基于Snort规则的双阶段数据包过滤算法
本文选题:深包检测 + Snort规则 ; 参考:《西安电子科技大学》2014年硕士论文
【摘要】:近年来,随着互联网的迅速发展,网络安全问题得到了社会的广泛关注。网络攻击形式日趋复杂,入侵检测系统作为传统网络防火墙的补充,在网络安全方面不断发挥越来越重要的作用。目前,深包检测(DPI)技术是网络入侵检测用到的一项主要技术,该技术不仅检查数据包的头部,而且会对其携带的内容进行分析。最常见的深度包检测方案是基于过滤规则的,在这类方案中,专家首先分析各种类型的有害数据包,发现它们的共有关键特征,然后以文本或正则表达式的方式描述些这特征,最后将一类有害数据包的特征编写为一条过滤规则,多条过滤规则构成规则集,DPI系统将依据这些规则对数据包进行检测。Snort是一款非常成功的入侵检测系统。利用Snort规则集对数据包检测时,传统做法是将捕获到的每一个数据包与所有规则进行比对,但是随着规则数量的增多,这样的数据包过滤策略已经不能满足效率上的要求。目前比较实用的做法是将Snort规则与自动机相结合,本文提出了一套完整的Snort规则处理流程,并给出了数据包的过滤方案。在对Snort规则处理时,首先将所有规则编译成一组DFA,然后从每个DFA中提取出一些“关键特征”。对数据包过滤时,首先将数据包与这些关键特征进行预过滤,通过预过滤判断是否需要与DFA进行精确过滤。通过预过滤可以将网络中大部分安全的数据包放行,这些数据包不再需要与DFA进行精确过滤,大大提高了过滤效率。本文主要研究了以下几个方面的问题:(1)分析Snort规则,建立Snort规则选项模型,将需要处理的选项统一转化为PCRE,然后进一步编译成DFA。(2)针对一些DFA无法提取出充足的“关键特征”的情况下,研究如何降低这些DFA在预过滤阶段的命中率。(3)为了进一步提高过滤效率,实现数据包预过滤和精确过滤的并行化。
[Abstract]:In recent years, with the rapid development of the Internet, the network security problem has been widely concerned. The form of network attack is becoming more and more complex. As a supplement to the traditional network firewall, intrusion detection system is playing a more and more important role in the network security. At present, the deep packet detection (DPI) technology is the one used in network intrusion detection. The technology not only checks the head of the packet, but also analyzes the contents of the packet. The most common depth packet detection scheme is based on the filtering rules. In this kind of scheme, experts first analyze various types of harmful packets, find their common key features, and then use the text or regular expression side. The features are described. Finally, the characteristics of a class of harmful data packets are written as a filter rule, and multiple filtering rules constitute a rule set. The DPI system detects the packets based on these rules..Snort is a very successful intrusion detection system. Using the Snort rule set to detect packets, the traditional method will be captured by the traditional method. Each packet is compared with all the rules, but as the number of rules increases, such a packet filtering strategy can not meet the requirements of efficiency. At present, a more practical method is to combine Snort rules with automata. This paper presents a complete set of Snort rules processing flow, and gives the filtering of data packets. In the process of processing Snort rules, all the rules are compiled into a group of DFA first, and then some "key features" are extracted from each DFA. Most secure packets are released, and these packets no longer need to be filtered accurately with DFA, which greatly improves the filtering efficiency. This paper mainly studies the following aspects: (1) analyzing Snort rules, establishing the Snort rule option model, converting the selected option one to PCRE, and then further compiling to DFA. (2) for one When some DFA can not extract sufficient "key features", we study how to reduce the hit rate of these DFA in the pre filtering stage. (3) in order to further improve the filtering efficiency, the parallelization of packet pre filtering and accurate filtering can be realized.
【学位授予单位】:西安电子科技大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 陆正福;余江平;;Snort系统的多播入侵检测功能的扩展[J];实验科学与技术;2006年02期
2 李丽;钟求喜;杨智丹;;基于信息回馈检测技术的Snort优化研究[J];网络安全技术与应用;2008年08期
3 王亮;李阳;;Snort产生漏报原因分析[J];才智;2009年28期
4 张治国;管群;秦国亮;;一种高效的Snort规则匹配模式[J];微计算机信息;2009年36期
5 郎振红;;基于数据挖掘技术的Snort检测系统模型[J];天津职业院校联合学报;2010年02期
6 郎振红;;基于数据挖掘技术的Snort检测系统模型[J];长春理工大学学报(自然科学版);2010年01期
7 南楠;;浅谈开发snort规则的方法[J];信息与电脑(理论版);2010年05期
8 陈秀芳;;Snort规则的分析与改进[J];宁波职业技术学院学报;2010年05期
9 林秀琴;;一种改进的Snort系统模型[J];电脑知识与技术;2011年13期
10 魏德志;王奇光;林丽娜;;一种基于数据挖掘的Snort系统的设计与应用[J];集美大学学报(自然科学版);2011年05期
相关会议论文 前10条
1 周洋;王继志;;Snort分片重组机制的分析[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)[C];2006年
2 张瑞武;夏靖波;罗峗骞;;一种基于Snort的分布式入侵检测平台的设计与实现[A];第二十次全国计算机安全学术交流会论文集[C];2005年
3 张悦连;郭文东;杨明欣;王志伟;;改进Snort系统协议分析能力的探讨[A];’2004计算机应用技术交流会议论文集[C];2004年
4 刘方;安宝宇;杨榆;;局域网环境下Snort规则集的优化方法[A];2011年通信与信息技术新进展——第八届中国通信学会学术年会论文集[C];2011年
5 任晓峰;董占球;;IDS中Snort的研究与改进[A];第十八次全国计算机安全学术交流会论文集[C];2003年
6 李秀婷;裴昌幸;陈南;易运晖;;Windows下基于Snort的入侵检测系统的构建[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
7 余刘琅;汪彩萍;程克勤;;基于Snort的检测SQL注入和跨站脚本攻击的正则表达式的探讨[A];中国仪器仪表学会第九届青年学术会议论文集[C];2007年
8 马传龙;张涛;熊伟;;基于Snort的入侵防御系统的研究[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年
9 ;Research of IPv6 IDS Based on Snort[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)[C];2006年
10 ;Exploring the Performance of Software Pipeline IDS on Multi-core Processors[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年
相关重要报纸文章 前6条
1 曹江华;构建Linux网络环境软件IDS[N];计算机世界;2006年
2 中科院计算所 李洋;使用Snort搭建安全的Linux服务器[N];计算机世界;2005年
3 张琦;“IDS”的自由之路[N];中国计算机报;2005年
4 广西石油分公司 梁颂;安全领域开源逞强[N];计算机世界;2007年
5 ;免费与付费IDS你选谁[N];中国计算机报;2005年
6 沈建苗 编译;IDS vs IPS:逐步演进还是彻底变革?[N];计算机世界;2003年
相关博士学位论文 前1条
1 林国庆;网络信息安全体系中关键技术的研究[D];西安电子科技大学;2009年
相关硕士学位论文 前10条
1 陈添杰;分布式Snort的研究与应用设计[D];广东工业大学;2005年
2 鲁刚;基于Snort的分布式入侵检测系统应用实验研究[D];内蒙古工业大学;2007年
3 何诚;IPv6下基于Snort的入侵检测系统研究[D];河北联合大学;2014年
4 罗告成;基于Snort的混合入侵检测模型在网络靶场中的应用研究[D];重庆理工大学;2015年
5 陈勇;基于Snort的入侵防御系统性能优化研究[D];电子科技大学;2014年
6 霍元亮;基于Snort规则的双阶段数据包过滤算法[D];西安电子科技大学;2014年
7 周志祥;Snort规则分组和匹配算法的研究[D];西安电子科技大学;2014年
8 游武卫;Snort规则分组和压缩算法的研究[D];西安电子科技大学;2014年
9 李秀婷;基于Snort的网络入侵检测系统实现及其改进研究[D];西安电子科技大学;2008年
10 郇正军;基于Snort的网络入侵检测系统研究[D];山东大学;2008年
,本文编号:1832409
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1832409.html
