Snort入侵檢測(cè)系統(tǒng)的研究和改進(jìn).pdf

1、針對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)安全問題，出現(xiàn)了越來越多的網(wǎng)絡(luò)安全防護(hù)手段。入侵檢測(cè)系統(tǒng)就是眾多核心防護(hù)手段當(dāng)中的一種。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）是一種主動(dòng)防范的安全技術(shù)，能夠?qū)W(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)視，并能在發(fā)現(xiàn)可疑傳輸時(shí)采取相應(yīng)的反應(yīng)措施。隨著網(wǎng)絡(luò)環(huán)境的不斷提速，網(wǎng)絡(luò)攻擊手段的不斷增多，入侵檢測(cè)系統(tǒng)需要處理的網(wǎng)絡(luò)數(shù)據(jù)量急劇膨脹，當(dāng)超過其處理能力時(shí)，入侵檢測(cè)系統(tǒng)就會(huì)有丟包的現(xiàn)象出現(xiàn)。
　　本文就是針對(duì)如何提高入侵檢測(cè)系統(tǒng)的檢測(cè)效率開展工作。本文

2、以Snort入侵檢測(cè)系統(tǒng)作為研究對(duì)象，通過對(duì)Snort系統(tǒng)的分析，得知模式匹配操作是影響入侵檢測(cè)系統(tǒng)性能的關(guān)鍵，大約占據(jù)了Snort入侵檢測(cè)系統(tǒng)運(yùn)行時(shí)間的50％左右。可見，通過改進(jìn)模式匹配操作確實(shí)能夠有效地提高系統(tǒng)的整體性能。
　　因此本文主要就Snort入侵檢測(cè)系統(tǒng)中的AC多模式匹配算法進(jìn)行研究，通過對(duì)算法的改進(jìn)來提高算法性能，進(jìn)而提高系統(tǒng)性能。本文先就串行AC算法改進(jìn)進(jìn)行研究，針對(duì)AC算法內(nèi)存消耗大的缺陷，提出兩種改進(jìn)方案對(duì)算

3、法進(jìn)行改進(jìn)。由于串行AC算法本身已較完善，串行改進(jìn)雖能提高效率，但是效果并不明顯。考慮到模式匹配操作非常適合于單指令多數(shù)據(jù)的并行處理形式，結(jié)合GPU體系結(jié)構(gòu)及其高并行計(jì)算能力，選擇將串行AC算法并行化，實(shí)現(xiàn)基于GPU的并行AC算法。通過利用GPU的高并行處理能力，可以實(shí)現(xiàn)同時(shí)對(duì)多個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的匹配操作，從而大幅度的提高檢測(cè)效率。本文后續(xù)工作主要就是對(duì)Snort系統(tǒng)進(jìn)行改進(jìn)，使之能夠適應(yīng)并行AC算法。通過設(shè)計(jì)實(shí)驗(yàn)進(jìn)行測(cè)試，發(fā)現(xiàn)并行AC算法