基于Snort的入侵检测系统的研究及BM算法的改进

入侵检测系统是传统被动方式的网络安全检测手段的重要补充,它是一种主动、实时、自动检测入侵行为的工具和手段。Snort是一个成熟的开放源代码的网络入侵检测系统,介绍了入侵检测系统的基本原理,研究了入侵检测系统Snort的体系结构、规则的解析流程和检测流程,对Snort的BM字符匹配算法进行深入研究,提出了BM字符匹配算法的改进方法。     

Snort规则的分析与实现

Snort是一个著名的开源入侵检测系统,经过若干年的发展,已经成为一个稳定、高效的入侵检测系统。通过对Snort及其规则的分析,介绍了Snort的规则组织结构及其规则匹配流程,并在此基础上实现了对于规则的更新和添加功能,便于用户灵活定义新的入侵检测规则,提升了Snort系统的可扩展性和防范入侵攻击的能力。     

基于频率的Snort规则集构造方法

为提高Snort入侵检测系统的规则匹配效率,提出一种基于频率的Snort规则集构造方法。Snort系统使用规则集对网络数据包进行匹配分析,发现入侵行为。通过计算数据包样本中各选项的频率,在构造规则树时,采用频率小先匹配的原则,减少匹配次数,提高系统效率。实验结果表明,与Snort2方法相比,该方法配合参数集合匹配的匹配效率较高。     

基于Snort的入侵检测系统性能优化

通过对Snort的规则匹配方式和模式匹配算法进行分析,为了提高基于Snort的入侵检测系统检测效率,提出了在规则匹配过程中充分利用处理函数的参数之间的关系,从而动态减少无效匹配次数,在模式匹配阶段采用改进的模式匹配算法提高匹配速度,从根本上优化了入侵检测系统的检测性能。     

一种Snort规则的优化方法

Snort是一款基于规则发现入侵行为的网络入侵检测系统,为了提高入侵检测系统中检测引擎的速度和效益,在分析Snort的规则组织结构和规则匹配过程的基础上,提出了一种规则优化的方法。该方法充分利用了协议特征和规则内容,能有效地加快检测引擎的速度,提高入侵检测的效率。     

提高Snort规则匹配速度的研究

Snort是一种基于规则匹配的误用入侵检测系统,基于规则的模式匹配是Snort检测引擎的主要机制,也是衡量其性能的重要指标.由于当前Snort采用的规则树结构过于简单,造成某些RTN下的OTN链比较庞大;匹配过程中,OTN各个选项的匹配顺序仍然局限于安全专家根据领域知识,人为而定,从而造成某些重要选项不能得到优先匹配,大大降低了Snort的匹配速度,严重影响检测效率.为解决上述问题,将数据挖掘技术应用到Snort入侵检测系统中,利用数据挖掘中的ID3算法,对Snort规则库中的规则进行挖掘,选取信息增益最大的属性作为Snort优先匹配的属性,从而提高了规则匹配的速度.     

提高Snort规则匹配速度的新方法

对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。     

实现Linux架构下的防火墙扩展技术及入侵检测

介绍了基于Linux netfilter/iptables架构实现机制和扩展技术，在此基础上提出扩展匹配选项实现防火墙的入侵检测功能，扩充后的防火墙可以像Snort一样具有入侵检测功能，从而扩展了防火墙的安全控制功能，并且可将Snort规则转化为防火墙规则实现防火墙规则集的扩充。     

一种改进的Snort系统模型

针对Snort网络入侵检测系统的不足,该文提出了一种基于数据挖掘技术的Snort改进模型。该模型以Snort系统为基础,增加了异常检测模块,在进行规则匹配前,先筛选掉部分正常的数据,减少匹配次数,缩短系统的检测时间。     

Snort的高效规则匹配算法

对入侵检测系统Snort的规则匹配算法进行了系统的分析，为了进一步提高Snort的规则匹配效率，提出了在匹配过程中，对于条件匹配处理函数应用参数链表驱动的方法。从而避免重复调用处理函数，充分利用参数之间的关系，并能动态地减少无效规则的匹配。通过两个实验来评估此方法的效率，结果表明改进方案较明显地提高了Snort的检测性能。     

基于Snort的入侵检测系统的研究与改进

入侵检测技术是一种主动保护网络资源免受黑客攻击的安全技术。可以弥补防火墙的不足,帮助网络快速发现网络攻击的发生,起着主动防御的作用,为网络安全提供实时的入侵检测及采取相应的防护手段。本文对提高Snort性能的核心技术进行分析,提出一种能够有效提高匹配效率的AC—wM的模式匹配算法,并对改进后的Snort系统进行测试,显著提高了系统的性能。     

An approach for detecting and preventing DDoS attacks in campus

Nowadays, Denial of Service (DoS) attacks have become a major security threat to networks and the Internet. Therefore, even a naive hacker can launch a large-scale DoS attack to the victim from providing Internet services. This article deals with the evaluation of the Snort IDS in terms of packet processing performance and detection. This work describes the aspect involved in building campus network security system and then evaluates the campus network security risks and threats, mainly analyses the attacks DoS and DDoS, and puts forward new approach for Snort campus network security solutions. The objective is to analyze the functional advantages of the solution, deployment and configuration of the open source based on Snort intrusion detection system. The evaluation metrics are defined using Snort namely comparison between basic rules with new ones, available bandwidth, CPU loading and memory usage.     

提高Snort规则匹配速度新方法的研究与实现

入侵检测系统在网络安全中扮演着越来越重要的角色,Snort作为一个开源的入侵检测系统,改进其使用的匹配算法,使其能够减少运行时间,提高效率是不断研究的主题。对于模式匹配算法,增大其最大移动距离和保证其能够移动最大的安全距离是提高算法效率的关键。改进算法在BM算法的基础上,采用双字符序列检测方法,增大匹配过程中最大移动距离至m+2,并保证匹配失败时,每一次都能够移动最大的安全距离。将该改进算法应用于Snort系统中。实验验证,该算法能够减少字符比较次数和窗口移动次数,同时提高Snort系统的效率。     

基于分布式存储的正则表达式匹配算法设计与实现

随着网络带宽的快速增长,互联网正面临着日益严重的安全威胁。网络入侵检测系统(KIDS)利用模式匹配等技术对网络报文进行分析和检测,是防范网络威胁、保护网络安全的一种有效手段。但模式匹配消耗巨大的计算量,现有的技术难以满足10Gbps以上骨干网络KIDS的需求。提出了基于B1oom filter的细粒度并行模式匹配技术PBPM(Parallel-B1oom-filter-based multi-Pattern Matching) , PBPM利用多个相同的B1oom filter分别从输入文本的不同位置处并行匹配,每个周期可完成多个字符的匹配,显著提高了匹配速率。详细讨论了在FPGA上的实现方式,在Snort 2.9规则集上的测试结果表明,PBPM能够提供超过20Gbps的模式匹配需求。     

字符串匹配技术研究

简述了字符串匹配算法的研究进展，分析了Knuth—Morris-Pratt算法、Boycr—Moore算法以及Horspool、Wu＆Manber和Aho—Corasick针对Boyer—Moore算法提出的多种改进算法，并基于网络安全应用中开放源码的NIDS系统——Snort2．0，对其中几个算法进行评测，指出了实际应用中字符串匹配技术的关键点和解决办法，探讨了应用字符串匹配技术的NIDS的研发方向。     

基于Snort的入侵检测系统安全性研究

Snort是一个成熟的开放源代码的网络入侵检测系统,所以这使得Snort的规模越来越庞大,但是随之也产生了安全缺陷.本文主要讨论了提高Snort的安全性的两种方法:规则优化和匹配模式优化.     

基于SoPC的网络入侵检测中模式匹配系统设计

设计了一种基于FPGA的模式匹配系统,通过Verilog HDL语言实现系统主体;采用开源的Snort规则,选用由“异或”运算组成的适合FPGA处理的HashMem函数进行模式匹配;通过软件预处理找出Snort中的冲突模式串进行单独匹配从而用硬件方法解决冲突.硬件电路采用DM9000A网络控制器接收网络数据.实验结果显...     

基于活跃规则集的Snort高效规则匹配方法

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。