Snort入侵檢測中模式匹配算法的研究和改進

劉凱

摘要：入侵檢測系統Snort是一種常用的入侵檢測軟件，該文其分析系統的檢測引擎及其采用的模式匹配算法尤其是BM算法進行了深入的分析和討論，在分析的基礎中對BM算法進行改進，使用一種新的模式匹配算法，以減少匹配時間，提高匹配效率，達到提高算法的平均性能和較少資源消耗的目的。

關鍵詞：入侵檢測；模式匹配；算法

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）34-8117-02

入侵檢測系統（Intrusion detection system，簡稱“IDS”）[1]是一種對網絡傳輸進行即時監控，在發現可以傳輸數據時發出警報或者采取主動反應措施的網絡安全設備。

1 入侵檢測系統Snort

Snort[2]入侵檢測是一個基于Libpcap的輕量級入侵檢測系統軟件，是從著名的tcpdump軟件發展而來的。它是個基于Libpcap包的網絡監視軟件，是一個十分有效的網絡入侵監測系統。Snort入侵檢測系統基本由四部分組成：嗅探器，預處理器，檢測引擎，日志報警[3]。如圖1所示。

其中檢測引擎， 是 Snort 的核心部件， 主要功能是規則分析和特征檢測。當數據包從預處理器送過來后， 檢測引擎依據預先設置的規則檢查數據包，使用某種模式匹配算法 一旦發現數據包中的內容和某條規則相匹配， 就通知報警模塊。

2 單模式匹配算法研究與改進

為了提高入侵檢測系統的準確率，減少誤報率，在實際的入侵檢測系統中一般大都采用精確的模式串匹配算法。模式匹配問題分為單模式匹配算法和多模式匹配算法[4]。該文主要對單模式匹配算法（BM）進行研究和改進。

2.1 單模式匹配算法（BM）