技術領域

本發明涉及網絡安全技術領域，特別是涉及一種網絡入侵檢測的負載均衡 方法。

背景技術

入侵檢測(Intrusion?Detection)是對入侵行為的發覺。它通過對計算 機網絡或者計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網 絡或者系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統 (Intrusion?Detection?System，IDS)是進行入侵檢測的軟件和硬件的組合。 一般來說，入侵檢測系統可分為主機型和網絡型。主機入侵檢測系統往往以系 統日志、應用程序日志等作為數據源。網絡入侵檢測系統(Network?Intrusion Detection?System，NIDS)的數據源則是網絡上的數據封包。

網絡入侵檢測系統通常放置在比較重要的網段內或者網絡邊緣，不停地監 視網絡中的各種數據封包。網絡安全設備的處理速度一直是影響網絡性能的一 大瓶頸，雖然網絡入侵檢測系統通常以并聯方式接入網絡，但如果檢測速度跟 不上網絡數據的傳輸速度，那么網絡入侵檢測系統就會漏掉其中的部分數據封 包，從而導致漏報而影響系統的準確性和有效性。網絡入侵檢測系統截獲網絡 中的每一個數據封包，并且需要花費大量的時間和系統資源來分析、匹配其中 是否具有某種攻擊的特征。因此，如何提高網絡入侵檢測系統整體的吞吐處理 能力，成為該系統在不斷發展的網絡環境中應用的關鍵問題。

專利公開號為CN1561032A的中國專利申請公開了一種入侵檢測的多線程 負載均衡方法，其采用以應用協議為標準的分配方法來實現負載均衡。如圖1 所示，抓包引擎根據負載均衡的處理策略將不同協議類型的數據封包分別放入 不同的處理隊列，然后使用多線程的入侵檢測系統來分別處理。

從圖1可以看出，該專利申請將HTTP、TELNET、FTP等應用協議分配給不 同的線程去處理，以達到負載均衡的目的。但這樣的負載均衡算法在實際的網 絡環境中并不能達到令人滿意的程度。

在實際的網絡環境中，各種應用協議的流量所占的比例并不是均衡的。網 絡服務控制系統方案提供商Ellacoya網絡公司通過分析北美的100萬名寬帶 用戶，發現HTTP在所有網絡流量中占到約46％的比例。P2P(多數是UDP的各 種應用流量)排名第二位，在所有網絡流量中占到37％的比例。此外，新聞組 占到9％的比例，非HTTP視頻流占到3％的比例，網絡游戲占到2％的比例，VoIP 占到1％的比例。

因此，如果按照應用協議進行劃分，那么處理HTTP協議的線程要處理總 流量的46％，各個P2P的處理線程總共處理37％。依次類推，處理網絡游戲的 線程則只處理2％，而其它，如TELNET等的處理進程處理的則更少。這種負載 均衡方式顯然不夠理想。

發明內容

為了解決上述現有技術中所存在的問題或缺陷，本發明的目的之一在于提 供一種網絡入侵檢測的負載均衡方法。

本發明公開了一種網絡入侵檢測的負載均衡方法，接收端對所接收到的數 據封包進行負載處理，所述方法包括以下步驟：

接收來自一客戶端的多筆數據封包，該數據封包至少包括有一協議類型與 一協議屬性；

在一接收端加載至少一入侵檢測程序；

對每一該入侵檢測程序設置相應的一請求隊列，其用以存放該些數據封 包；

將該些數據封包通過一分流程序，其根據該協議類型將該些數據封包分類 為一鏈向類型數據封包與一非鏈向類型數據封包；

將該些鏈向類型數據封包通過一第一分配程序，其根據該協議屬性分配至 相應的該請求隊列；

將該非鏈向類型數據封包通過一第二分配程序，其根據該協議屬性分配至 相應的該請求隊列；以及

對每一該請求隊列中的該些數據封包進行相應的該入侵檢測程序。

所述該協議類型包括有一傳輸控制協議、一串流傳輸控制協議、一用戶數 據報協議、一因特網消息控制協議、一因特網管理協議或一地址解析協議。

所述該分流程序更包括以下步驟：

將該些數據封包為該傳輸控制協議、該串流傳輸控制協議與該用戶數據報 協議分類為該鏈向類型數據封包；以及

將該些數據封包為該因特網消息控制協議、該因特網管理協議與該地址解 析協議分類為該非鏈向類型數據封包。

所述該協議屬性包括有一來源地址、一來源端口號、一目的地址或一目的 端口號。