Snort规则检测及其优化分析.pdfVIP

Snort 规则检测及其优化分析 翁佩纯l 刘波2 1 电子科技大学中山学院计算机工程系广东 528402 2 华商师起大学计算机学院广东 510631 摘要:入侵检测系统IDS 的规则检糊的放率直接关系到IDS 系统的性能。本文对开放m、码入侵检测系统Sn侧的现贝IJ 检测 进行了分析，从标准的规则检测所存在的问版出发，比较了巳有的模式[f配算措，最后讨论了一种揍于优化现则集的检测方案。 关键词:入侵检测， Snort ，规则检测s 模式匹配$规则优化 。引言 后与 RTN 节点依次进行匹配，当与一个链茬头节点相脏配 Snort 是一个用C语吉编写的开放惊代码的轻量级网络入 时，向下与遥个OTN 节点进行匹配。每个OTN 节点包含一 侵检测系统(NIDS) ，所谓轻量级是指在检测时尽可能少地影 条规则所对应的全部选项，同时包含一组函数指针，用来实 响网络的lE常操作。鼠然Snort 代间极为简捕、报小，但功 现对这些选项的阻自己操作。当数据包与某个OTN 节点相匹配 能强大，具备跨系统平台操作和对系统影响最小等特征，并 时，即判断此数据包为攻击数据但并将触发规则中定义的规 且允许管理员在姐时间内通过修改配资进行实时的安金响应。 则行为。 目前最新版本是 Snort 2ι 2 标准Snort 规则[Ç配存在的问题 1 Snort 规则处理 标准的Snort 系统采用单进程方式运行，对截获的每个敬 Snort 规则处理模块究成与规则有关的各种功能，主要包 据包都需逐个串行地进行检测的方法，即遍历整个规则集来 插 Snort 规则解析和Snort 规则检测两部分。 判断→个数据包是否有匹配的规则。 1. 1 Snort 规则解析 Snort 的规则按照四个参数来分类:惊IP 地址，目的IP 地址，源喘口部闹，目的端口范围。对数据包进行规则匹配 Snort 使用一种简单、灵活、高嫂的规则描述语宵。 Snort 规则可以划分为两个逻辑部分:规则头和规则选项。规则头 时， Snort 检测每个规则集的四个参数来俯在是否检测这个规 则集还是简单地移动到下一个规则集。如果一个数据包匹配 包含了规则动作、协议、源地址、目的地址、网络掩鸭、拥 这个规则集的四个参散，则按顺序检测这个规则集中的所有 端口和目标端口等信息F 规则选项包含警报情息以及用于确 规则，并按顺序检测每个规则的参敬。当一个规则集的所有 定是沓触发规则相应动作阳需检查的数据包的详细信息。 规则检测完立后， Snort 将检测下一个规则集的四个参数再策 Snort 将所有巳知的攻击以规则的形式存放在规则库中， 复这个检测过程。 系统初始化并解析规则时，根据规则所用协议分别生成TCP、 通常，当处理规则集敬目比较少的时候选个检测策略是 UDP、 ICMP 和IP 四个不同的规则树。 Snort 规则树的数据结 相对有嫂的。但是，当一个规则集中有10个以上的规则时，这 构在rules.h 文件中进行定义@每一个现则树包含烛宽的二三维 种检测策略妓丑事就会很低，因为一个规则集中的所有规则部 链表: RuleTreeNode(规则头)、 OptTreeNode(规则选项)和函