Snort入侵檢測系統(tǒng)規(guī)則匹配方法研究.pdf

1、網(wǎng)絡安全形勢伴隨信息網(wǎng)絡應用的快速發(fā)展日益嚴峻，以往單一、靜態(tài)的防火墻策略已經不能很好的應對日益嚴重的網(wǎng)絡安全問題。入侵檢測系統(tǒng)正是在這種背景下產生和發(fā)展起來的。入侵檢測系統(tǒng)是一套軟硬件相結合的系統(tǒng)，運用入侵檢測技術對惡意使用或攻擊行為進行檢測識別、報警響應處理等，檢測的內容既可以是網(wǎng)絡數(shù)據(jù)流也可以是終端主機設備的相關數(shù)據(jù)，它對受保護網(wǎng)絡內、外部的惡意或攻擊行為都具有監(jiān)視和檢測作用。同防火墻配套使用，對加強網(wǎng)絡安全特別有意義。
　

2、　 Snort是一種典型的輕量級網(wǎng)絡入侵檢測系統(tǒng)，具有免費開源、動態(tài)防御等特性。Snort結構原理和實踐應用等方面的研究，對研究與開發(fā)其他商用入侵檢測系統(tǒng)，具有學術和商業(yè)雙重價值。
　　 目前對Snort的大部分研究主要集中在Snort規(guī)則匹配算法上，側重于提高算法的性能和減少時間復雜度等方面，而對占Snort系統(tǒng)總運行時間15.2％的規(guī)則頭匹配部分則研究較少。如果能減少規(guī)則匹配時間，包括規(guī)則頭匹配及規(guī)則選項匹配的相應操作時間

3、，同樣能提高系統(tǒng)效率，提升系統(tǒng)性能。結合先進的匹配算法后改進系統(tǒng)整體性能的效果將更為顯著。本文的主要工作包括：
　　 ①在Snort作為研究對象的基礎上，深入分析了Snort的整體體系結構，詳細研究了Snort的各功能模塊，深度剖析了Snort規(guī)則格式和規(guī)則組織形式，然后圍繞Snort規(guī)則頭部分進行研究分析，在此基礎上展開對能夠提高Snort檢測分析處理速度的相關技術的研究。
　　 ②在規(guī)則動態(tài)調整方面，在深入分析了靜態(tài)

4、調整法及包括一步調整法和兩步調整法的動態(tài)調整法的基礎上，本文提出了性能更加優(yōu)越的改進兩步動態(tài)調整法。
　　 ③在分析了Snort規(guī)則特點及匹配、調整方法的基礎上，結合改進的兩步動態(tài)規(guī)則調整法，本文提出了一種能夠提高Snort檢測處理速度的新方法--基于高頻活動規(guī)則集的Snort規(guī)則頭匹配方法。經過對來自DAPRA1999的數(shù)據(jù)集進行分組對比測試分析，結果表明，本文提出的方法能夠有效提高Snort檢測處理速率，在效率上比原方法平均