Snort的高效规则匹配算法

对入侵检测系统Snort的规则匹配算法进行了系统的分析，为了进一步提高Snort的规则匹配效率，提出了在匹配过程中，对于条件匹配处理函数应用参数链表驱动的方法。从而避免重复调用处理函数，充分利用参数之间的关系，并能动态地减少无效规则的匹配。通过两个实验来评估此方法的效率，结果表明改进方案较明显地提高了Snort的检测性能。     

提高Snort规则匹配速度方法的研究与实现

文中对开放源代码入侵检测系统Snort的规则匹配算法进行分析，在深度优先搜索算法的基础上增加宽度优先搜索算法，并对规则匹配的次序进行动态调整，从而提高规则匹配的速度。     

高效串匹配型入侵检测系统

针对当前串匹配型入侵检测系统普遍面临的效率问题,从规则库结构、串匹配算法及应用层协议分析等方面入手进行优化，设计并实现了高效率的串匹配型入侵检测系统speedIDs，并将测试结果与Snort系统进行了对比。     

Snort规则集的优化方法

高速网络的发展使得提高检测速度成为入侵检测系统面,临的关键问题。通过对Snort规则集优化方法的分析与比较,提出将活跃规则集划分与多子集划分相结合的方法,先从整体上优先选择要匹配的规则集,然后进行并行匹配,以提升入侵检测中规则匹配的效率。     

基于频率的Snort规则集构造方法

为提高Snort入侵检测系统的规则匹配效率,提出一种基于频率的Snort规则集构造方法。Snort系统使用规则集对网络数据包进行匹配分析,发现入侵行为。通过计算数据包样本中各选项的频率,在构造规则树时,采用频率小先匹配的原则,减少匹配次数,提高系统效率。实验结果表明,与Snort2方法相比,该方法配合参数集合匹配的匹配效率较高。     

基于r-连续位匹配规则的入侵检测研究

检测器匹配规则和匹配概率是入侵检测系统中构建检测器集和检测器进行有效检测的重要依据。Hofmeyr曾经提出一个基于r-连续位匹配规则的匹配概率分布公式,这个公式在构建检测系统时被广泛使用,但这个公式存在误差。因此提出一个更准确的基于该匹配规则的匹配概率分布公式将对入侵检测系统性能的改进有重要意义。从对这个匹配公式中两个参数r和l的取值范围分析可以得出影响入侵检测系统性能的某些因素。一个实现快速r-连续位匹配的算法的提出,解决了系统进行匹配运算时的时间开销问题。     

基于Snort的入侵检测系统性能优化

通过对Snort的规则匹配方式和模式匹配算法进行分析,为了提高基于Snort的入侵检测系统检测效率,提出了在规则匹配过程中充分利用处理函数的参数之间的关系,从而动态减少无效匹配次数,在模式匹配阶段采用改进的模式匹配算法提高匹配速度,从根本上优化了入侵检测系统的检测性能。     

基于Snort的入侵检测规则匹配技术研究

入侵检测系统(IDS)继数据加密、访问控制、防火墙等安全技术之后,目前成为信息安全领域内一个活跃的研究课题。该文从IDS检测规则的规则匹配技术展开,并以网络入侵检测系统为例,介绍了几种不同类型规则匹配技术,并对开放源码的网络入侵检测系统—Snort2.6进行了详细的检测规则分析。     

入侵检测系统中模式匹配算法的研究与改进

入侵检测系统的性能很大程度上取决于规则检测的效率,模式匹配算法是规则检测引擎的核心算法。对模式匹配算法进行了研究,重点分析了多模式匹配算法Wu—Manber算法。针对Wu—Manber算法在单字节模式串下移动距离短的不足,并结合网络数据包和入侵检测系统中规则的特点,提出了一种适合入侵检测系统的改进的模式匹配算法。该算法利用位示图方法解决了单字节模式串匹配的问题,增加了移动距离,提高了检测数据包与规则匹配的速度,提升了系统运行的效率。     

一种基于分类树的误用检测规则分析机模型

为了解决基于专家系统的入侵检测系统匹配速度慢，不能适应网络高带宽要求的问题，提出了一种图形化的模型，采用分类树的方法构建规则分析机模型，根据属性在攻击描述的作用，决定节点的选择顺序，并且在搜索过程中采用树的遍历算法代替产生式规则的字符串比较方法，从而有效减少误用检测系统的属性匹配时间，满足了实时性要求。     

基于活跃规则集的Snort高效规则匹配方法

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。     

基于二分图的故障规则匹配优化算法

针对传统的基于相似度的故障规则匹配方法中未考虑输入条件与规则前件的整体匹配程度问题,采用二分图最优匹配方法对匹配过程进行优化,提出一种基于二分图的故障规则匹配优化算法,并将其应用于故障诊断推理．实例分析表明,与其他相似度匹配算法相比,所提出的方法有效提高了规则匹配的准确率,而且降低了时间消耗．     

一种海量规则模式匹配方法

基于各种海量规则信息处理的需求,提出了一种海量规则模式匹配方法。设计了海量规则模式匹配方法的基本算法步骤,研究了各种规则节点的匹配处理方法。最后总结了海量规则模式匹配方法的特点。海量规则模式匹配算法部分拓展了现有规则匹配处理模式,提出了新的匹配处理方法。对比结果表明,该方法具有较好的效果。     

基于防火墙规则匹配优化算法的研究

随着网络功能和应用程序的增加,过滤规则集日益庞大,这严重影响了网络的性能。该文提出了一种基于规则匹配的防火墙优化方法。该方法对通过防火墙匹配的数据包进行权重计算相关规则排序,从而减少规则匹配时间。仿真结果显示,该方法有效地改善了防火墙的性能。     

基于分类规则信息熵的报文处理算法

针对分类规则的预处理问题,提出离群属性检测分类算法。在报文分类规则属性域上计算离群属性子集,利用规则属性加权矢量计算加权距离,分析规则加权邻域的子空间离群影响因子,通过与离群因子阈值比较生成频繁匹配子集对规则进行预处理。实验结果表明,该算法能缩小后续报文的匹配范围,提高报文转发的匹配精度与速度。     

提高Snort规则匹配速度的新方法

对于基于特征的开源入侵检测系统Snort来说,如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析,提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间,进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。     

一种IPV6环境下的高性能规则匹配算法研究

防火墙是确保网络安全的关键设施,而规则匹配又是防火墙的核心技术。随着网络技术的发展,互联网体系结构正逐渐从IPV4向IPV6结构发展,原有的IPV4防火墙规则匹配算法很难直接应用于IPV6网络环境,因为IPV6协议所能表示的地址范围远远超过IPV4协议对应的地址范围。因此提出了一种适用于IPV6环境的高性能规则匹配算法HiPRM(High Performance Rule Matching)。HiPRM算法的核心思想是依据规则的协议和目的端口分布特征,先把整个规则集划分成多个子规则集,再利用位选取算法对规则的源和目的IPV6地址组合的特定位进行选取,然后据此构建二叉查找规则树,最后利用规则树把多个规则子集划分成若干个更小的规则集合。而当报文匹配到某个更小的规则集合时,在小规则集中利用线性匹配法确定具体匹配的对应规则。分析和测试表明,HiPRM算法可以在时间复杂度和空间复杂度较低的情况下实现报文的高速匹配,且具有较好的规则集适应性。