提高Snort规则匹配速度的新方法

doi:10.3778/j.issn.1002-8331.2009.28.032

计算机工程与应用 ›› 2009, Vol. 45 ›› Issue (28): 109-111.DOI: 10.3778/j.issn.1002-8331.2009.28.032

提高Snort规则匹配速度的新方法

王杰，王同军，孙珂珂

郑州大学电气工程学院，郑州 450001

收稿日期:2008-05-27 修回日期:2008-09-04 出版日期:2009-10-01 发布日期:2009-10-01
通讯作者: 王杰

Research of new method for increasing rule matching speed of Snort

WANG Jie，WANG Tong-jun，SUN Ke-ke

College of Electrical Engineering，Zhengzhou University，Zhengzhou 450001，China

Received:2008-05-27 Revised:2008-09-04 Online:2009-10-01 Published:2009-10-01
Contact: WANG Jie

摘要/Abstract

摘要： 对于基于特征的开源入侵检测系统Snort来说，如何提高规则匹配速度以适应高速网络的发展是关键。对Snort的规则匹配算法以及现有的两种著名的匹配算法BMH与BMHS算法进行比较分析，提出一种简单实用、易于理解的规则匹配改进算法。该算法通过减少模式串的移动次数以及增加最大移动距离m+1的出现次数来减少规则匹配所需要的时间，进而提高了Snort 规则匹配速度。实验测试结果表明该算法能够有效地提高Snort的规则匹配速度。

关键词: 入侵检测系统, Snort, 规则匹配

Abstract: In order to accommodate to the development of high-speed network，this article analyzes the rule-matching algorithm of Snort，an open source-code NIDS，and puts forward a new improved algorithm on the basis of original rule matching algorithm of Snort.This new algorithm can increase the rule matching speed efficiently through reducing the times of moving pattern strings and increasing the times of the furthest moving distance m+1 appearing.Finally，experiments are carried out for evaluating the efficiency of this algorithm.The results show that the approach can greatly improve the rule matching speed of Snort.

Key words: intrusion detection system, Snort, rule matching

中图分类号:

TP393.08

王杰，王同军，孙珂珂. 提高Snort规则匹配速度的新方法[J]. 计算机工程与应用, 2009, 45(28): 109-111.

WANG Jie，WANG Tong-jun，SUN Ke-ke. Research of new method for increasing rule matching speed of Snort[J]. Computer Engineering and Applications, 2009, 45(28): 109-111.

[1]	余恩泽，努尔布力，于清. 一种基于集成学习的钓鱼网站检测方法[J]. 计算机工程与应用, 2019, 55(18): 81-88.
[2]	刘海燕，张钰，毕建权，邢萌. 基于分布式及协同式网络入侵检测技术综述[J]. 计算机工程与应用, 2018, 54(8): 1-6.
[3]	王歧1，2，3，卢毓海1，3，刘洋1，3，刘燕兵1，3，谭建龙1，3，孙波4. 支持模式串动态更新的多模式匹配Karp-Rabin算法[J]. 计算机工程与应用, 2017, 53(4): 39-44.
[4]	司健，陈鹏，顾宁平，孙凌枫，王蔚旻. 网络攻击图逆向深度优先生成算法[J]. 计算机工程与应用, 2017, 53(3): 131-137.
[5]	吕雪峰1，2，蒋烈辉1，2，孟奂2. 基于MODBUS的SCADA系统网络威胁与入侵检测[J]. 计算机工程与应用, 2017, 53(24): 122-128.
[6]	丁岩，努尔布力. 基于URL混淆技术识别的钓鱼网页检测方法[J]. 计算机工程与应用, 2017, 53(20): 75-82.
[7]	孙剑，刘渊，赵新杰. 基于聚类的应用层DDoS攻击检测方法研究[J]. 计算机工程与应用, 2016, 52(21): 116-120.
[8]	赵旭，王伟. 结合遗传算法的NIDS多媒体包多线程择危模型[J]. 计算机工程与应用, 2016, 52(14): 115-118.
[9]	陈明1，文颖1，谭涛2. WSN中基于MDP与博弈论的入侵检测系统[J]. 计算机工程与应用, 2015, 51(9): 117-121.
[10]	曾传璜，黄侃. 提高Snort规则匹配速度新方法的研究与实现[J]. 计算机工程与应用, 2014, 50(22): 102-105.
[11]	张伟1，董群锋2. 云安全综合分析系统的设计与实现[J]. 计算机工程与应用, 2014, 50(19): 89-94.
[12]	翁广安. 基于模拟数据集的字节频度入侵检测研究[J]. 计算机工程与应用, 2014, 50(12): 96-99.
[13]	雷向宇，周萍. 支持向量分类机在入侵检测中的应用研究[J]. 计算机工程与应用, 2013, 49(11): 88-91.
[14]	燕红文. 基于Snort的改进BMH单模式匹配算法研究[J]. 计算机工程与应用, 2012, 48(31): 78-81.
[15]	龚媛媛. 一种基于域的无线Ad HOC网络入侵检测系统[J]. 计算机工程与应用, 2012, 48(28): 123-126.

提高Snort规则匹配速度的新方法

Research of new method for increasing rule matching speed of Snort

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics