面向輕量級(jí)入侵檢測(cè)系統(tǒng)性能優(yōu)化研究.pdf

1、入侵檢測(cè)系統(tǒng)作為一種檢測(cè)系統(tǒng)入侵行為的安全防護(hù)設(shè)備，在信息安全領(lǐng)域發(fā)揮著重要作用。提高入侵檢測(cè)系統(tǒng)的檢測(cè)速度并減少入侵檢測(cè)系統(tǒng)誤報(bào)率和漏報(bào)率是信息安全領(lǐng)域的研究重點(diǎn)。
　　Snort作為輕量級(jí)的開源入侵檢測(cè)系統(tǒng)得到廣泛地應(yīng)用和研究，本文在對(duì)其系統(tǒng)架構(gòu)深入分析的基礎(chǔ)上，從空間和時(shí)間兩個(gè)方面對(duì)其性能進(jìn)行優(yōu)化，主要工作包括：
　　1、從時(shí)間方面提高Snort的檢測(cè)性能：優(yōu)化處理了Snort規(guī)則集，通過刪除部分不影響匹配結(jié)果的規(guī)則和

2、修改部分規(guī)則，達(dá)到了用相對(duì)較少的規(guī)則匹配較多特征的目的，并能減少檢測(cè)報(bào)文時(shí)的計(jì)算量，從而提高了系統(tǒng)檢測(cè)速度。
　　2、從空間方面提高Snort的檢測(cè)性能：為減少入侵檢測(cè)系統(tǒng)運(yùn)行時(shí)的內(nèi)存占有量，優(yōu)化了Snort快速檢測(cè)引擎結(jié)構(gòu)，通過改變快速檢測(cè)引擎的源端口和目的端口集的規(guī)則節(jié)點(diǎn)與通用規(guī)則集的規(guī)則節(jié)點(diǎn)的連接方式，形成了一種新的快速檢測(cè)引擎結(jié)構(gòu)，可以在不影響檢測(cè)性能的前提下減少內(nèi)存占有量。
　　3、設(shè)計(jì)檢測(cè)http協(xié)議數(shù)據(jù)報(bào)文特征

3、方法。使用這種檢測(cè)方法檢測(cè)數(shù)據(jù)報(bào)文的協(xié)議特征時(shí)只檢測(cè)數(shù)據(jù)報(bào)文的IP協(xié)議標(biāo)識(shí)、TCP協(xié)議標(biāo)識(shí)和http協(xié)議標(biāo)識(shí)，與原始Snort系統(tǒng)相比，新的檢測(cè)方法減少了運(yùn)算量，使Snort可以在相同的時(shí)間處理更多的報(bào)文，檢測(cè)報(bào)文時(shí)提取http會(huì)話中每個(gè)報(bào)文的數(shù)據(jù)部分并將這些數(shù)據(jù)整合到一個(gè)虛擬數(shù)據(jù)包中，然后由檢測(cè)引擎對(duì)虛擬數(shù)據(jù)包進(jìn)行檢測(cè)，使用這種檢測(cè)方法進(jìn)行檢測(cè)能降低Snort檢測(cè)報(bào)文的誤報(bào)率和漏報(bào)率。
　　本文利用在實(shí)際網(wǎng)絡(luò)環(huán)境中捕獲的數(shù)據(jù)報(bào)文