入侵檢測匹配過程與算法改進研究.pdf

1、網(wǎng)絡(luò)的普及和廣泛應(yīng)用極大地方便了人們的日常工作和生活，與此同時各種網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪活動也日益嚴重，網(wǎng)絡(luò)的安全問題就顯得尤為重要。入侵檢測技術(shù)作為一種能主動探測攻擊、保護信息系統(tǒng)不被破壞的網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用。
　　 Snort是一典型的開源入侵檢測系統(tǒng)，具有對網(wǎng)絡(luò)流量進行實時分析、對網(wǎng)絡(luò)數(shù)據(jù)包進行記錄、對協(xié)議進行分析和對數(shù)據(jù)包內(nèi)容進行搜索匹配等多種功能。但隨著網(wǎng)絡(luò)帶寬的不斷提高，Snort需要處理的網(wǎng)絡(luò)流量日益增大，這就對Sno

2、rt的檢測速度提出了更高的要求。
　　 本文系統(tǒng)分析了Snort的規(guī)則結(jié)構(gòu)、檢測流程和快速規(guī)則匹配引擎構(gòu)建過程，提出了按規(guī)則中包含模式串的個數(shù)對規(guī)則進行分類的思路。對僅包含單個模式串的規(guī)則，借助多模式匹配所得信息，用邊界條件檢查函數(shù)代替單模式重復匹配過程，使Snort入侵檢測系統(tǒng)的檢測速度提高了1.28[％]。另外分析研究了現(xiàn)有模式匹配算法的優(yōu)缺點，提出了一種改進的AC_BMH多模式匹配算法。改進算法利用雙字符進行跳躍，在增大模

3、式串失配概率的同時能跳過更大的距離，再結(jié)合QS算法的優(yōu)點，進一步增大模式串匹配失敗時的跳躍距離，同時借助壓縮存儲機制有效降低了算法的內(nèi)存使用量。在VC6.0環(huán)境下對改進算法的匹配速度和內(nèi)存使用量進行了測試，測試結(jié)果表明該算法比原算法在模式匹配速度上提高了29.30[％]-52.82[％]，在模式串較多時，內(nèi)存使用量可減少90[％]以上。最后將該算法應(yīng)用到Snort入侵檢測系統(tǒng)中，使Snort入侵檢測系統(tǒng)的檢測速度提高了5.95[％]-2