Snort入侵檢測(cè)中模式匹配算法的研究和改進(jìn)

劉凱

摘要：入侵檢測(cè)系統(tǒng)Snort是一種常用的入侵檢測(cè)軟件，該文其分析系統(tǒng)的檢測(cè)引擎及其采用的模式匹配算法尤其是BM算法進(jìn)行了深入的分析和討論，在分析的基礎(chǔ)中對(duì)BM算法進(jìn)行改進(jìn)，使用一種新的模式匹配算法，以減少匹配時(shí)間，提高匹配效率，達(dá)到提高算法的平均性能和較少資源消耗的目的。

關(guān)鍵詞：入侵檢測(cè)；模式匹配；算法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）34-8117-02

入侵檢測(cè)系統(tǒng)（Intrusion detection system，簡(jiǎn)稱“IDS”）[1]是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)控，在發(fā)現(xiàn)可以傳輸數(shù)據(jù)時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。

1 入侵檢測(cè)系統(tǒng)Snort

Snort[2]入侵檢測(cè)是一個(gè)基于Libpcap的輕量級(jí)入侵檢測(cè)系統(tǒng)軟件，是從著名的tcpdump軟件發(fā)展而來(lái)的。它是個(gè)基于Libpcap包的網(wǎng)絡(luò)監(jiān)視軟件，是一個(gè)十分有效的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)。Snort入侵檢測(cè)系統(tǒng)基本由四部分組成：嗅探器，預(yù)處理器，檢測(cè)引擎，日志報(bào)警[3]。如圖1所示。

其中檢測(cè)引擎， 是 Snort 的核心部件， 主要功能是規(guī)則分析和特征檢測(cè)。當(dāng)數(shù)據(jù)包從預(yù)處理器送過(guò)來(lái)后， 檢測(cè)引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，使用某種模式匹配算法 一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配， 就通知報(bào)警模塊。

2 單模式匹配算法研究與改進(jìn)

為了提高入侵檢測(cè)系統(tǒng)的準(zhǔn)確率，減少誤報(bào)率，在實(shí)際的入侵檢測(cè)系統(tǒng)中一般大都采用精確的模式串匹配算法。模式匹配問(wèn)題分為單模式匹配算法和多模式匹配算法[4]。該文主要對(duì)單模式匹配算法（BM）進(jìn)行研究和改進(jìn)。

2.1 單模式匹配算法（BM）