基于Snort的入侵檢測系統的性能改進

王麗+郭磊

【摘 要】隨著網絡技術的日益普及，各行各業幾乎都在使用互聯網技術，但是它們無時無刻不面臨計算機病毒和網絡黑客的攻擊和威脅。本文對入侵檢測系統和snort的介紹。并對BM算法進行了介紹。并介紹在虛擬局域網下可以控制廣播風暴，可以將廣播域劃分為幾個小的泛洪域，這樣流量就被有效的控制了。而且局域網本身就有一定安全性能。

【關鍵詞】入侵檢測；Snort；數據挖掘；內存映射；模式匹配；局域網技術

1 入侵檢測的簡述

入侵檢測系統（Intrusion Detection System，IDS）[1]作為一種積極主動的安全防御手段，對給網絡系統帶來危害的攻擊進行攔截和及時的入侵響應。入侵檢測技術已成為當今網絡安全體系的重要組成部分。

IDS的優點是能夠對網絡進行實時監控，對內外攻擊和誤操作能夠實時報警，并且不影響網絡性能。性能好的的入侵檢測系統，能使網絡管理員隨時了解系統的任何變化，并能夠及時提供處理的策略。由于系統的配置、操作、管理都很簡單，這樣就使管理人員更加容易了解和運用。IDS發現非法入侵時，它有日志報警系統，這樣更加方便網管人員管理。

2 簡述Snort

Snort是一款簡單，方便使用，開放性的免費軟件，它是入侵檢測系統的一款輕量級軟件。Snort具有檢測引擎能夠檢測數據包，并將數據包以日志的方式記錄下了，并且它又具有報警日志，它能夠有效地保護系統信息的安全。

它具有八個優點：

（1）Snort是一款方便使用的軟件，任何人都可以自由使用它，它的代碼簡潔，而且占用空間很小，一般只有100k到200k左右。

（2）它能對TCP、UDP、ICMP等協議進行分析。

（3）為了方便管理員調用各種插件模塊，該系統使用了插件的形式。比如使用UDP流插件，可以對UDP包進行重組。對端口進行有效地檢測，就使用了SPADE插件，這樣Snort就能夠準確的報告可疑包。

（4）Snort的兼容性很強，可以跨平臺的使用。例如在UNIX和Windows上均可以使用。

（5）由于Snort管理和配置都比較簡單，系統靈活性強，使得非專業人員可以容易地使用它。基于Snort的入侵檢測的規模可以隨著系統架構、系統所要面臨的威脅以及希望網絡所要達到的目標而發生改變。

（6）Snort可監控1000M的高速網絡。

（7）現在的Snort版本能夠支持的很多數據庫，這為構建基于Snort入侵檢測系統提供了條件。

我們了解了Snort具有如此多的特點，它作為一款免費的、簡單、高效能、健壯性好、擴展性強的的入侵檢測系統，因此隨著網絡迅速發展，它也越來越受到人們的追捧。

3 BM算法

BM算法是用來提高匹配速度，從而構造一個輔助模式函數。BM算法在進行字符串匹配的時候包含兩個并行的算法：壞字符規則和好后綴規則，也就是所謂的bad-character shift，good-suffix shift，來決定字符不匹配時向后跳躍的距離[2]。S串作為目標串，P串作為模式串。

在匹配的過程中，P串中的H字符與S串中的C字符沒有匹配上，判斷C字符是否在P串中，C字符不在P串中，那么不可能匹配成功，所以這時要直接跳到S串C字符的后面，繼續進行匹配。

在匹配的過程中，P串中的A字符與S串中的C字符沒有匹配上，這時判斷C是否在P存在C字符，如果存在，則從P串從右邊數第一個C字符與S串中的C對齊，繼續匹配。

S串中字符串m="cab"部分與P串中的字符匹配成功的，S串的e與P串中的b匹配不成功，如果m部分在P串的前端不能找到，那么在P串中找到n="ab"與m中的"ab"對齊，再進行同樣方法繼續進行匹配，直到匹配成功。

4 虛擬局域網的作用

4.1 防范廣播風暴

將網絡劃分為多個虛擬局域網，這樣可以限制網絡上的廣播。將整個大的網段劃分成幾個規模小的虛擬網段，這樣就可以有效的防止廣播風暴。虛擬局域網本身就具有一定安全性，為了更好的保護網絡的安全，它還提供了建立防火墻的機制和建立入侵檢測系統的機制。

由于交換機具有廣播數據的功能，劃分虛擬局域網之后數據就不會從一個虛擬局域網段廣播到另外一個虛擬局域網段，同理的道理，在同一個交換機上的相同的端口不會收到其它交換機不同的端口產生的廣播數據[3]。這樣可以控制廣播數據的傳播，也可以控制網絡流量，從而將流量分給用戶，減少廣播風暴的產生，這也是利用虛擬局域網技術提高Snort入侵檢測系統性能的良策。

4.2 VLAN的安全性

由于網絡技術越來越完善，但是網絡黑客技術也越來越“高明”，如何保障網絡安全，就顯得更加重要。比如對于一個公司的財務，用戶資料等重要數據如何能與網絡的其余部分分開，以此來降低信息的泄露。虛擬局域網技術就可以滿足用戶的需求。將不同功能的網段劃分開來，使數據傳輸相互隔離，互不干擾，即不同VLAN的用戶不能直接通信。不同VLAN進行通信，則需要通過路由器或三層交換機等三層設備來加以實現[4]。

5 總結

對IDS系統的功能及分類進行了詳細的介紹。對Snort的IDS系統的結構、功能等進行了闡述。闡述在虛擬局域網中，提高Snort系統的檢測性能。模式匹配算法研究的主要方向就是提高算法的檢測性能和減少系統資源占用率。選擇合適的模式匹配算法是入侵檢測的發展動向。

【參考文獻】

[1]入侵檢測技術簡介-網絡安全頻道[OL].http：//www.baidu.com/link？url=imUNG.

[2]入侵檢測_百度百科[OL].http：//www.baidu.com/link？url=o72VG.

[3]虛擬局域網_百度百科[OL].http：//www.baidu.com/link？url=97UKG.

[4]虛擬局域網_百度百科[OL].http：//www.baidu.com/link？url=inAHG.

[責任編輯：湯靜]

【摘 要】隨著網絡技術的日益普及，各行各業幾乎都在使用互聯網技術，但是它們無時無刻不面臨計算機病毒和網絡黑客的攻擊和威脅。本文對入侵檢測系統和snort的介紹。并對BM算法進行了介紹。并介紹在虛擬局域網下可以控制廣播風暴，可以將廣播域劃分為幾個小的泛洪域，這樣流量就被有效的控制了。而且局域網本身就有一定安全性能。

【關鍵詞】入侵檢測；Snort；數據挖掘；內存映射；模式匹配；局域網技術

1 入侵檢測的簡述

入侵檢測系統（Intrusion Detection System，IDS）[1]作為一種積極主動的安全防御手段，對給網絡系統帶來危害的攻擊進行攔截和及時的入侵響應。入侵檢測技術已成為當今網絡安全體系的重要組成部分。

IDS的優點是能夠對網絡進行實時監控，對內外攻擊和誤操作能夠實時報警，并且不影響網絡性能。性能好的的入侵檢測系統，能使網絡管理員隨時了解系統的任何變化，并能夠及時提供處理的策略。由于系統的配置、操作、管理都很簡單，這樣就使管理人員更加容易了解和運用。IDS發現非法入侵時，它有日志報警系統，這樣更加方便網管人員管理。

2 簡述Snort

Snort是一款簡單，方便使用，開放性的免費軟件，它是入侵檢測系統的一款輕量級軟件。Snort具有檢測引擎能夠檢測數據包，并將數據包以日志的方式記錄下了，并且它又具有報警日志，它能夠有效地保護系統信息的安全。

它具有八個優點：

（1）Snort是一款方便使用的軟件，任何人都可以自由使用它，它的代碼簡潔，而且占用空間很小，一般只有100k到200k左右。

（2）它能對TCP、UDP、ICMP等協議進行分析。

（3）為了方便管理員調用各種插件模塊，該系統使用了插件的形式。比如使用UDP流插件，可以對UDP包進行重組。對端口進行有效地檢測，就使用了SPADE插件，這樣Snort就能夠準確的報告可疑包。

（4）Snort的兼容性很強，可以跨平臺的使用。例如在UNIX和Windows上均可以使用。

（5）由于Snort管理和配置都比較簡單，系統靈活性強，使得非專業人員可以容易地使用它。基于Snort的入侵檢測的規模可以隨著系統架構、系統所要面臨的威脅以及希望網絡所要達到的目標而發生改變。

（6）Snort可監控1000M的高速網絡。

（7）現在的Snort版本能夠支持的很多數據庫，這為構建基于Snort入侵檢測系統提供了條件。

我們了解了Snort具有如此多的特點，它作為一款免費的、簡單、高效能、健壯性好、擴展性強的的入侵檢測系統，因此隨著網絡迅速發展，它也越來越受到人們的追捧。

3 BM算法

BM算法是用來提高匹配速度，從而構造一個輔助模式函數。BM算法在進行字符串匹配的時候包含兩個并行的算法：壞字符規則和好后綴規則，也就是所謂的bad-character shift，good-suffix shift，來決定字符不匹配時向后跳躍的距離[2]。S串作為目標串，P串作為模式串。

在匹配的過程中，P串中的H字符與S串中的C字符沒有匹配上，判斷C字符是否在P串中，C字符不在P串中，那么不可能匹配成功，所以這時要直接跳到S串C字符的后面，繼續進行匹配。

在匹配的過程中，P串中的A字符與S串中的C字符沒有匹配上，這時判斷C是否在P存在C字符，如果存在，則從P串從右邊數第一個C字符與S串中的C對齊，繼續匹配。

S串中字符串m="cab"部分與P串中的字符匹配成功的，S串的e與P串中的b匹配不成功，如果m部分在P串的前端不能找到，那么在P串中找到n="ab"與m中的"ab"對齊，再進行同樣方法繼續進行匹配，直到匹配成功。

4 虛擬局域網的作用

4.1 防范廣播風暴

將網絡劃分為多個虛擬局域網，這樣可以限制網絡上的廣播。將整個大的網段劃分成幾個規模小的虛擬網段，這樣就可以有效的防止廣播風暴。虛擬局域網本身就具有一定安全性，為了更好的保護網絡的安全，它還提供了建立防火墻的機制和建立入侵檢測系統的機制。

由于交換機具有廣播數據的功能，劃分虛擬局域網之后數據就不會從一個虛擬局域網段廣播到另外一個虛擬局域網段，同理的道理，在同一個交換機上的相同的端口不會收到其它交換機不同的端口產生的廣播數據[3]。這樣可以控制廣播數據的傳播，也可以控制網絡流量，從而將流量分給用戶，減少廣播風暴的產生，這也是利用虛擬局域網技術提高Snort入侵檢測系統性能的良策。

4.2 VLAN的安全性

由于網絡技術越來越完善，但是網絡黑客技術也越來越“高明”，如何保障網絡安全，就顯得更加重要。比如對于一個公司的財務，用戶資料等重要數據如何能與網絡的其余部分分開，以此來降低信息的泄露。虛擬局域網技術就可以滿足用戶的需求。將不同功能的網段劃分開來，使數據傳輸相互隔離，互不干擾，即不同VLAN的用戶不能直接通信。不同VLAN進行通信，則需要通過路由器或三層交換機等三層設備來加以實現[4]。

5 總結

對IDS系統的功能及分類進行了詳細的介紹。對Snort的IDS系統的結構、功能等進行了闡述。闡述在虛擬局域網中，提高Snort系統的檢測性能。模式匹配算法研究的主要方向就是提高算法的檢測性能和減少系統資源占用率。選擇合適的模式匹配算法是入侵檢測的發展動向。

【參考文獻】

[1]入侵檢測技術簡介-網絡安全頻道[OL].http：//www.baidu.com/link？url=imUNG.

[2]入侵檢測_百度百科[OL].http：//www.baidu.com/link？url=o72VG.

[3]虛擬局域網_百度百科[OL].http：//www.baidu.com/link？url=97UKG.

[4]虛擬局域網_百度百科[OL].http：//www.baidu.com/link？url=inAHG.

[責任編輯：湯靜]

【摘 要】隨著網絡技術的日益普及，各行各業幾乎都在使用互聯網技術，但是它們無時無刻不面臨計算機病毒和網絡黑客的攻擊和威脅。本文對入侵檢測系統和snort的介紹。并對BM算法進行了介紹。并介紹在虛擬局域網下可以控制廣播風暴，可以將廣播域劃分為幾個小的泛洪域，這樣流量就被有效的控制了。而且局域網本身就有一定安全性能。

【關鍵詞】入侵檢測；Snort；數據挖掘；內存映射；模式匹配；局域網技術

1 入侵檢測的簡述

入侵檢測系統（Intrusion Detection System，IDS）[1]作為一種積極主動的安全防御手段，對給網絡系統帶來危害的攻擊進行攔截和及時的入侵響應。入侵檢測技術已成為當今網絡安全體系的重要組成部分。

IDS的優點是能夠對網絡進行實時監控，對內外攻擊和誤操作能夠實時報警，并且不影響網絡性能。性能好的的入侵檢測系統，能使網絡管理員隨時了解系統的任何變化，并能夠及時提供處理的策略。由于系統的配置、操作、管理都很簡單，這樣就使管理人員更加容易了解和運用。IDS發現非法入侵時，它有日志報警系統，這樣更加方便網管人員管理。

2 簡述Snort

Snort是一款簡單，方便使用，開放性的免費軟件，它是入侵檢測系統的一款輕量級軟件。Snort具有檢測引擎能夠檢測數據包，并將數據包以日志的方式記錄下了，并且它又具有報警日志，它能夠有效地保護系統信息的安全。

它具有八個優點：

（1）Snort是一款方便使用的軟件，任何人都可以自由使用它，它的代碼簡潔，而且占用空間很小，一般只有100k到200k左右。

（2）它能對TCP、UDP、ICMP等協議進行分析。

（3）為了方便管理員調用各種插件模塊，該系統使用了插件的形式。比如使用UDP流插件，可以對UDP包進行重組。對端口進行有效地檢測，就使用了SPADE插件，這樣Snort就能夠準確的報告可疑包。

（4）Snort的兼容性很強，可以跨平臺的使用。例如在UNIX和Windows上均可以使用。

（5）由于Snort管理和配置都比較簡單，系統靈活性強，使得非專業人員可以容易地使用它。基于Snort的入侵檢測的規模可以隨著系統架構、系統所要面臨的威脅以及希望網絡所要達到的目標而發生改變。

（6）Snort可監控1000M的高速網絡。

（7）現在的Snort版本能夠支持的很多數據庫，這為構建基于Snort入侵檢測系統提供了條件。

我們了解了Snort具有如此多的特點，它作為一款免費的、簡單、高效能、健壯性好、擴展性強的的入侵檢測系統，因此隨著網絡迅速發展，它也越來越受到人們的追捧。

3 BM算法

BM算法是用來提高匹配速度，從而構造一個輔助模式函數。BM算法在進行字符串匹配的時候包含兩個并行的算法：壞字符規則和好后綴規則，也就是所謂的bad-character shift，good-suffix shift，來決定字符不匹配時向后跳躍的距離[2]。S串作為目標串，P串作為模式串。

在匹配的過程中，P串中的H字符與S串中的C字符沒有匹配上，判斷C字符是否在P串中，C字符不在P串中，那么不可能匹配成功，所以這時要直接跳到S串C字符的后面，繼續進行匹配。

在匹配的過程中，P串中的A字符與S串中的C字符沒有匹配上，這時判斷C是否在P存在C字符，如果存在，則從P串從右邊數第一個C字符與S串中的C對齊，繼續匹配。

S串中字符串m="cab"部分與P串中的字符匹配成功的，S串的e與P串中的b匹配不成功，如果m部分在P串的前端不能找到，那么在P串中找到n="ab"與m中的"ab"對齊，再進行同樣方法繼續進行匹配，直到匹配成功。

4 虛擬局域網的作用

4.1 防范廣播風暴

將網絡劃分為多個虛擬局域網，這樣可以限制網絡上的廣播。將整個大的網段劃分成幾個規模小的虛擬網段，這樣就可以有效的防止廣播風暴。虛擬局域網本身就具有一定安全性，為了更好的保護網絡的安全，它還提供了建立防火墻的機制和建立入侵檢測系統的機制。

由于交換機具有廣播數據的功能，劃分虛擬局域網之后數據就不會從一個虛擬局域網段廣播到另外一個虛擬局域網段，同理的道理，在同一個交換機上的相同的端口不會收到其它交換機不同的端口產生的廣播數據[3]。這樣可以控制廣播數據的傳播，也可以控制網絡流量，從而將流量分給用戶，減少廣播風暴的產生，這也是利用虛擬局域網技術提高Snort入侵檢測系統性能的良策。

4.2 VLAN的安全性

由于網絡技術越來越完善，但是網絡黑客技術也越來越“高明”，如何保障網絡安全，就顯得更加重要。比如對于一個公司的財務，用戶資料等重要數據如何能與網絡的其余部分分開，以此來降低信息的泄露。虛擬局域網技術就可以滿足用戶的需求。將不同功能的網段劃分開來，使數據傳輸相互隔離，互不干擾，即不同VLAN的用戶不能直接通信。不同VLAN進行通信，則需要通過路由器或三層交換機等三層設備來加以實現[4]。

5 總結

對IDS系統的功能及分類進行了詳細的介紹。對Snort的IDS系統的結構、功能等進行了闡述。闡述在虛擬局域網中，提高Snort系統的檢測性能。模式匹配算法研究的主要方向就是提高算法的檢測性能和減少系統資源占用率。選擇合適的模式匹配算法是入侵檢測的發展動向。

【參考文獻】

[1]入侵檢測技術簡介-網絡安全頻道[OL].http：//www.baidu.com/link？url=imUNG.

[2]入侵檢測_百度百科[OL].http：//www.baidu.com/link？url=o72VG.

[3]虛擬局域網_百度百科[OL].http：//www.baidu.com/link？url=97UKG.

[4]虛擬局域網_百度百科[OL].http：//www.baidu.com/link？url=inAHG.

[責任編輯：湯靜]