入侵檢測匹配過程與算法改進(jìn)研究.pdf

1、網(wǎng)絡(luò)的普及和廣泛應(yīng)用極大地方便了人們的日常工作和生活，與此同時(shí)各種網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪活動也日益嚴(yán)重，網(wǎng)絡(luò)的安全問題就顯得尤為重要。入侵檢測技術(shù)作為一種能主動探測攻擊、保護(hù)信息系統(tǒng)不被破壞的網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用。
　　 Snort是一典型的開源入侵檢測系統(tǒng)，具有對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析、對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行記錄、對協(xié)議進(jìn)行分析和對數(shù)據(jù)包內(nèi)容進(jìn)行搜索匹配等多種功能。但隨著網(wǎng)絡(luò)帶寬的不斷提高，Snort需要處理的網(wǎng)絡(luò)流量日益增大，這就對Sno

2、rt的檢測速度提出了更高的要求。
　　 本文系統(tǒng)分析了Snort的規(guī)則結(jié)構(gòu)、檢測流程和快速規(guī)則匹配引擎構(gòu)建過程，提出了按規(guī)則中包含模式串的個(gè)數(shù)對規(guī)則進(jìn)行分類的思路。對僅包含單個(gè)模式串的規(guī)則，借助多模式匹配所得信息，用邊界條件檢查函數(shù)代替單模式重復(fù)匹配過程，使Snort入侵檢測系統(tǒng)的檢測速度提高了1.28[％]。另外分析研究了現(xiàn)有模式匹配算法的優(yōu)缺點(diǎn)，提出了一種改進(jìn)的AC_BMH多模式匹配算法。改進(jìn)算法利用雙字符進(jìn)行跳躍，在增大模

3、式串失配概率的同時(shí)能跳過更大的距離，再結(jié)合QS算法的優(yōu)點(diǎn)，進(jìn)一步增大模式串匹配失敗時(shí)的跳躍距離，同時(shí)借助壓縮存儲機(jī)制有效降低了算法的內(nèi)存使用量。在VC6.0環(huán)境下對改進(jìn)算法的匹配速度和內(nèi)存使用量進(jìn)行了測試，測試結(jié)果表明該算法比原算法在模式匹配速度上提高了29.30[％]-52.82[％]，在模式串較多時(shí)，內(nèi)存使用量可減少90[％]以上。最后將該算法應(yīng)用到Snort入侵檢測系統(tǒng)中，使Snort入侵檢測系統(tǒng)的檢測速度提高了5.95[％]-2