Snort系统规则优化.pdfVIP

厅信息报批 2008 翩 J功吵得再如物 中圈份提号:m饵，创 立献栋iR码:A 文章编号:1盼叫2552(2鹏)倒叫0116- 的 Sno此系统规则优化 朱伟 (中南大学倍息科学与工程学院.*沙 41ω83) 摘 要: Snort 入侵检测系统的效率直接取决于用于检圳规则的规则集质寰。创建理想的规则集， 是使Snort 检测速度得到提高的关健。现讲述了 Snort 规则优化的具体过程，优化时出现的问题反 对问题的解决办法。 关键询:入侵检测;规则优化;模式阻配 Rule optimizer of Snort system ZHU Wei (COU咿of Infonna阳E 刷刷lCe and Eogineering，。蛐百d University , chan抽a41∞83 ，。阳) Abs衍act: 咀le efficiency of set inspection technolo♂es is direcùy linked to the quality of the set 阳t used for ruleinspection of Snort. It is the rule optimizer s key StePωcreate a rule setthat is id倒l 岛Ir use in set ins阳tion technology. This paper 切加duced 趴e Snort rule 叩tirnizer 阳hnol咽. and question prob-bly appeared and the solution. Key wor也: model matching; intrusion de协ction sys忧ro; rule 叩山划脚 专家系统、按键监视系统、模型推理、状态转换和模 。 引言 人侵检测系统(1DS: Intrusion Detection Systent) 是 式匹配等。 异常检测系统试图发现…些未知入侵行为，误 自动进行人债检测的监视和分析过程的硬件成软件 用检测系统是你识一些巳知的入侵行为。异常检测 产品。人侵检测系统作为一种j:动的安全防护技 主要缺陷在于误警率高，尤其在用户数目众多或工 术，提供了对内部攻击、外部攻击和误操作的实时保 作行为经常改变的环境中;但对具体系统依赖性小。 护，在网缩系统受到危害之前拦截和响应入侵。 误用检测由于依赖具体特征库进行判断，准确度要 人侵检测系统根据信息源的不同分为两类:基 高很多;但对具体系统依赖性大。 于主机的 IDS 和暴于网络的 IDS。基于主机的 IDS 1 Snort 概述 数据拥有:系统日志、应用程序日志等。基于网络的 朋数据游、是网络上的数据包。入侵检测方法主要 Snort 是一个用 C 语宵编写的符合 GPL 要求的 开放师、代码软件，如10抗运行在Iibpcap 库面数蕃础 采用两类:异常入侵校测和榄用入侵脆测。