基于Snort的入侵檢測系統的性能改進

王 麗 郭 磊

（1.西華師范大學 網絡中心，四川 南充 637000；2.西華師范大學 實驗中心，四川 南充 637000）

1 入侵檢測的簡述

入侵檢測系統（Intrusion Detection System，IDS）[1]作為一種積極主動的安全防御手段，對給網絡系統帶來危害的攻擊進行攔截和及時的入侵響應。入侵檢測技術已成為當今網絡安全體系的重要組成部分。

IDS 的優點是能夠對網絡進行實時監控，對內外攻擊和誤操作能夠實時報警，并且不影響網絡性能。性能好的的入侵檢測系統，能使網絡管理員隨時了解系統的任何變化，并能夠及時提供處理的策略。由于系統的配置、操作、管理都很簡單，這樣就使管理人員更加容易了解和運用。IDS 發現非法入侵時，它有日志報警系統，這樣更加方便網管人員管理。

2 簡述Snort

Snort 是一款簡單，方便使用，開放性的免費軟件，它是入侵檢測系統的一款輕量級軟件。Snort 具有檢測引擎能夠檢測數據包，并將數據包以日志的方式記錄下了，并且它又具有報警日志，它能夠有效地保護系統信息的安全。

它具有八個優點：

（1）Snort 是一款方便使用的軟件，任何人都可以自由使用它，它的代碼簡潔，而且占用空間很小，一般只有100k 到200k 左右。

（2）它能對TCP、UDP、ICMP 等協議進行分析。

（3）為了方便管理員調用各種插件模塊，該系統使用了插件的形式。比如使用UDP 流插件，可以對UDP 包進行重組。對端口進行有效地檢測，就使用了SPADE 插件，這樣Snort 就能夠準確的報告可疑包。

（4）Snort 的兼容性很強，可以跨平臺的使用。例如在UNIX 和Windows 上均可以使用。

（5）由于Snort 管理和配置都比較簡單，系統靈活性強，使得非專業人員可以容易地使用它。基于Snort 的入侵檢測的規模可以隨著系統架構、系統所要面臨的威脅以及希望網絡所要達到的目標而發生改變。

（6）Snort 可監控1000M 的高速網絡。

（7）現在的Snort 版本能夠支持的很多數據庫，這為構建基于Snort 入侵檢測系統提供了條件。

我們了解了Snort 具有如此多的特點，它作為一款免費的、簡單、高效能、健壯性好、擴展性強的的入侵檢測系統，因此隨著網絡迅速發展，它也越來越受到人們的追捧。

3 BM 算法

BM 算法是用來提高匹配速度，從而構造一個輔助模式函數。BM算法在進行字符串匹配的時候包含兩個并行的算法：壞字符規則和好后綴規則，也就是所謂的bad-character shift，good-suffix shift，來決定字符不匹配時向后跳躍的距離[2]。S 串作為目標串，P 串作為模式串。

在匹配的過程中，P 串中的H 字符與S 串中的C 字符沒有匹配上，判斷C 字符是否在P 串中，C 字符不在P 串中，那么不可能匹配成功，所以這時要直接跳到S 串C 字符的后面，繼續進行匹配。

S="ABDCEABCE"，P="DCEA"

圖1 字符在模式串中出現的情況

在匹配的過程中，P 串中的A 字符與S 串中的C 字符沒有匹配上，這時判斷C 是否在P 存在C 字符，如果存在，則從P 串從右邊數第一個C 字符與S 串中的C 對齊，繼續匹配。

第二個規則"good-suffix shift"，按下面的數學公式來表示。

S="abcecabcabc"，P="abcab"

圖2 好后綴在P 串中未匹配成功

S 串中字符串m="cab"部分與P 串中的字符匹配成功的，S 串的e與P 串中的b 匹配不成功，如果m 部分在P 串的前端不能找到，那么在P 串中找到n="ab"與m 中的"ab"對齊，再進行同樣方法繼續進行匹配，直到匹配成功。

4 虛擬局域網的作用

4.1 防范廣播風暴

將網絡劃分為多個虛擬局域網，這樣可以限制網絡上的廣播。將整個大的網段劃分成幾個規模小的虛擬網段，這樣就可以有效的防止廣播風暴。虛擬局域網本身就具有一定安全性，為了更好的保護網絡的安全，它還提供了建立防火墻的機制和建立入侵檢測系統的機制。

由于交換機具有廣播數據的功能，劃分虛擬局域網之后數據就不會從一個虛擬局域網段廣播到另外一個虛擬局域網段，同理的道理，在同一個交換機上的相同的端口不會收到其它交換機不同的端口產生的廣播數據[3]。這樣可以控制廣播數據的傳播，也可以控制網絡流量，從而將流量分給用戶，減少廣播風暴的產生，這也是利用虛擬局域網技術提高Snort 入侵檢測系統性能的良策。

4.2 VLAN 的安全性

由于網絡技術越來越完善，但是網絡黑客技術也越來越“高明”，如何保障網絡安全，就顯得更加重要。比如對于一個公司的財務，用戶資料等重要數據如何能與網絡的其余部分分開，以此來降低信息的泄露。虛擬局域網技術就可以滿足用戶的需求。將不同功能的網段劃分開來，使數據傳輸相互隔離，互不干擾，即不同VLAN 的用戶不能直接通信。不同VLAN 進行通信，則需要通過路由器或三層交換機等三層設備來加以實現[4]。

5 總結

對IDS 系統的功能及分類進行了詳細的介紹。對Snort 的IDS 系統的結構、功能等進行了闡述。闡述在虛擬局域網中，提高Snort 系統的檢測性能。模式匹配算法研究的主要方向就是提高算法的檢測性能和減少系統資源占用率。選擇合適的模式匹配算法是入侵檢測的發展動向。

［1］入侵檢測技術簡介-網絡安全頻道[OL].http://www.baidu.com/link?url=imUNG.

［2］入侵檢測_百度百科[OL].http://www.baidu.com/link?url=o72VG.

［3］虛擬局域網_百度百科[OL].http://www.baidu.com/link?url=97UKG.

［4］虛擬局域網_百度百科[OL].http://www.baidu.com/link?url=inAHG.