高效的Snort规则匹配机制归类.pdfVIP

高效的 Snort 规则匹配机制 胡大辉 1, 2, 刘乃琦 1 （1. 电子科技大学，四川 成都 610054；2.西南大学，重庆 402460） 摘要 : 该文在分析了 Snort 的规则及其检测过程的基础之上，提出一种动态规则匹配机制，增加选 项索引链表，对规则匹配的次序进行动态调整，从而提高规则匹配的速度。 关键词： Snort 规则匹配 规则树 规则选项 Efficient Mechanism of Rule-matching in Snort 1, 2 1 HU Da-hui , LIU Nai-Qi (1. University of Electronic Science and Technology of China ，Chengdu Sichuan 610054, China 2. Southwest University, Chongqing 402460,China) Abstract: Based on the analysis of Snort ’s rule and detecting procession, this paper puts forward a dynamic rule-matching mechanism. In order to adjust the sequence of rule-matching dynamically, it adds a chain of the option index. As a result, it increased the rule- matching speed effectively. Key Words: Snort Rule-matching RuleTree RuleOption 1． 引言 计算机及网络的飞速发展给人们带来极大便利，同时，由于计算机病毒和黑客的出现，对计算 机及网络的安全构成了极大的威胁和破坏性。如今，网络安全问题越来越受到人们的关注，传统的 网络安全技术以防护为主，即采用以防火墙为主体的安全防护措施。但是面对网络大规模化和入侵 复杂化的发展趋势，以防火墙为主的被动防御技术越来越力不从心，由此产生了以入侵检测技术为 主的主动保护技术。 Snort 是一套开放源代码的小型入侵检测系统，它属于误用检测的网络入侵检测系统。本文主要 介绍 Snort 的规则检测过程，为提高 Snort 的检测速度而采用的动态规则集机制。 2 ． Snort 概述 Snort 是一个用 C 语言编写的开放源代码软件，符合 GLP(GNU General Public License) 的要求， 当前的最新版本是 Snort-2.3.3 。Snort 是一个跨平台、轻量级的网络入侵检测软件，实际上它是一个 基于 Libpcap 的网络数据包嗅探器和日志记录工具，可以用于入侵检测。 Snort 采用基于规则的网络信息搜索机制，对数据包进行内容的模式匹配，从中发现入侵行为， 如：缓冲区溢出、端口扫 CGI 攻击和 SMB 探测等。 Snort 基于规则的检测机制十分简单和灵活，它 可以迅速填补网络中潜在的安全漏洞，也可以根据用户自己的需要及时在短时间内调整检测策略。 当有了新的攻击手段时，只要简单加入新的规则就可以升级 Snort 。 3 ． Snort 规则 Snort 将所有已知的攻击以规则的形式放在规则库中，每一条规则由规则头和规则选项两部分组 成。规则头对应于规则树结点 RTN （Rule Tree Node ），包含规则动作选项、数据包类型、源地址、 源端口、目的地址、目的端口、数据流动方向等内容。规则选项对应于规则选项结点 OTN （Optional Tree Node ），包含报警信息（ Msg ）、匹配内容（ Content ）等选项。 Snort 初始化并解析规则时，根据