Snort研究及BM算法改进

Snort是一个轻型的入侵检测系统,在检测过程中,字符串匹配算法的效率决定了Snort系统的性能.分析了Snort的系统结构和工作流程,对Snort的BM字符匹配算法进行深入研究,提出了BM字符匹配算法的改进方法.实验数据表明,改进的BM字符匹配算法可提高Snort的效率.     

提高Snort规则匹配速度的研究

Snort是一种基于规则匹配的误用入侵检测系统,基于规则的模式匹配是Snort检测引擎的主要机制,也是衡量其性能的重要指标.由于当前Snort采用的规则树结构过于简单,造成某些RTN下的OTN链比较庞大;匹配过程中,OTN各个选项的匹配顺序仍然局限于安全专家根据领域知识,人为而定,从而造成某些重要选项不能得到优先匹配,大大降低了Snort的匹配速度,严重影响检测效率.为解决上述问题,将数据挖掘技术应用到Snort入侵检测系统中,利用数据挖掘中的ID3算法,对Snort规则库中的规则进行挖掘,选取信息增益最大的属性作为Snort优先匹配的属性,从而提高了规则匹配的速度.     

国际气象通信系统传输模型研究

以Snort为核心,以分层分布式网络为框架构建基于APT攻击的入侵检测模块的防御系统,并提出了一套新的OTN动态匹配算法。首先,介绍了APT攻击的特点。然后提出了一套针对APT攻击的基于Snort的防御检测模型,并在Snort原有的三步动态调节算法的基础上,提出了一个新的动态匹配算法。最后,用原有的动态匹配算法与改进型动态匹配算法做对比实验,对最终结果进行对比分析。得出结论,采用新型动态匹配算法的分布式网络检测系统对网络安全防护的功能有明显的提高。     

基于Snort的入侵检测系统性能优化

通过对Snort的规则匹配方式和模式匹配算法进行分析,为了提高基于Snort的入侵检测系统检测效率,提出了在规则匹配过程中充分利用处理函数的参数之间的关系,从而动态减少无效匹配次数,在模式匹配阶段采用改进的模式匹配算法提高匹配速度,从根本上优化了入侵检测系统的检测性能。     

基于Snort的入侵检测系统的研究及BM算法的改进

入侵检测系统是传统被动方式的网络安全检测手段的重要补充,它是一种主动、实时、自动检测入侵行为的工具和手段。Snort是一个成熟的开放源代码的网络入侵检测系统,介绍了入侵检测系统的基本原理,研究了入侵检测系统Snort的体系结构、规则的解析流程和检测流程,对Snort的BM字符匹配算法进行深入研究,提出了BM字符匹配算法的改进方法。     

基于规则库优化算法的网络入侵检测系统研究与应用

为克服通用入侵检测框架模型(GIDF)及其各组成部分在设计和实现中存在的弱点,在对一个开放性入侵检测系统软件Snort进行分析的基础上,提出增加宽度搜索与动态选项链表相结合的规则匹配操作优化算法;实验表明,改进后的系统通过增加宽度搜索提高了选项匹配的并行性;通过采用动态选项链表优化了规则匹配的顺序,缩短了深度搜索的深度,从而从整体上切实提高了Snort的检测速度.     

Snort中规则匹配机制的改进

Snort是一个基于libpcap的数据包嗅探器并可作为一个轻量级的网络入侵检测系统,它属于误用检测。该文通过介绍Snort的基本原理,系统结构,规则分析,匹配机制等,讨论了其在规则匹配机制方面的不足,并提出了一些改进的意见和方法,来提高Snort规则匹配的速度,从而提高Snort的整体性能。     

基于频率的Snort规则集构造方法

为提高Snort入侵检测系统的规则匹配效率,提出一种基于频率的Snort规则集构造方法。Snort系统使用规则集对网络数据包进行匹配分析,发现入侵行为。通过计算数据包样本中各选项的频率,在构造规则树时,采用频率小先匹配的原则,减少匹配次数,提高系统效率。实验结果表明,与Snort2方法相比,该方法配合参数集合匹配的匹配效率较高。     

Snort的高效规则匹配算法

对入侵检测系统Snort的规则匹配算法进行了系统的分析，为了进一步提高Snort的规则匹配效率，提出了在匹配过程中，对于条件匹配处理函数应用参数链表驱动的方法。从而避免重复调用处理函数，充分利用参数之间的关系，并能动态地减少无效规则的匹配。通过两个实验来评估此方法的效率，结果表明改进方案较明显地提高了Snort的检测性能。     

Snort规则的分析与实现

Snort是一个著名的开源入侵检测系统,经过若干年的发展,已经成为一个稳定、高效的入侵检测系统。通过对Snort及其规则的分析,介绍了Snort的规则组织结构及其规则匹配流程,并在此基础上实现了对于规则的更新和添加功能,便于用户灵活定义新的入侵检测规则,提升了Snort系统的可扩展性和防范入侵攻击的能力。     

提高Snort规则匹配速度的新方法

对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。     

基于数据挖掘技术的Snort入侵检测系统的研究

提出了一个基于数据挖掘技术的Snort入侵检测系统的模型。它以Snort入侵检测系统框架为基础,应用数据挖掘技术构建系统正常行为模式,过滤掉网络数据流量中占绝大部分的正常数据,提高了Snort的检测效率。同时,它还可以在一定程度上检测未知攻击,提高了Snort对未知攻击的检测能力。实验表明,该模型具有较好的效益。     

基于数据挖掘的Snort系统改进模型

针对Snort系统对新的入侵行为无能为力的缺点,设计了一种基于数据挖掘理论的Snort网络入侵检测系统的改进模型。该模型在Snort入侵检测系统的基础上增加了正常行为模式挖掘模块、异常检测引擎模块和新规则生成模块,使得系统具有从新的入侵行为中学习新规则和从正常数据中学习正常行为模式的双重能力。实验结果表明,新模型不仅能够有效地检测到新的入侵行为,降低了Snort系统的漏报率,而且提高了系统的检测效率。     

一种改进的多模式匹配算法在Snort中的应用

模式匹配算法是入侵检测系统的重要组成部分。为进一步提高入侵检测系统的性能和效率,提出一种新的多模式匹配算法——完全自动机匹配算法(CA-AC算法),并将其应用于入侵检测系统Snort中。该算法是对Aho-Corasick算法的改进,根据新算法进行状态转换使得自动机状态减少,相应节约了存储空间。分析了算法的复杂度。实验表明,完全自动机算法在Snort中的应用改进了算法的性能,提高了Snort系统的规则检测效率。     

基于Snort的入侵检测系统安全性研究

Snort是一个成熟的开放源代码的网络入侵检测系统,所以这使得Snort的规模越来越庞大,但是随之也产生了安全缺陷.本文主要讨论了提高Snort的安全性的两种方法:规则优化和匹配模式优化.     

基于活跃规则集的Snort高效规则匹配方法

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。     

提高Snort规则匹配速度方法的研究

文中对开放源代码入侵检测系统Snort的规则匹配算法以及工作模式进行分析。首先在深度优先搜索算法基础上增加宽度优先搜索算法,其次,提出一个C/S模式Snort的构想,为传统Snort增加服务器支持,来分担客户端Snort的工作量。从而,在两个方面,提高Snort的工作效率。     

一种基于网络行为的入侵检测方法

目前,入侵检测系统Snort还没有好的方法来检测和分析网络行为。文章通过对网络入侵检测流程的分析,基于网络的入侵攻击行为特征,构建出一种攻击树,按照攻击树的方法对数据流进行行为匹配,检测出入侵攻击行为。实验证明,这一基于网络行为匹配的入侵检测方法,大大提高了Snort的入侵检测能力。     

一种Snort规则的优化方法

Snort是一款基于规则发现入侵行为的网络入侵检测系统,为了提高入侵检测系统中检测引擎的速度和效益,在分析Snort的规则组织结构和规则匹配过程的基础上,提出了一种规则优化的方法。该方法充分利用了协议特征和规则内容,能有效地加快检测引擎的速度,提高入侵检测的效率。     

基于数据挖掘的Snort入侵检测模型设计

通过分析Snort入侵检测系统的体系结构,针对Snort入侵检测系统的缺陷,提出一个基于数据挖掘的Snoa混合检测模型,该模型将多种检测方法结合起来,提高了系统检测的准确性和完备性.系统采用分布式模式在局域网中部署.