基于Snort的入侵防御系統(tǒng)性能優(yōu)化研究.pdf

1、當今社會信息技術(shù)的日益發(fā)展,尤其是互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,給當代人們的生活帶來了極大的便利。然而,隨著各類網(wǎng)絡應用不斷普及,也為網(wǎng)絡攻擊者提供了更多的可乘之機。近年來,網(wǎng)絡入侵成逐年上升的趨勢,造成的損失難以估量。入侵防御是一項專門對各類網(wǎng)絡攻擊進行防御的技術(shù),它融合了防火墻和入侵檢測技術(shù)各自的優(yōu)點,既能夠?qū)W(wǎng)絡數(shù)據(jù)包進行深入的攻擊檢測,又能夠及時阻斷攻擊。當前,入侵防御系統(tǒng)面臨的最大問題是網(wǎng)絡時延和丟包造成的性能瓶頸。由于入侵防御系統(tǒng)以

2、串聯(lián)的形式連接到主干網(wǎng)絡中,一旦出現(xiàn)網(wǎng)絡時延較大或者丟包的情況,就會對用戶的正常網(wǎng)絡訪問造成嚴重影響,因此如何提高入侵防御系統(tǒng)的性能,減小網(wǎng)絡時延,增加系統(tǒng)吞吐量,是當前急需解決的一個問題。
　　本文對開源入侵檢測系統(tǒng)Snort進行了深入的分析,設計并實現(xiàn)了一個基于Snort的入侵防御系統(tǒng)原型。其中,該系統(tǒng)的濫用檢測模塊移植了 Snort的核心檢測引擎。在此基礎(chǔ)上,本文對該系統(tǒng)的濫用檢測模塊進行了單元測試與分析,找出了系統(tǒng)的性能瓶

3、頸所在,針對相關(guān)的環(huán)節(jié)進行了以下改進和優(yōu)化:
　　1)針對Snort的檢測引擎,提出并實現(xiàn)了一種“基于活躍度的規(guī)則鏈動態(tài)優(yōu)先級調(diào)整方案”。通過實驗對比,證明該方案在“大量、持續(xù)攻擊發(fā)生”的網(wǎng)絡環(huán)境下,能夠有效地提高系統(tǒng)的檢測性能。
　　2)分析了當前版本的Snort中所采用的模式匹配BM算法和AC算法,并分析了現(xiàn)有的相關(guān)改進算法。在此基礎(chǔ)上,本文提出了一種改進的多模式匹配算法,并應用到系統(tǒng)中。通過實驗對比,證明改進后的算法在

4、實際檢測中的性能優(yōu)于改進前的版本。
　　3)基于多核平臺,本文提出了一種“多核平臺下的并發(fā)檢測引擎模型”,將系統(tǒng)的濫用檢測模塊架構(gòu)從原來的單線程模型改進為多進程并發(fā)模型,以充分發(fā)揮多核CPU各個核心的運算能力,通過在8核硬件平臺上的測試結(jié)果表明,該模型有效地提升了系統(tǒng)網(wǎng)絡吞吐量,實現(xiàn)了對系統(tǒng)整體檢測性能的提升。
　　最后,本文將以上3種改進方案應用到了入侵防御系統(tǒng)中,結(jié)合系統(tǒng)的其他功能模塊進行整體性能測試,測試結(jié)果表明改進后