基于Snort的入侵检测引擎比较分析 被引量：13

1

作者 唐谦 张大方 《计算机工程与设计》 CSCD 北大核心 2005年第11期2884-2886,共3页

基于误用的入侵检测系统性能在很大程度上取决于其检测引擎的性能。为了满足网络流量和速度的增大,设计高性能的入侵检测引擎将成为一项紧迫的任务。首先介绍了Snort系统的工作原理和检测引擎的分类,然后对在Snort2.0和Snort-ng中实现... 基于误用的入侵检测系统性能在很大程度上取决于其检测引擎的性能。为了满足网络流量和速度的增大,设计高性能的入侵检测引擎将成为一项紧迫的任务。首先介绍了Snort系统的工作原理和检测引擎的分类,然后对在Snort2.0和Snort-ng中实现的最新检测引擎进行了详细分析。实验结果表明,Snort2.0在速度和内存消耗上都优于Snort-ng,但Snort-ng的检测引擎为今后入侵检测引擎的设计开辟了一条新的思路,但将它作为发展下一代Snort技术中的检测引擎还需要不断完善。 展开更多

关键词 入侵检测引擎 模式匹配 规则 snort 决策树

在线阅读 下载PDF 职称材料

IBM算法及其在Snort系统下的实现

2

作者 蒋亚平 赵军伟 田月霞 《郑州大学学报（理学版）》 CAS 北大核心 2014年第2期50-54,共5页

入侵检测系统匹配算法是影响检测效率的关键,为进一步提高系统性能和检测效率,对Snort系统采用的BM算法进行了改进,提出了IBM算法.该算法以两个字符为单位计算右移量,增大了文本串的滑动距离,有效地减少了匹配次数;将IBM算法应用于Snort... 入侵检测系统匹配算法是影响检测效率的关键,为进一步提高系统性能和检测效率,对Snort系统采用的BM算法进行了改进,提出了IBM算法.该算法以两个字符为单位计算右移量,增大了文本串的滑动距离,有效地减少了匹配次数;将IBM算法应用于Snort,并在Windows平台下实现了基于改进算法的Snort系统.实验结果表明,该系统能够有效地检测各种攻击,与原系统相比检测效率有了明显的提高. 展开更多

关键词 入侵检测系统 snort 模式匹配 IBM算法

在线阅读 下载PDF 职称材料

基于判定树的Snort规则集优化构造方法 被引量：2

3

作者 梁萍 帅建梅 +1 位作者 谭小彬 周宇 《计算机工程》 CAS CSCD 北大核心 2011年第2期117-119,共3页

为降低Snort2检测所耗费的CPU时间,针对端口分类所导致的规则重复构造问题,提出一种基于判定树的规则集有效划分方法,并对划分后的规则子集采用依据匹配项信息值的规则优化构造方式。实验通过高精度的时间测量结果证明该规则集优化构造... 为降低Snort2检测所耗费的CPU时间,针对端口分类所导致的规则重复构造问题,提出一种基于判定树的规则集有效划分方法,并对划分后的规则子集采用依据匹配项信息值的规则优化构造方式。实验通过高精度的时间测量结果证明该规则集优化构造方法使数据包检测所耗费的CPU时间比Snort2原方案平均降低45.9%。 展开更多

关键词 snort入侵检测 判定树 信息值 规则匹配

在线阅读 下载PDF 职称材料

面向入侵检测系统的模式匹配算法研究 被引量：7

4

作者 徐周波 张永超 +1 位作者 古天龙 宁黎华 《计算机科学》 CSCD 北大核心 2017年第9期125-130,共6页

入侵检测系统Snort检测的基本原理是模式匹配。为了提高模式匹配算法的效率,从两方面对Snort中的BM算法进行改进。首先,为了增大模式串移动的距离,改进算法利用了与模式串最右端对齐的下一个及第二个文本字符,以及这两个字符再向右偏移... 入侵检测系统Snort检测的基本原理是模式匹配。为了提高模式匹配算法的效率,从两方面对Snort中的BM算法进行改进。首先,为了增大模式串移动的距离,改进算法利用了与模式串最右端对齐的下一个及第二个文本字符,以及这两个字符再向右偏移模式串长度所对应字符在模式串中的出现情况,最大移动距离达到了2 m+2。其次,为了增大失配时大的移动距离出现的概率,利用了最右端字符与其下一个字符的组合概率特性。最后,对算法进行了性能测试。测试结果表明改进算法减少了窗口移动次数和字符比较次数,提高了匹配效率。 展开更多

关键词 入侵检测 snort 模式匹配 BM改进算法

在线阅读 下载PDF 职称材料

一种入侵检测系统的模式匹配算法 被引量：4

5

作者 韩忠秋 刘晓洁 +3 位作者 李涛 梁刚 龚勋 姚隽兮 《计算机应用研究》 CSCD 北大核心 2009年第8期3033-3035,共3页

提出了一种基于后缀树自动机的模式匹配算法,匹配中应用后缀启发机制进行启发跳跃,忽略不必要的比较。实验表明,该方法与传统模式匹配方法相比能有效地加快模式匹配的速度,提高入侵检测效率。

关键词 入侵检测系统 模式匹配 后缀树 自动机

在线阅读 下载PDF 职称材料

入侵检测中模式匹配算法的性能分析 被引量：22

6

作者 唐谦 张大方 《计算机工程与应用》 CSCD 北大核心 2005年第17期136-138,共3页

模式匹配算法在入侵检测中有着广泛的应用,它直接影响到入侵检测系统的实时性能。论文主要研究了Boyer-Moore算法,ModifiedWu-Manber算法,Exclusion-Based算法和Aho-Corasick算法。通过实验对上述四种算法在混合攻击和特定攻击的条件下... 模式匹配算法在入侵检测中有着广泛的应用,它直接影响到入侵检测系统的实时性能。论文主要研究了Boyer-Moore算法,ModifiedWu-Manber算法,Exclusion-Based算法和Aho-Corasick算法。通过实验对上述四种算法在混合攻击和特定攻击的条件下进行了性能测试,根据实验结果,得出了不同算法的应用范围,为今后入侵检测系统开发者选择模式匹配算法提供了有价值的参考。 展开更多

关键词 入侵检测 模式匹配 BOYER-MOORE Aho-Corasick SNON

在线阅读 下载PDF 职称材料

网络入侵检测中高效散列模式树算法的研究 被引量：2

7

作者 陈海涛 胡华平 +1 位作者 张怡 龚正虎 《计算机工程与科学》 CSCD 2002年第5期34-38,共5页

本文在对一个具有代表性的基于特征的入侵检测系统的算法进行瓶颈分析的基础上 ,提出了一种并行的散列模式树算法 ,在目前入侵特征数量较大的情况下 ,该算法可以有效地解决现有算法的缺陷与不足。

关键词 网络 入侵检测 树算法 入侵特征 多模式匹配 模式树 散列

在线阅读 下载PDF 职称材料

基于Android平台的入侵检测系统的研究与实现 被引量：3

8

作者 李国 蒿培培 《信息网络安全》 2013年第2期27-29,共3页

针对智能手机使用中存在的安全隐患,文章设计了一种新的轻量级的Android入侵检测系统,以多模式匹配AC算法为基础,提出了完全自动机CA-AC算法并融合于Snort中,实现了从传统的被动防御到主动防御入侵检测的转变,加快了匹配速率,提高了入... 针对智能手机使用中存在的安全隐患,文章设计了一种新的轻量级的Android入侵检测系统,以多模式匹配AC算法为基础,提出了完全自动机CA-AC算法并融合于Snort中,实现了从传统的被动防御到主动防御入侵检测的转变,加快了匹配速率,提高了入侵检测效率。 展开更多

关键词 ANDROID 入侵检测 模式匹配 snort

在线阅读 下载PDF 职称材料

一种基于分类树的误用检测规则分析机模型 被引量：2

9

作者 关健 刘大昕 《计算机工程》 CAS CSCD 北大核心 2004年第5期129-130,149,共3页

为了解决基于专家系统的入侵检测系统匹配速度慢，不能适应网络高带宽要求的问题，提出了一种图形化的模型，采用分类树的方法构建规则分析机模型，根据属性在攻击描述的作用，决定节点的选择顺序，并且在搜索过程中采用树的遍历算法代... 为了解决基于专家系统的入侵检测系统匹配速度慢，不能适应网络高带宽要求的问题，提出了一种图形化的模型，采用分类树的方法构建规则分析机模型，根据属性在攻击描述的作用，决定节点的选择顺序，并且在搜索过程中采用树的遍历算法代替产生式规则的字符串比较方法，从而有效减少误用检测系统的属性匹配时间，满足了实时性要求。 展开更多

关键词 网络安全 入侵检测 分类树 模式匹配

在线阅读 下载PDF 职称材料

入侵检测中基于后缀树的多模式匹配算法 被引量：2

10

作者 智云生 孙星明 +1 位作者 黄华军 柴晨阳 《计算机应用与软件》 CSCD 北大核心 2008年第10期38-40,共3页

针对模式匹配算法已经成为误用入侵检测系统性能瓶颈的现状,提出了一种新的基于后缀树的多模式匹配算法FSM(Fast String Matching Algorithm)。该算法构建了一个后缀自动机,匹配中应用了好后缀启发机制进行启发跳跃。将改算法在Snort2.... 针对模式匹配算法已经成为误用入侵检测系统性能瓶颈的现状,提出了一种新的基于后缀树的多模式匹配算法FSM(Fast String Matching Algorithm)。该算法构建了一个后缀自动机,匹配中应用了好后缀启发机制进行启发跳跃。将改算法在Snort2.4.3中实现,实验结果表明,在耗费一定空间的基础上,Snort的时间性能有了较大提高。 展开更多

关键词 入侵检测 snort 模式匹配 后缀树

在线阅读 下载PDF 职称材料

多模匹配问题在IDS中的解决 被引量：2

11

作者 鲁鹏俊 钟亦平 张世永 《计算机工程》 EI CAS CSCD 北大核心 2005年第4期146-147,151,共3页

传统的Snort系统引入单模式匹配速度较快的BM算法进行特定的模式匹配。文献[1]在Snort系统中引入了基于KMP的多模式匹配算法,能有效地提高系统的性能。但是该匹配算法本身存在着局限性,以致于无法完成含有多Content属性选项规则的匹配... 传统的Snort系统引入单模式匹配速度较快的BM算法进行特定的模式匹配。文献[1]在Snort系统中引入了基于KMP的多模式匹配算法,能有效地提高系统的性能。但是该匹配算法本身存在着局限性,以致于无法完成含有多Content属性选项规则的匹配工作。该文从 多content属性选项的规则匹配问题着手,提出了解决方案,从而进一步推进了多模式匹配算法在IDS中的引入。 展开更多

关键词 入侵检测 多模式匹配 状态树

在线阅读 下载PDF 职称材料

一种改进的Boyer-Moore算法在IDS中的应用 被引量：3

12

作者 王淅娜 喻建鹏 《计算机科学》 CSCD 北大核心 2013年第11A期196-198,218,共4页

在IDS的检测引擎模块设计中,基于Pattern-Matching的误用检测算法是设计师们最常用到的一种核心技术实现途径,而IDS丢包率和误报率的高低以及检测引擎匹配速度的快慢都取决于模式匹配算法性能的好与坏。Boyer-Moore算法及其改进了的Boye... 在IDS的检测引擎模块设计中,基于Pattern-Matching的误用检测算法是设计师们最常用到的一种核心技术实现途径,而IDS丢包率和误报率的高低以及检测引擎匹配速度的快慢都取决于模式匹配算法性能的好与坏。Boyer-Moore算法及其改进了的Boyer-Moore Horspool算法和Boyer-Moore HorspoolS算法是目前应用最广泛的单模式匹配算法。在分析了BM算法及各种改进算法的基础上提出了一种新的基于BM算法的改进算法。该算法利用了字符串末字符和末字符对应文本串的下一字符的唯一性,同时考虑了文本串的信息以加大匹配速率,从而更好地适应IDS对模式匹配算法高效性的要求。 展开更多

关键词 入侵检测 BM算法 模式匹配 snort KMP算法

在线阅读 下载PDF 职称材料

一种基于旋转TCAM的模式匹配算法 被引量：2

13

作者 刘仲会 许芳奎 许红光 《火力与指挥控制》 CSCD 北大核心 2020年第1期59-64,共6页

为了实现对网络入侵恶意流量的有效检测,提出了一种基于旋转TCAM的模式匹配算法。算法具体实现分为2个阶段,在第1阶段,将规则签名(模式)进行划分,以适合所选择的长度为w的前缀滑动窗口;在第2阶段,通过将前缀向右移,丢弃最右端的字符并... 为了实现对网络入侵恶意流量的有效检测,提出了一种基于旋转TCAM的模式匹配算法。算法具体实现分为2个阶段,在第1阶段,将规则签名(模式)进行划分,以适合所选择的长度为w的前缀滑动窗口;在第2阶段,通过将前缀向右移,丢弃最右端的字符并在左边添加“don’t care”,直至全部模式的字节都是“don’t care”,从而提供默认的匹配行,实现对全部输入流量的匹配和对入侵主体的有效检测。仿真结果表明,提出的模式匹配算法不仅能够以线速运行在单一的操作中匹配多个模式,而且相比于其他基于TCAM的模式匹配算法,有更好的内存访问和TCAM查找访问性能。 展开更多

关键词 网络入侵 检测 snort规则语法 模式匹配 三态内容寻址存储器 内存访问

在线阅读 下载PDF 职称材料