基于活跃规则集的Snort高效规则匹配方法

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。     

基于Snort的入侵检测规则匹配技术研究

入侵检测系统(IDS)继数据加密、访问控制、防火墙等安全技术之后,目前成为信息安全领域内一个活跃的研究课题。该文从IDS检测规则的规则匹配技术展开,并以网络入侵检测系统为例,介绍了几种不同类型规则匹配技术,并对开放源码的网络入侵检测系统—Snort2.6进行了详细的检测规则分析。     

提高Snort规则匹配速度方法的研究与实现

当今的网络环境变得越来越复杂,网络安全管理员的工作不断加重,不经意的疏忽便有可能遗留下安全的重大隐患,同时,网上黑客教程和千余种入侵工具随手可得,使网络安全问题防不胜防。该文对开放源代码入侵检测系统Snort的规则匹配算法进行分析,重新构造了Snort搜索引擎,从而提高了规则匹配速度。     

提高Snort规则匹配速度的新方法

对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。     

Snort的高效规则匹配算法

对入侵检测系统Snort的规则匹配算法进行了系统的分析，为了进一步提高Snort的规则匹配效率，提出了在匹配过程中，对于条件匹配处理函数应用参数链表驱动的方法。从而避免重复调用处理函数，充分利用参数之间的关系，并能动态地减少无效规则的匹配。通过两个实验来评估此方法的效率，结果表明改进方案较明显地提高了Snort的检测性能。     

Snort规则集的优化方法

高速网络的发展使得提高检测速度成为入侵检测系统面,临的关键问题。通过对Snort规则集优化方法的分析与比较,提出将活跃规则集划分与多子集划分相结合的方法,先从整体上优先选择要匹配的规则集,然后进行并行匹配,以提升入侵检测中规则匹配的效率。     

Snort规则的分析与实现

Snort是一个著名的开源入侵检测系统,经过若干年的发展,已经成为一个稳定、高效的入侵检测系统。通过对Snort及其规则的分析,介绍了Snort的规则组织结构及其规则匹配流程,并在此基础上实现了对于规则的更新和添加功能,便于用户灵活定义新的入侵检测规则,提升了Snort系统的可扩展性和防范入侵攻击的能力。     

基于频率的Snort规则集构造方法

为提高Snort入侵检测系统的规则匹配效率,提出一种基于频率的Snort规则集构造方法。Snort系统使用规则集对网络数据包进行匹配分析,发现入侵行为。通过计算数据包样本中各选项的频率,在构造规则树时,采用频率小先匹配的原则,减少匹配次数,提高系统效率。实验结果表明,与Snort2方法相比,该方法配合参数集合匹配的匹配效率较高。     

提高Snort规则匹配速度方法的研究

文中对开放源代码入侵检测系统Snort的规则匹配算法以及工作模式进行分析。首先在深度优先搜索算法基础上增加宽度优先搜索算法,其次,提出一个C/S模式Snort的构想,为传统Snort增加服务器支持,来分担客户端Snort的工作量。从而,在两个方面,提高Snort的工作效率。     

提高Snort规则匹配速度方法的研究与实现

文中对开放源代码入侵检测系统Snort的规则匹配算法进行分析，在深度优先搜索算法的基础上增加宽度优先搜索算法，并对规则匹配的次序进行动态调整，从而提高规则匹配的速度。     

Snort研究及BM算法改进

Snort是一个轻型的入侵检测系统,在检测过程中,字符串匹配算法的效率决定了Snort系统的性能.分析了Snort的系统结构和工作流程,对Snort的BM字符匹配算法进行深入研究,提出了BM字符匹配算法的改进方法.实验数据表明,改进的BM字符匹配算法可提高Snort的效率.     

基于网络的入侵检测系统设计与实现

网络入侵检测系统是一种通过实时监测网络以发现入侵攻击行为的安全技术。随着入侵检测技术的发展进步,目前已经出现了各种各样的网络入侵检测系统。文章在综合分析各种入侵检测技术的基础上,构建了一个基于Snort的网络入侵检测系统,能快速发现入侵行为,实时报警,提高网络防御体系的完整性。该系统采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。     

基于判定树的Snort规则集优化构造方法

为降低Snort2检测所耗费的CPU时间,针对端口分类所导致的规则重复构造问题,提出一种基于判定树的规则集有效划分方法,并对划分后的规则子集采用依据匹配项信息值的规则优化构造方式。实验通过高精度的时间测量结果证明该规则集优化构造方法使数据包检测所耗费的CPU时间比Snort2原方案平均降低45.9%。     

基于Snort的入侵检测系统的研究与改进

入侵检测技术是一种主动保护网络资源免受黑客攻击的安全技术。可以弥补防火墙的不足,帮助网络快速发现网络攻击的发生,起着主动防御的作用,为网络安全提供实时的入侵检测及采取相应的防护手段。本文对提高Snort性能的核心技术进行分析,提出一种能够有效提高匹配效率的AC—wM的模式匹配算法,并对改进后的Snort系统进行测试,显著提高了系统的性能。     

网络入侵检测系统NIDS的Snort工具的研究

随着互联网的迅速普及,其安全技术的重要性已经日益突出,IDS(IntrusionDetectionSystem)是网络安全技术的重要组成部分之一。NIDS是基于审计的IDS,通过被动地分析网络的流通信息包括数据包的报头和数据信息以达到检测网络异常行为的发生。Snort是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统(NIDS)。本论文通过介绍NIDS中Snort工具的检测规则、功能结构、程序结构以及与其它NIDS工具的比较,讨论了Snort的不足之处,并对其的改进提出了一些建议性的思路,以期能在进一步的研究中起到抛砖引玉的作用。