Snort的高效规则匹配算法.pdf

下载文档

250
0
约1.39万字
约 3页
2017-08-28 发布于北京
举报
版权申诉
保障服务

Snort的高效规则匹配算法.pdf

1、本文档共3页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

Snort的高效规则匹配算法.pdf

2006 年9 月计算机工耀第32 梅篇18 期 Vol.32 地 18 Computer Eogioeeriog September 2006 文章偏号I 1000….3428(2伽)18-015轩-02 文献标识码IA 申回分羹号I TP393 ·由全技术· Soort 的高效规则匹配算法谷脚棚，江柴嘴，越锦棉 (大连理工大学电信学院计算机系，大连 116023) 捕哥:对入侵检测系统制。的规则阪配算法进行了系统的分析，为了进→步提肖 Snort 的规则匹配效率，提出了在匹配过稳巾，对于条件阪配处现函数应用参数链袋驱动的方法。从而避免戴复调用处璐画面数，充分利用参数之间的关系，并能动态地减少觉效规则的阪配。通过两个实验来评估此方法的效凉，结果表明改进方案较明显地提商了 Sno川的枪测性能。关镰词:基于网络的入侵检测系统;规则阪配;参数驱动 Efñcient Rule-matching Algorithms on Snort GU Xiaogang, JIANG Rongan , ZHAO Mingwei (Department of Computer, School of Electronic Inforrnatíon Engíneering ,Dalían University of TI巳chnology， Da1ian 116023) IAbstract) This paper systematica1ly ana1yzes the rule matching a1gorithm of Snort, an open source-code NIDS. ln order to increase 巳世ectively 也e rule matching spe时， an approach of parameter-list-driven is propoωd for the conditional checking subroutine during rule matching. The means can avoid repeatedly invoking the checking subroutines, can utilize relationship between parameters , and can significant1y reduce invalid rules in the running time. Finally, two experiments are done for eva1uating the e仔iciency of it.咀le result shows the approach can great1y improve the det巳cting perforrnance of Snort. (Key words) NIDS; Ru1e matching; Parameterωdriven 1Soort 入侵撞测系统预处理，再利用规则树对数据报进行四配。如罔 1 所示，在 l1 规则树匹配过程中:根据模数据报的 IP 协议决定与哪个规则 Snort ] 作为一种网络入侵检测蕉统，在共享网络上提取树进行匹配;然后与汉.TN 结点依次进行肌配，~与某个规则原始的传输数据，分析捕获的数据报，匹配入侵行为的特征