基于Snort的入侵检测系统性能优化

通过对Snort的规则匹配方式和模式匹配算法进行分析,为了提高基于Snort的入侵检测系统检测效率,提出了在规则匹配过程中充分利用处理函数的参数之间的关系,从而动态减少无效匹配次数,在模式匹配阶段采用改进的模式匹配算法提高匹配速度,从根本上优化了入侵检测系统的检测性能。     

基于频率的Snort规则集构造方法

为提高Snort入侵检测系统的规则匹配效率,提出一种基于频率的Snort规则集构造方法。Snort系统使用规则集对网络数据包进行匹配分析,发现入侵行为。通过计算数据包样本中各选项的频率,在构造规则树时,采用频率小先匹配的原则,减少匹配次数,提高系统效率。实验结果表明,与Snort2方法相比,该方法配合参数集合匹配的匹配效率较高。     

提高Snort规则匹配速度的研究

Snort是一种基于规则匹配的误用入侵检测系统,基于规则的模式匹配是Snort检测引擎的主要机制,也是衡量其性能的重要指标.由于当前Snort采用的规则树结构过于简单,造成某些RTN下的OTN链比较庞大;匹配过程中,OTN各个选项的匹配顺序仍然局限于安全专家根据领域知识,人为而定,从而造成某些重要选项不能得到优先匹配,大大降低了Snort的匹配速度,严重影响检测效率.为解决上述问题,将数据挖掘技术应用到Snort入侵检测系统中,利用数据挖掘中的ID3算法,对Snort规则库中的规则进行挖掘,选取信息增益最大的属性作为Snort优先匹配的属性,从而提高了规则匹配的速度.     

一种Snort规则的优化方法

Snort是一款基于规则发现入侵行为的网络入侵检测系统,为了提高入侵检测系统中检测引擎的速度和效益,在分析Snort的规则组织结构和规则匹配过程的基础上,提出了一种规则优化的方法。该方法充分利用了协议特征和规则内容,能有效地加快检测引擎的速度,提高入侵检测的效率。     

Snort研究及BM算法改进

Snort是一个轻型的入侵检测系统,在检测过程中,字符串匹配算法的效率决定了Snort系统的性能.分析了Snort的系统结构和工作流程,对Snort的BM字符匹配算法进行深入研究,提出了BM字符匹配算法的改进方法.实验数据表明,改进的BM字符匹配算法可提高Snort的效率.     

Snort中规则匹配机制的改进

Snort是一个基于libpcap的数据包嗅探器并可作为一个轻量级的网络入侵检测系统,它属于误用检测。该文通过介绍Snort的基本原理,系统结构,规则分析,匹配机制等,讨论了其在规则匹配机制方面的不足,并提出了一些改进的意见和方法,来提高Snort规则匹配的速度,从而提高Snort的整体性能。     

高效串匹配型入侵检测系统

针对当前串匹配型入侵检测系统普遍面临的效率问题,从规则库结构、串匹配算法及应用层协议分析等方面入手进行优化，设计并实现了高效率的串匹配型入侵检测系统speedIDs，并将测试结果与Snort系统进行了对比。     

基于活跃规则集的Snort高效规则匹配方法

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。     

Snort规则集的优化方法

高速网络的发展使得提高检测速度成为入侵检测系统面,临的关键问题。通过对Snort规则集优化方法的分析与比较,提出将活跃规则集划分与多子集划分相结合的方法,先从整体上优先选择要匹配的规则集,然后进行并行匹配,以提升入侵检测中规则匹配的效率。     

Snort规则的分析与实现

Snort是一个著名的开源入侵检测系统,经过若干年的发展,已经成为一个稳定、高效的入侵检测系统。通过对Snort及其规则的分析,介绍了Snort的规则组织结构及其规则匹配流程,并在此基础上实现了对于规则的更新和添加功能,便于用户灵活定义新的入侵检测规则,提升了Snort系统的可扩展性和防范入侵攻击的能力。     

提高Snort规则匹配速度的新方法

对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。     

多模匹配问题在IDS中的解决

传统的Snort系统引入单模式匹配速度较快的BM算法进行特定的模式匹配。文献[1]在Snort系统中引入了基于KMP的多模式匹配算法,能有效地提高系统的性能。但是该匹配算法本身存在着局限性,以致干无法完成含有多Content属性选项规则的匹配工作。该文从多content属性选项的规则匹配问题着手,提出了解决方案,从而进一步推进了多模式匹配算法在IDS中的引入。     

Snort规则链表结构的改进与仿真

Snort系统根据规则链表对捕获的数据包进行匹配,以发现攻击行为,规则链表结构的合理性在很大程度上影响检测速度。针对Snort规则链表结构中局部聚集的现象,对其按共性选项因式分解,将规则按所含选项的信息量进一步排序。在仿真平台OPNET上的模拟结果表明,改进后的规则链表结构能减少规则匹配时间。     

基于Snort规则库的冲突检测

为了解决Snort入侵检测系统中由于规则库存在冲突而可能导致的漏报和误报问题,提出了检测规则冲突的方法.定义了规则之间的关系;通过单根结构的策略树简单有效的表示规则,并揭示规则之间的关系;由规则之间的关系和相对顺序定义了冲突的类型,并通过冲突状态转换图反映冲突发现的过程,在此基础上进一步提出冲突检测算法;最后对Snort规则库的一部分进行检测,结果表明这种方法可以有效发现冲突.     

提高Snort规则匹配速度方法的研究与实现

文中对开放源代码入侵检测系统Snort的规则匹配算法进行分析，在深度优先搜索算法的基础上增加宽度优先搜索算法，并对规则匹配的次序进行动态调整，从而提高规则匹配的速度。     

基于SoPC的网络入侵检测中模式匹配系统设计

设计了一种基于FPGA的模式匹配系统,通过Verilog HDL语言实现系统主体;采用开源的Snort规则,选用由“异或”运算组成的适合FPGA处理的HashMem函数进行模式匹配;通过软件预处理找出Snort中的冲突模式串进行单独匹配从而用硬件方法解决冲突.硬件电路采用DM9000A网络控制器接收网络数据.实验结果显...     

Detecting logical relationships in mechanical,electrical, and plumbing (MEP) systems with BIM using graph matching

The increasingly complex design has gained difficulty in conducting the rule compliance checking for the Mechanical, Electrical and Plumbing (MEP) system in the design phase. Useful rule-checking systems could contribute to a quicker project delivery time. Currently, an efficient method for checking the logical relationship is still lacking. This study aims to propose an MEP rule checking framework using the subgraph matching technology. First, the MEP components in the BIM model are extracted by utilizing the application programming interface (API), and a graph database is established with point-based and curve-based instances being nodes and relationships, respectively. Second, the graph database is simplified to increase the speed of graph matching. Third, the rules, which regulate how the MEP components should be connected, are represented by a knowledge graph. Finally, rule checking is achieved by comparing the graph database against the knowledge graph, and the critical path in a sub-system is detected by calculating the betweenness centrality. A case study with a rail station is used to evaluate the approach where the overall model checking and rule checking are conducted on the original and simplified graph databases sequentially. The results show that the proposed approach could achieve the rule compliance checking at a high speed, and 6 unconnected instances along with 155 problematic pipe fittings have been found. Besides, the critical path for the selected ACS system is from the water-cooled chiller to the condenser water pump. The proposed framework could help in the overall model checking and rule checking process, improving the efficiency of BIM engineers. This research demonstrates that converting a BIM model into a graph database can benefit conventional BIM analysis methods by incorporating advanced technologies (e.g., artificial intelligence) to enable a more flexible and accurate MEP design process.