基于Snort平臺(tái)的入侵檢測(cè)算法研究.pdf

1、隨著互聯(lián)網(wǎng)的不斷發(fā)展和廣泛深入應(yīng)用，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重，傳統(tǒng)靜態(tài)安全技術(shù)不足以應(yīng)對(duì)各種網(wǎng)絡(luò)安全問(wèn)題，因此需要積極主動(dòng)的防御機(jī)制，實(shí)時(shí)保護(hù)系統(tǒng)，在網(wǎng)絡(luò)系統(tǒng)遭受破壞之前發(fā)現(xiàn)并響應(yīng)入侵。入侵檢測(cè)就是一種主動(dòng)防御入侵行為的安全機(jī)制，能夠自動(dòng)檢測(cè)系統(tǒng)內(nèi)部不合法操作和外部入侵活動(dòng)，是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。
　　在研究入侵檢測(cè)系統(tǒng)的原理及模型發(fā)展的基礎(chǔ)上，說(shuō)明了基于Snort入侵檢測(cè)系統(tǒng)研究入侵檢測(cè)算法的原因，研究了Snort入侵檢測(cè)系

2、統(tǒng)各模塊主要工作和Snort的工作流程。Snort是基于規(guī)則匹配的策略，模式匹配過(guò)程是其最主要的過(guò)程，是影響系統(tǒng)性能的最主要因素。對(duì)Snort中的多種模式匹配算法思想進(jìn)行深入研究，包括BM算法、AC算法、WM算法等。隨后發(fā)現(xiàn)，Snort中的經(jīng)典多模式匹配算法AC算法，雖然比一般單模式匹配算法高效，但是對(duì)文本串搜索逐字符匹配，存在多余比較，降低了入侵檢測(cè)的效率。為進(jìn)一步提高入侵檢測(cè)系統(tǒng)的性能和效率，提出了一種有限狀態(tài)自動(dòng)機(jī)與后綴自動(dòng)機(jī)相互

3、合作的算法。該算法使用雙自動(dòng)機(jī)，后綴自動(dòng)機(jī)反向掃描文本串，查找模式串最大子串，然后在已匹配子串的基礎(chǔ)上用原AC自動(dòng)機(jī)正向掃描文本串匹配，且利用后綴自動(dòng)機(jī)獲得最大跳躍距離。將該算法應(yīng)用于Snort入侵檢測(cè)系統(tǒng)中，通過(guò)實(shí)驗(yàn)比較了幾個(gè)算法的時(shí)空性能。實(shí)驗(yàn)結(jié)果表明，與AC算法、AC-SPLIT算法及WMW算法相比較，該算法大幅度提高了檢測(cè)效率，且規(guī)則數(shù)量增大時(shí)，算法時(shí)間平穩(wěn)增長(zhǎng)。
　　最后本文分析了搭建網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)需要的體系結(jié)構(gòu)，設(shè)計(jì)