具有适应性的Snort规则树构建方法.pdfVIP

第 21卷 第 11期 电脑 开 发 与 应 用 文章编号 ：1003—5850(2008)11-0011-03 具有适应性的Snort规则树构建方法 TheM ethodforConstructingSnortRulesTreewith Adaptability 苗宝秋 孙 敏 (山西大学计算机与信息技术学院 太原 030006) 【摘 要】合理构建规则树可以提高Snort的匹配效率。当前常见的规则树构建方法不能很好反映实际工作环境 的特点，从而造成某些重要的规则属性得不到优先匹配。主要是基于对 网络实际数据的统计来构建规则树 ，提 出了一种属性重要性的测度方法，使得规则树能够适应实际的网络工作环境，从而提高了规则匹配的速度 。 【关键词】入侵检测 ，规则树 ，适应性算法，属性重要性测度 中图分类号：TP393．08 文献标识码 ：A ABSTRACT ConstructingSnortrulestreereasonablycanimprovetheefficiencyofrulesmatching．Butincurrent，theprocessof constructingrulestreecan’treflectthecharacteristicsofpracticalworkenvironmentwell，andthensomeimportantattributescan’t bematchedfirstly．Thispaperproposesamethodtomeasuresignificanceofattributes，andtheprocessofconstructingrulestreeis basedonstatisticsoftherealdatapackets，SOitcanincreasethespeedofrulesmatching． KEYW ORDS intrusiondetection，rulestree，adaptivealgorithms，measuresignificanceofattributes Snort是一个开放源码的、轻量级 的误用 网络入 址包含在全局变量 EXTERNALNET中，目标 IP地 侵检测系统 (NetworkIntrusionDetectionSystem， 址包含在全局变量 HOMENET 中，目标端 口的值是 NIDS)。基于规则的模式匹配是 Snort的核心，即针对 139，并且在净荷数据 中包含字符串 fOO1．fOOlNfO0f 每一种已知的入侵行为，都归纳出它的特征值并按照 W l00lS”。 一 定的规范书写成检测规则，从而形成规则库；将捕获 1．2 规则树 的数据包与规则库 中的规则进行匹配。随着规则库中 最简单的规则匹配策略是让捕获到的每一个数据 规则数 目的增加，规则结构也越来越复杂，这就对规则 包与规则库中的全部规则逐一匹配，这就意味着要对 匹配引擎的性能提出更高的要求 。 待检测数据包的同一个属性作多次重复匹配，大大降 低了检测的效率 。为了使规则匹配尽可能的并行化，对 1 Snort规则 数据包 同一个属性的匹配次数尽可能的少，Snort组 1．1 规则的构成 织规则库是按照规则 的处理动作 (Alert，Dynamic， Snort规则库 中的每一条规则都是一条攻击标 Activation，Pass，Log)来划分成 5个链表 ，其 中每个 识，逻辑上可分为两部分：规则头 (括号左边 的内容)和 链表又按照协议类型 (TCP，UDP，IP，ICMP)分成 4 规则体(括号内的内容)。规则头规定了该规则被触发 个二维链表 ，所有的规