基于Snort入侵检测引擎的研究与设计

作     者：陈守雄 

作者单位：西安建筑科技大学 

学位级别：硕士

导师姓名：武维善

授予年度：2008年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：Snort 入侵检测 匹配算法 数据结构 检测引擎 

摘      要：随着互联网的飞速发展,人们面临着日益严峻的网络安全问题。入侵检测技术是继防火墙技术之后的重要的网络安全保障技术。Snort是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对内容搜索或者匹配。它能够检测各种不同的攻击方式,并对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。检测引擎是入侵检测系统的核心模块。 论文首先概述了入侵检测系统。介绍了系统及其组成,工作流程,体系结构,常用入侵手段和入侵检测系统研究现状,讨论了当前入侵检测技术面临的挑战和发展方向。 其次剖析了Snort系统的架构、工作流程和三维规则链表,分析了该系统的检测引擎。然后对Snort的几个经典的模式匹配算法的原理进行了分析研究,包括单模式匹配算法BM算法,多模式匹配算法AC算法和WM算法以及Snort系统默认使用的MWM算法。分析各算法的时空复杂度,比较了各算法的时空性能。 最后,为了满足网络流量和速度增大的需要,改进了Snort的入侵检测引擎。在初始规则链表的基础上,重新构造用于快速匹配的数据结构。然后对Snort2.0的检测引擎和改进的检测引擎进行了详细分析和实验。实验结果表明,在现有规则数量基础上增加至400多时,改进的检测引擎的处理时间要少于Snort2.0的处理时间,改进的检测引擎的内存消耗量也一直少于Snort2.0。改进的检测引擎为入侵检测引擎的设计打开了一条新的思路,但它还需要不断完善。