基于Snort平臺的入侵檢測算法研究.pdf

1、隨著互聯(lián)網(wǎng)的不斷發(fā)展和廣泛深入應(yīng)用，網(wǎng)絡(luò)安全問題日益嚴(yán)重，傳統(tǒng)靜態(tài)安全技術(shù)不足以應(yīng)對各種網(wǎng)絡(luò)安全問題，因此需要積極主動的防御機制，實時保護系統(tǒng)，在網(wǎng)絡(luò)系統(tǒng)遭受破壞之前發(fā)現(xiàn)并響應(yīng)入侵。入侵檢測就是一種主動防御入侵行為的安全機制，能夠自動檢測系統(tǒng)內(nèi)部不合法操作和外部入侵活動，是網(wǎng)絡(luò)安全防護的重要組成部分。
　　在研究入侵檢測系統(tǒng)的原理及模型發(fā)展的基礎(chǔ)上，說明了基于Snort入侵檢測系統(tǒng)研究入侵檢測算法的原因，研究了Snort入侵檢測系

2、統(tǒng)各模塊主要工作和Snort的工作流程。Snort是基于規(guī)則匹配的策略，模式匹配過程是其最主要的過程，是影響系統(tǒng)性能的最主要因素。對Snort中的多種模式匹配算法思想進行深入研究，包括BM算法、AC算法、WM算法等。隨后發(fā)現(xiàn)，Snort中的經(jīng)典多模式匹配算法AC算法，雖然比一般單模式匹配算法高效，但是對文本串搜索逐字符匹配，存在多余比較，降低了入侵檢測的效率。為進一步提高入侵檢測系統(tǒng)的性能和效率，提出了一種有限狀態(tài)自動機與后綴自動機相互

3、合作的算法。該算法使用雙自動機，后綴自動機反向掃描文本串，查找模式串最大子串，然后在已匹配子串的基礎(chǔ)上用原AC自動機正向掃描文本串匹配，且利用后綴自動機獲得最大跳躍距離。將該算法應(yīng)用于Snort入侵檢測系統(tǒng)中，通過實驗比較了幾個算法的時空性能。實驗結(jié)果表明，與AC算法、AC-SPLIT算法及WMW算法相比較，該算法大幅度提高了檢測效率，且規(guī)則數(shù)量增大時，算法時間平穩(wěn)增長。
　　最后本文分析了搭建網(wǎng)絡(luò)入侵檢測系統(tǒng)需要的體系結(jié)構(gòu)，設(shè)計