性 5
1.2.4 零拷贝技术的研究现状及发展趋势 6
1.3 本论文的内容安排 7
2入侵检测系统及零拷贝技术概述 8
2.1 网络入侵简述 8
2.1.1 网络存在的安全隐患 8
2.1.2 网络入侵的分类 9
2.1.3 网络入侵的一般步骤 10
2.1.4 网络入侵与攻击的常用手段 12
2.2 入侵检测系统的原理 13
2.3 入侵检测系统的分类 14
2.4 零拷贝技术的原理 16
2.5 零拷贝技术的分类 16
2.5.1 分散/集中缓存 17
2.5.2 头/负载分离 17
2.5.3 NIC解析上层协议 18
2.5.4 RDMA 18
2.6 零拷贝技术与传统方法的比较 18
2.6.1 libpcap概述 19
2.6.2 零拷贝与libpcap的比较 19
3基于零拷贝技术的入侵检测系统的设计 21
3.1系统的总体结构设计 21
3.2 网络数据包捕获子模块的设计与实现 22
3.3 内存映射子模块的设计与实现 23
3.4 网络数据包分析子模块的设计与实现 24
3.4.1 TCP/IP模型 24
3.4.2 数据包封装与分解 26
3.4.3 网络数据包分析过程 27
3.5 存储子模块的设计与实现 27
3.5.1 存储子模块的设计 27
3.5.2 存储子模块实现 29
3.6 界面子模块设计与实现 30
3.6.1 GTK的简单介绍及其关键机制 30
3.6.2 多线程技术 31
3.6.3 界面子模块的设计 32
3.7 零拷贝平台的性能测试 33
3.7.1 数据包捕获效率测试 33
3.7.2 小数据包处理能力测试 34
结 论 35
致 谢 37
参 考 文 献 38