基于Linux高速报文捕获平台的DDoS入侵检测系统的研究

计算机科学 ›› 2014, Vol. 41 ›› Issue (4): 159-162.

基于Linux高速报文捕获平台的DDoS入侵检测系统的研究

黎忠文,吴成宾,许晓晨

成都大学信息科学与技术学院成都610106;成都大学现代教育技术中心成都610106;厦门大学计算机系厦门361005

出版日期:2018-11-14 发布日期:2018-11-14
基金资助:
本文受国家自然科学基金(60903160),中央高校基金(11D11209),四川省科技支撑计划基金项目(2013GZ0016),四川省教育厅重点项目(13ZA0296)资助

Research on DDoS Intrusion Detection System Based on Linux High Speed Packet Capturing Platform

LI Zhong-wen,WU Cheng-bin and XU Xiao-chen

Online:2018-11-14 Published:2018-11-14

摘要/Abstract

摘要： 如何在高速网络环境下实现线速的报文捕获以及上层的安全应用,一直是研究的热点。前期用内存映射和零拷贝等方法实现了基于千兆网卡的高速报文捕获平台NACP,在此基础上,通过使用IP地址的分布与系统资源的使用情况等作为检测参数,在snort工具上实现了防DDoS攻击的入侵检测系统。在NACP上的实验表明,改进的DDoS入侵检测工具snort与高速报文捕获平台兼容性良好,发生DDoS时能迅速检测到并且做出恰当的回应。由于使用了高速报文捕获平台,DDoS检测占用系统资源明显减少,很大程度上提高了系统的效率,系统可以在入侵检测的同时处理其他的事务。

关键词: 千兆,高速报文捕获,NAPI,分布式拒绝服务攻击,入侵检测系统

Abstract: It has always been a hot research aspect to achieve wire-speed packet capturing and the upper security applications in gigabit network environment．In previous work,we created the high-speed Gigabit Ethernet packet capture platform NACP by using memory mapping and other methods．On this basis,by using the distribution of IP addresses and the use of system resources as detection parameters,we achieved the anti-DDoS attacks intrusion detection system based on snort tool．The experiments on NACP show that improved DDoS intrusion detection tool Snort is compatible with the high-speed packet capturing platform,and the event of DDoS can be quickly detected and get appropriate response in NACP.Because of the use of high-speed packet capturing platform,the system resources occupied by DDoS detection are significantly reduced,so it greatly improves the system efficiency,and the system can handle other affairs during the intrusion detection.

Key words: Gigabit,High-speed packet capture,NAPI,Distributed denial of service attacks,Intrusion detection system

黎忠文,吴成宾,许晓晨. 基于Linux高速报文捕获平台的DDoS入侵检测系统的研究[J]. 计算机科学, 2014, 41(4): 159-162. https://doi.org/

LI Zhong-wen,WU Cheng-bin and XU Xiao-chen. Research on DDoS Intrusion Detection System Based on Linux High Speed Packet Capturing Platform[J]. Computer Science, 2014, 41(4): 159-162. https://doi.org/

参考文献

[1] 温曙光,谢高岗．libpcap-MT:一种多线程的通用数据包捕获库[J]．计算机研究与发展,2011,48(5):756-764
[2] 王佰玲,方滨兴,云小春．零拷贝报文捕获平台的研究与实现[J]．计算机学报,2005,28(1):46-51
[3] 乔思远．基于DMA_ring的高速网络报文捕获机制的实现及应用[D]．济南:山东大学,2007
[4] 王磊．基于Linux的高速网络数据包捕捉技术的研究与实现[D]．杭州:浙江工业大学,2007
[5] 倪继利．Linux内核分析及编程[M]．北京:电子工业出版社,2005
[6] 文旭,陈兵．μC/OS-II高速网络通讯中NAPI的设计与实现[J]．小型微型计算机系统,2008,29(2):265-268
[7] 孙知信,姜举良,焦琳．DDOS攻击检测和防御模型[J]．软件学报,2007,18(9):2245-2258
[8] 张永铮,肖军,云晓春,等．DDoS攻击检测和控制方法[J]．软件学报,2012,23(8):2058-2071
[9] 郑康锋,王秀娟．利用边际谱Hurst参数检测DDoS攻击[J]．北京邮电大学学报,2011,34(5):128-132
[10] 许爱军,谢娟,张华,基于WinPcap的网络数据解析及其实现[J]．科学技术与工程,2009,9(10):2799-2800
[11] 沈辉,张龙．基于WinPcap的网络数据监测及分析[J]．计算机科学,2012,9(10):15-18

Metrics

Viewed

Full text

Abstract

Cited

Shared

Discussed