提高Snort规则匹配速度的研究

Snort是一种基于规则匹配的误用入侵检测系统,基于规则的模式匹配是Snort检测引擎的主要机制,也是衡量其性能的重要指标.由于当前Snort采用的规则树结构过于简单,造成某些RTN下的OTN链比较庞大;匹配过程中,OTN各个选项的匹配顺序仍然局限于安全专家根据领域知识,人为而定,从而造成某些重要选项不能得到优先匹配,大大降低了Snort的匹配速度,严重影响检测效率.为解决上述问题,将数据挖掘技术应用到Snort入侵检测系统中,利用数据挖掘中的ID3算法,对Snort规则库中的规则进行挖掘,选取信息增益最大的属性作为Snort优先匹配的属性,从而提高了规则匹配的速度.     

基于Snort的入侵检测系统性能优化

通过对Snort的规则匹配方式和模式匹配算法进行分析,为了提高基于Snort的入侵检测系统检测效率,提出了在规则匹配过程中充分利用处理函数的参数之间的关系,从而动态减少无效匹配次数,在模式匹配阶段采用改进的模式匹配算法提高匹配速度,从根本上优化了入侵检测系统的检测性能。     

一种改进的多模式匹配算法在Snort中的应用

模式匹配算法是入侵检测系统的重要组成部分。为进一步提高入侵检测系统的性能和效率,提出一种新的多模式匹配算法——完全自动机匹配算法(CA-AC算法),并将其应用于入侵检测系统Snort中。该算法是对Aho-Corasick算法的改进,根据新算法进行状态转换使得自动机状态减少,相应节约了存储空间。分析了算法的复杂度。实验表明,完全自动机算法在Snort中的应用改进了算法的性能,提高了Snort系统的规则检测效率。     

一种基于二叉树结构的入侵检测研究

提出以二叉树结构取代原有入侵检测系统采用的链表结构,旨在改进入侵规则的存储和模式匹配,提高检测速度。对Snort规则结构作了简要分析,详细阐述了以规则聚类思想构建二叉树结构的过程;同时,采用C4.5算法为二叉树每个规则集节点动态选择最显著的特征,并进行并行测试,实现性能优化。为了尽可能减少冗余比较和无效匹配,引入数字型的IntMatch串匹配算法,有效地提高了模式匹配速度和规则的访问速度。     

入侵检测系统中的快速多模式匹配算法

网络入侵检测系统常常依赖于精确的模式匹配技术，依赖于算法的选择、实现以及使用频率。这种模式匹配技术可能成为入侵检测系统的瓶颈，为了跟上快速增长的网络速度和网络流量，Snort(开放源代码的网络入侵检测系统)中采用了快速多模式匹配算法，本文描述了Snort中一种引入注目的快速多模式匹配算法及其对系统性能的改进。     

基于频率的Snort规则集构造方法

为提高Snort入侵检测系统的规则匹配效率,提出一种基于频率的Snort规则集构造方法。Snort系统使用规则集对网络数据包进行匹配分析,发现入侵行为。通过计算数据包样本中各选项的频率,在构造规则树时,采用频率小先匹配的原则,减少匹配次数,提高系统效率。实验结果表明,与Snort2方法相比,该方法配合参数集合匹配的匹配效率较高。     

入侵检测中基于后缀树的多模式匹配算法

针对模式匹配算法已经成为误用入侵检测系统性能瓶颈的现状,提出了一种新的基于后缀树的多模式匹配算法FSM(Fast String Matching Algorithm).该算法构建了一个后缀自动机,匹配中应用了好后缀启发机制进行启发跳跃.将改算法在Snort2.4.3中实现,实验结果表明,在耗费一定空间的基础上,Snort的时间性能有了较大提高.     

Snort规则链表结构的改进与仿真

Snort系统根据规则链表对捕获的数据包进行匹配,以发现攻击行为,规则链表结构的合理性在很大程度上影响检测速度。针对Snort规则链表结构中局部聚集的现象,对其按共性选项因式分解,将规则按所含选项的信息量进一步排序。在仿真平台OPNET上的模拟结果表明,改进后的规则链表结构能减少规则匹配时间。     

基于规则库优化算法的网络入侵检测系统研究与应用

为克服通用入侵检测框架模型(GIDF)及其各组成部分在设计和实现中存在的弱点,在对一个开放性入侵检测系统软件Snort进行分析的基础上,提出增加宽度搜索与动态选项链表相结合的规则匹配操作优化算法;实验表明,改进后的系统通过增加宽度搜索提高了选项匹配的并行性;通过采用动态选项链表优化了规则匹配的顺序,缩短了深度搜索的深度,从而从整体上切实提高了Snort的检测速度.     

提高Snort规则匹配速度的新方法

对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。     

一种基于多模式匹配的文本压缩算法

基于LZSS算法,提出引入WM多模式匹配思想的压缩算法(WM_LZSS压缩算法),该算法通过一个模式库自动记录在已读入文本中出现过的匹配长度较长的短语,在压缩的过程中预先对文本进行多模式匹配。通过对WM_LZSS算法测试的实验,表明WM_LZSS压缩算法在文本文件压缩应用中压缩比比LZSS算法高,特别适合于对文本相似度高的长文件进行压缩。     

对Snort系统中BM模式匹配算法的研究与改进

BM模式匹配算法是Snort入侵检测系统中的核心算法,BM模式匹配的效率决定了Snort入侵检测系统的性能.笔者简单的介绍了Snort入侵检测系统,对BM算法的分析和研究做了详细的阐述,对于改进的BM算法也做了初步研究.     

一种用于多模式匹配的高效二叉检索树

网络环境的文本检索往往是同时面向大量用户的,传统的单模式匹配算法无法应付数量巨大的关键字,而一般的基于Trie树的多模式匹配算法又存在空间复杂度不良、结构复 杂等问题。针对这种检索大量关键字的应用,本文通过修改Trie树节点的结构得到一种更为简单的多模式匹配算法。该算法既有多模式匹配的性能,又具有高效的空间利用率,并且非常容易实现。     

入侵检测系统中多模式匹配算法的研究与改进

对网络入侵检测系统中的多模式匹配算法进行研究,重点介绍AC-BNFA算法的匹配过程,并根据AC-BNFA的匹配特点对其进行优化。实验结果表明,优化后的匹配算法能改善模式匹配处理速度。     

面向涉密检查系统的基于KMP思想的多模式匹配算法

模式匹配算法是涉密检查系统搜索引擎中的主要算法。在分析比较常用模式匹配算法基础上,提出了一种基于KMP算法跳跃思想的多模式匹配算法。该算法可兼容多模式匹配情况和单模式匹配情况,引入多维数组存储模式集并对模式集进行简单排序处理以简化后续操作,引入棋盘表记录各模式串的最大跳跃距离及模式串间跳跃距离。实验结果表明,该算法易于实现,并能有效提高匹配速度,对海量数据检索,有较好的时间和空间性能。     

Snort检测引擎的分析与改进

介绍了Snort入侵检测系统的规则树和检测引擎的工作原理,分析了几种常用的模式匹配算法,并对其中的AC-BM算法进行了改进,通过实验证明该算法是快速高效的.     

Wu_Manber多模式匹配算法的研究与改进

模式匹配算法的性能对入侵检测系统影响很大。该文介绍模式匹配算法的原理,研究多模式匹配算法Wu_Manber及改进方法,提出QMWM方法。该方法利用前缀信息,实现了移动距离的最优,且不增加空间复杂度。实验表明,QMWM在提高效率的同时能够避免空间的额外占用。