基于判定树的Snort规则集优化构造方法

为降低Snort2检测所耗费的CPU时间,针对端口分类所导致的规则重复构造问题,提出一种基于判定树的规则集有效划分方法,并对划分后的规则子集采用依据匹配项信息值的规则优化构造方式。实验通过高精度的时间测量结果证明该规则集优化构造方法使数据包检测所耗费的CPU时间比Snort2原方案平均降低45.9%。     

Snort规则集的优化方法

高速网络的发展使得提高检测速度成为入侵检测系统面,临的关键问题。通过对Snort规则集优化方法的分析与比较,提出将活跃规则集划分与多子集划分相结合的方法,先从整体上优先选择要匹配的规则集,然后进行并行匹配,以提升入侵检测中规则匹配的效率。     

基于Snort的入侵检测规则匹配技术研究

入侵检测系统(IDS)继数据加密、访问控制、防火墙等安全技术之后,目前成为信息安全领域内一个活跃的研究课题。该文从IDS检测规则的规则匹配技术展开,并以网络入侵检测系统为例,介绍了几种不同类型规则匹配技术,并对开放源码的网络入侵检测系统—Snort2.6进行了详细的检测规则分析。     

提高Snort规则匹配速度的新方法

对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。     

基于统计阈值的Snort规则集动态产生的设计与实现

Snort作为开源的入侵检测系统,利用定义的静态规则集合实现对网络的入侵事件的检测。本文分析入侵检测系统的基本原理和模型,阐述Snort入侵检测系统部署到网络时,其静态规则集的配置方法,根据统计流量阈值和告警频率阈值动态产生动态规则集的方法,改进并提高了部署Snort应有的灵活性。     

基于活跃规则集的Snort高效规则匹配方法

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。     

Snort规则的分析与实现

Snort是一个著名的开源入侵检测系统,经过若干年的发展,已经成为一个稳定、高效的入侵检测系统。通过对Snort及其规则的分析,介绍了Snort的规则组织结构及其规则匹配流程,并在此基础上实现了对于规则的更新和添加功能,便于用户灵活定义新的入侵检测规则,提升了Snort系统的可扩展性和防范入侵攻击的能力。     

关联规则向Snort规则转换的应用研究

在入侵检测中的使用关联规则算法,在检测的时候需要重新计算一些统计数据,降低了检测的速度和准确度,所以它提出了一种把数据挖掘的关联规则转化成Snort规则库的方法,这样既提高了入侵检测的速度和准确率,也使得入侵检测具有了一定的自适应能力。     

一种Snort规则的优化方法

Snort是一款基于规则发现入侵行为的网络入侵检测系统,为了提高入侵检测系统中检测引擎的速度和效益,在分析Snort的规则组织结构和规则匹配过程的基础上,提出了一种规则优化的方法。该方法充分利用了协议特征和规则内容,能有效地加快检测引擎的速度,提高入侵检测的效率。     

基于Snort的入侵检测系统的研究

随着互联网的不断发展,入侵检测系统已变成计算机网络安全防范体系的重要组成部分之一。本文是在介绍了入侵检测系统的基本原理的基础上,从体系结构、工作原理两个方面分析了Snort入侵检测系统,并介绍了怎样根据自己的网络环境,编写规则来保护网络的安全。     

Snort研究及BM算法改进

Snort是一个轻型的入侵检测系统,在检测过程中,字符串匹配算法的效率决定了Snort系统的性能.分析了Snort的系统结构和工作流程,对Snort的BM字符匹配算法进行深入研究,提出了BM字符匹配算法的改进方法.实验数据表明,改进的BM字符匹配算法可提高Snort的效率.     

基于网络的入侵检测系统设计与实现

网络入侵检测系统是一种通过实时监测网络以发现入侵攻击行为的安全技术。随着入侵检测技术的发展进步,目前已经出现了各种各样的网络入侵检测系统。文章在综合分析各种入侵检测技术的基础上,构建了一个基于Snort的网络入侵检测系统,能快速发现入侵行为,实时报警,提高网络防御体系的完整性。该系统采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。     

Snort规则链表结构的改进与仿真

Snort系统根据规则链表对捕获的数据包进行匹配,以发现攻击行为,规则链表结构的合理性在很大程度上影响检测速度。针对Snort规则链表结构中局部聚集的现象,对其按共性选项因式分解,将规则按所含选项的信息量进一步排序。在仿真平台OPNET上的模拟结果表明,改进后的规则链表结构能减少规则匹配时间。     

基于数据挖掘的Snort系统改进模型

针对Snort系统对新的入侵行为无能为力的缺点,设计了一种基于数据挖掘理论的Snort网络入侵检测系统的改进模型。该模型在Snort入侵检测系统的基础上增加了正常行为模式挖掘模块、异常检测引擎模块和新规则生成模块,使得系统具有从新的入侵行为中学习新规则和从正常数据中学习正常行为模式的双重能力。实验结果表明,新模型不仅能够有效地检测到新的入侵行为,降低了Snort系统的漏报率,而且提高了系统的检测效率。     

基于反馈信息加速Snort规则匹配的研究与实现

实验表明某一类型的网络攻击事件在相对集中的时间内相对活跃,此外都相对沉寂。对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。文中对Snort的规则匹配算法及其多种改进算法进行比较分析,提出了一种利用反馈攻击入侵频度及老化因子的新算法,在消除入侵频度记录历史影响的基础上,实时的更新规则匹配顺序,从而提高规则的匹配速度。     

提高Snort规则匹配速度方法的研究与实现

当今的网络环境变得越来越复杂,网络安全管理员的工作不断加重,不经意的疏忽便有可能遗留下安全的重大隐患,同时,网上黑客教程和千余种入侵工具随手可得,使网络安全问题防不胜防。该文对开放源代码入侵检测系统Snort的规则匹配算法进行分析,重新构造了Snort搜索引擎,从而提高了规则匹配速度。     

提高Snort规则匹配速度方法的研究与实现

文中对开放源代码入侵检测系统Snort的规则匹配算法进行分析，在深度优先搜索算法的基础上增加宽度优先搜索算法，并对规则匹配的次序进行动态调整，从而提高规则匹配的速度。