面向輕量級入侵檢測系統(tǒng)性能優(yōu)化研究.pdf

1、入侵檢測系統(tǒng)作為一種檢測系統(tǒng)入侵行為的安全防護(hù)設(shè)備，在信息安全領(lǐng)域發(fā)揮著重要作用。提高入侵檢測系統(tǒng)的檢測速度并減少入侵檢測系統(tǒng)誤報率和漏報率是信息安全領(lǐng)域的研究重點。
　　Snort作為輕量級的開源入侵檢測系統(tǒng)得到廣泛地應(yīng)用和研究，本文在對其系統(tǒng)架構(gòu)深入分析的基礎(chǔ)上，從空間和時間兩個方面對其性能進(jìn)行優(yōu)化，主要工作包括：
　　1、從時間方面提高Snort的檢測性能：優(yōu)化處理了Snort規(guī)則集，通過刪除部分不影響匹配結(jié)果的規(guī)則和

2、修改部分規(guī)則，達(dá)到了用相對較少的規(guī)則匹配較多特征的目的，并能減少檢測報文時的計算量，從而提高了系統(tǒng)檢測速度。
　　2、從空間方面提高Snort的檢測性能：為減少入侵檢測系統(tǒng)運行時的內(nèi)存占有量，優(yōu)化了Snort快速檢測引擎結(jié)構(gòu)，通過改變快速檢測引擎的源端口和目的端口集的規(guī)則節(jié)點與通用規(guī)則集的規(guī)則節(jié)點的連接方式，形成了一種新的快速檢測引擎結(jié)構(gòu)，可以在不影響檢測性能的前提下減少內(nèi)存占有量。
　　3、設(shè)計檢測http協(xié)議數(shù)據(jù)報文特征

3、方法。使用這種檢測方法檢測數(shù)據(jù)報文的協(xié)議特征時只檢測數(shù)據(jù)報文的IP協(xié)議標(biāo)識、TCP協(xié)議標(biāo)識和http協(xié)議標(biāo)識，與原始Snort系統(tǒng)相比，新的檢測方法減少了運算量，使Snort可以在相同的時間處理更多的報文，檢測報文時提取http會話中每個報文的數(shù)據(jù)部分并將這些數(shù)據(jù)整合到一個虛擬數(shù)據(jù)包中，然后由檢測引擎對虛擬數(shù)據(jù)包進(jìn)行檢測，使用這種檢測方法進(jìn)行檢測能降低Snort檢測報文的誤報率和漏報率。
　　本文利用在實際網(wǎng)絡(luò)環(huán)境中捕獲的數(shù)據(jù)報文