提高Snort规则匹配速度方法的研究.pdfVIP

兵 工 自动 化 网络与信息技市 0．I．Automation 2008年第27卷第 12期 NetworkandInformationTechnology 2008，Vo1．27，No．12 文章编号 ：1006—1576(2008)12—0045—02 提高 Snort规则匹配速度方法的研究 张治国，管群 (四川大学 计算机学院，四川 成都 610064) 摘要：对 Snort的规则树进行系统分析后 ，针对 Snort规则树结构 中的不足，提 出一种改进方法：在 RTN结点 后增加 Flag选项结点实现宽度方向上的优先匹配，同时在规则树的每个 OTN结点的后增加一个含有该规则的所有 匹配子函数的Keyword的链表结点，以实现提前和抓取的数据包进行 匹配，并决定是否和该选项进行匹配，由此提 高Snort的规则匹配的效率。 关键词：Snort；规则选项；规则 匹配；Keyword 中图分类号 ：TP393；TP301．6 文献标识码：A ResearchonAcceleratingofRule—M atchinginSnort ZHANGZhi—guo，GUANQun (CollegeofComputerScience，SichuanUniversity，Chengdu610064，China) Abstract：Aftersystematicallyanalyzingtherule—treeofSnort，andaimingatdefectsofrule—treeofSnort，putforward onemodifiedmethod：addingFlaglinkpointafterRTNforwidth—firstmatching，atthesametime，addingonelinkpoint， whichincludesallKeywordofmatchingfunctionsoftherule，intoeveryOTN linkpointtomatchsnatcheddatapackages in advance and tO decide whetherto match with the datapackage，the method can improvethe efficiency of Snort rule—matching． Keywords：Snort；Ruleoption；Rule-matching；Keyword O 引言 模式信息、匹配 内容等信息，每个选项的匹配子函 数 (插件)放在 FUNC链表中。一个规则的规则选 入侵检测系统 Snort是通过规则匹配来发现入 项中有多个匹配子函数，只有当规则中的每一个条 侵数据包的，因此规则匹配效率的好坏直接影响到 件都为真的时候，才能触发相应的规则动作 。因此， Snort是否能即时发现入侵的数据包 。故针对 Snort 规则元素之间是一种逻辑 “与”的关系。同时，在 规则树结构中的不足，对其进行改进。 每个规则库中文件中的各类规则集合之间形成的是 1 Snort入侵检测系统及其规则匹配算法 更大范 围的逻辑 “或 ”的关系 。 Snort是一种开放源代码 (OpenSource)、轻量 Snort初始化并解析规则树时，分别生成 TCP、 级的网络入侵检测系统，Snort通过抓取计算机系