Snort規(guī)則分組和匹配算法的研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，它在人們的日常工作生活中發(fā)揮出了越來越重要的作用，因此，網(wǎng)絡(luò)安全問題已經(jīng)成為人們關(guān)注的焦點問題。網(wǎng)絡(luò)入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全中占據(jù)著重要的地位，它是繼防火墻之后的又一道安全閘門。目前，Snort是一個典型的常用的入侵檢測系統(tǒng)，它通過對入侵行為做出分析總結(jié)，得出一定的Snort規(guī)則，每當(dāng)捕獲到數(shù)據(jù)包時，用數(shù)據(jù)包中的內(nèi)容去匹配所有的Snort規(guī)則，若能匹配上其中的一條或幾條規(guī)則，則說明該數(shù)據(jù)包具有入侵行為，是一個危險

2、數(shù)據(jù)包，否則，則是一個正常的安全的數(shù)據(jù)包。本文將Snort規(guī)則與DFA結(jié)合起來，用DFA來判斷數(shù)據(jù)包中的信息是否具有入侵行為，但是存在以下問題：
　　（1）如何降低數(shù)據(jù)包匹配時的DFA命中率；
　　（2）如何降低數(shù)據(jù)包匹配DFA時的冗余匹配；
　　（3）如何降低DFA占用的存儲空間。
　　針對以上三個問題，本文的主要工作如下：
　?。?）提出了一種新的基于協(xié)議分類的新的分組算法，將所有的DFA分為：HTTP

3、協(xié)議DFA和非HTTP協(xié)議DFA，進行協(xié)議類內(nèi)部的DFA分組合并后進行協(xié)議類之間的分組合并，降低了DFA的數(shù)目，同時降低了DFA的命中率。
　　（2）改進的匹配算法。
　　i)通過區(qū)分不同的規(guī)則選項，并增加一個起始位置標(biāo)記，降低了部分DFA的冗余匹配次數(shù)。
　　ii)采用DFA和NFA相結(jié)合的匹配方法，當(dāng)DFA合并發(fā)生狀態(tài)爆炸時，將DFA合并為一個新的NFA，降低占用的存儲空間。在匹配過程中，利用新的狀態(tài)轉(zhuǎn)移方法，避免