Snort入侵檢測中模式匹配算法的研究和改進(jìn)

劉凱

摘要：入侵檢測系統(tǒng)Snort是一種常用的入侵檢測軟件，該文其分析系統(tǒng)的檢測引擎及其采用的模式匹配算法尤其是BM算法進(jìn)行了深入的分析和討論，在分析的基礎(chǔ)中對BM算法進(jìn)行改進(jìn)，使用一種新的模式匹配算法，以減少匹配時間，提高匹配效率，達(dá)到提高算法的平均性能和較少資源消耗的目的。

關(guān)鍵詞：入侵檢測；模式匹配；算法

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）34-8117-02

入侵檢測系統(tǒng)（Intrusion detection system，簡稱“IDS”）[1]是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)控，在發(fā)現(xiàn)可以傳輸數(shù)據(jù)時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。

1 入侵檢測系統(tǒng)Snort

Snort[2]入侵檢測是一個基于Libpcap的輕量級入侵檢測系統(tǒng)軟件，是從著名的tcpdump軟件發(fā)展而來的。它是個基于Libpcap包的網(wǎng)絡(luò)監(jiān)視軟件，是一個十分有效的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)。Snort入侵檢測系統(tǒng)基本由四部分組成：嗅探器，預(yù)處理器，檢測引擎，日志報警[3]。如圖1所示。

其中檢測引擎， 是 Snort 的核心部件， 主要功能是規(guī)則分析和特征檢測。當(dāng)數(shù)據(jù)包從預(yù)處理器送過來后， 檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，使用某種模式匹配算法 一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配， 就通知報警模塊。

2 單模式匹配算法研究與改進(jìn)

為了提高入侵檢測系統(tǒng)的準(zhǔn)確率，減少誤報率，在實際的入侵檢測系統(tǒng)中一般大都采用精確的模式串匹配算法。模式匹配問題分為單模式匹配算法和多模式匹配算法[4]。該文主要對單模式匹配算法（BM）進(jìn)行研究和改進(jìn)。

2.1 單模式匹配算法（BM）