一种基于NP和BS的千兆NIDS并行处理的方法

摘要

本发明是一种基于NP和BS的千兆NIDS并行处理的方法，包括数据接收，转发器在交换机的镜像端口上接收所需检测网络上的所有数据包；数据划分，将高速的网络数据流划分成多个低速的数据流，并确定应送达的探测器；数据转发，转发器将数据包的目的MAC地址改为该探测器的MAC地址，由交换板发送给该探测器；数据检测，设计基于互补的两个线程进行数据采集、协议分析、特征匹配和响应；报告生成，在控制台形成检测报告。优点：通过对称多处理提高了NIDS单个探测器的性能的同时，简单地通过增加探测器的数量提高NIDS整个系统的处理能力，减少高带宽下NIDS的丢包数，提高其检测率，满足骨干网对千兆NIDS的需求。

主权项

1.一种基于网络处理器和刀片服务器的千兆NIDS并行处理的方法，其特征是包括以下步骤：(1)数据接收，即基于网络处理器的转发器在交换机的镜像端口上接收所需检测网络上的所有数据包；(2)数据划分，即转发器按照既定的算法，该算法根据探测器的网卡负载、传输当前数据包的连接与探测器的连接状态，对到达的数据包进行划分，即将高速的网络数据流划分成多个低速的数据流，并确定应送达的探测器；(3)数据转发，即转发器将数据包的目的MAC地址改为该探测器的MAC地址，随后数据包被转发给刀片服务器的交换板，由交换板发送给该基于刀片服务器的探测器；(4)数据检测，即利用探测器的双CPU对称多处理结构，设计基于互补的两个线程进行数据采集、协议分析、特征匹配和响应；(5)报告生成，即在控制台形成检测报告；所述的数据划分的步骤具体为，即从镜像端口接收一个待检查的数据包，判断转发器是否工作在分流数据包的状态：若不工作在分流数据包的状态，则把取到的包交给上层协议栈，并接收下一个数据包，这时整个检测系统处于停止运行状态；若是工作在分流数据包的状态，则通过分析包头，判断当前的数据包是否为TCP包或UDP包：若不是TCP包或UDP包，则无需检测传输该数据包的连接在探测器中的当前状态，根据各探测器反馈回来的待处理队列长度确定一个负载最轻探测器，然后将改写该数据包包头的MAC地址，通过交换机，将其送至目标探测器进行攻击特征的匹配检测；若是TCP包或UDP包，则读取包头的源、目IP地址及端口号，并计算其Hash值；接着判断该Hash值的连接是否处于活动状态，该连接处于活动状态，则根据该连接的探测器MAC地址通过交换板把当前数据包交给该探测器；该连接不处于活动状态，根据探测器的反馈信息确定一个负载相对较轻的探测器，然后把当前的包交给该探测器；根据当前检测的数据包的UDP或TCP包头标志对该Hash值的连接状态进行修改；最后回到取下一个数据包，完成这样一个数据包的处理过程，并等待接收下一个数据包。