劉凱
摘要:入侵檢測系統(tǒng)Snort是一種常用的入侵檢測軟件,該文其分析系統(tǒng)的檢測引擎及其采用的模式匹配算法尤其是BM算法進(jìn)行了深入的分析和討論,在分析的基礎(chǔ)中對BM算法進(jìn)行改進(jìn),使用一種新的模式匹配算法,以減少匹配時間,提高匹配效率,達(dá)到提高算法的平均性能和較少資源消耗的目的。
關(guān)鍵詞:入侵檢測;模式匹配;算法
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2014)34-8117-02
入侵檢測系統(tǒng)(Intrusion detection system,簡稱“IDS”)[1]是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)控,在發(fā)現(xiàn)可以傳輸數(shù)據(jù)時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。
1 入侵檢測系統(tǒng)Snort
Snort[2]入侵檢測是一個基于Libpcap的輕量級入侵檢測系統(tǒng)軟件,是從著名的tcpdump軟件發(fā)展而來的。它是個基于Libpcap包的網(wǎng)絡(luò)監(jiān)視軟件,是一個十分有效的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)。Snort入侵檢測系統(tǒng)基本由四部分組成:嗅探器,預(yù)處理器,檢測引擎,日志報警[3]。如圖1所示。
其中檢測引擎, 是 Snort 的核心部件, 主要功能是規(guī)則分析和特征檢測。當(dāng)數(shù)據(jù)包從預(yù)處理器送過來后, 檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包,使用某種模式匹配算法 一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配, 就通知報警模塊。
2 單模式匹配算法研究與改進(jìn)
為了提高入侵檢測系統(tǒng)的準(zhǔn)確率,減少誤報率,在實際的入侵檢測系統(tǒng)中一般大都采用精確的模式串匹配算法。模式匹配問題分為單模式匹配算法和多模式匹配算法[4]。該文主要對單模式匹配算法(BM)進(jìn)行研究和改進(jìn)。
2.1 單模式匹配算法(BM)……p>