入侵检测匹配过与算法改进研究.pdf

摘 要 论文题目：入侵检测匹配过程与算法改进研究 专 业：计算机应用技术 研 究 生：吕东伟 指导教师：孟庆端 副教授 梁祖华 高级工程师 摘 要 网络的普及和广泛应用极大地方便了人们的日常工作和生活，与此同时各种 网络攻击和网络犯罪活动也日益严重，网络的安全问题就显得尤为重要。入侵检 测技术作为一种能主动探测攻击、保护信息系统不被破坏的网络技术被广泛应 用。 Snort 是一典型的开源入侵检测系统，具有对网络流量进行实时分析、对网 络数据包进行记录、对协议进行分析和对数据包内容进行搜索匹配等多种功能。 但随着网络带宽的不断提高，Snort 需要处理的网络流量日益增大，这就对Snort 的检测速度提出了更高的要求。 本文系统分析了 Snort 的规则结构、检测流程和快速规则匹配引擎构建过 程，提出了按规则中包含模式串的个数对规则进行分类的思路。对仅包含单个模 式串的规则，借助多模式匹配所得信息，用边界条件检查函数代替单模式重复匹 配过程，使 Snort 入侵检测系统的检测速度提高了 1.28%。另外分析研究了现有 模式匹配算法的优缺点，提出了一种改进的AC_BMH 多模式匹配算法。改进算 法利用双字符进行跳跃，在增大模式串失配概率的同时能跳过更大的距离，再结 合 QS 算法的优点，进一步增大模式串匹配失败时的跳跃距离，同时借助压缩存 储机制有效降低了算法的内存使用量。在 VC6.0 环境下对改进算法的匹配速度 和内存使用量进行了测试，测试结果表明该算法比原算法在模式匹配速度上提高 了29.30%-52.82% ，在模式串较多时，内存使用量可减少90% 以上。最后将该算 法应用到 Snort 入侵检测系统中，使 Snort 入侵检测系统的检测速度提高了 5.95%-25.54% 。 关 键 词：入侵检测，模式匹配，Snort，AC_BMH 算法 论文类型：应用研究 摘要 Subject: Research on Matching Process and Algorithm Improvement of Intrusion Detection Specialty: Technology of Computer Application Name: LV Dongwei Supervisor: Associate Professor Meng Qingduan Senior Engineer Liang Zuhua ABSTRACT Popularization of the Internet and the wide application of computer network bring great convenience to peoples work and daily life. At the same time, various network attacks and network crimes have been increasing sharply. Protecting network security against hacker attacks is becoming more important. Intrusion detection, as a kind of network technology which can detect attack actively and protect information system against destroying, has been used widely. Snort is a typical open source intrusion detection system. It has multiple functions including traffic analysis, log netwo