snort规则分组和映射算法的研究.pdf

: .


: .


: .
摘要
摘要
随着互联网的飞速发展，网络安全问题也日益严重。入侵检测技术是继传统
安全保护措施之后出现的一种积极主动防御的新一代安全保障技术，而 Snort 是
其中基于规则匹配的一种入侵检测系统。Snort 首先分析提取出每一种入侵行为的
特征，然后按照一定的规范将这些特征编写成规则以形成 Snort 规则数据库，最
后通过将网络数据包同规则数据库中的规则进行匹配以完成入侵检测过程。
在 Snort 系统中，规则匹配的效率是影响 Snort 性能的关键。研究表明，对
Snort 规则数据库中的规则进行预处理可以提高规则匹配效率。针对 Snort 规则的
预处理流程，本文研究了如何将 Snort 规则转化为非确定性有限状态机、如何分
组合并状态机以及如何把状态机映射入哈希表等三个关键问题，并在此基础上：
①提出了一种基于 pcre 库构造非确定性有限状态机的方法以处理 Snort 规则中大
量使用的 pcre 选项中的一些特殊语法；②设计了一种状态机分组算法，依据状态
机的特征对其进行分组合并以减少状态机的数量，从而间接减少需要进行精确匹
配的状态机数量，进一步提高规则匹配的效率；③设计了一种低冲突率的哈希映
射算法，该算法实现了对具有某个特征的状态机进行快速定位，同时又能够保证
哈希表具有尽可能低的冲突率。实验结果表明算法是有效的。

关键词：Snort 匹配 分组 映射 : .
Abstract