基于Snort规则的双阶段数据包过滤算法

来源 :西安电子科技大学 | 被引量 : 0次 | 上传用户:Jewellerymay
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
近年来,随着互联网的迅速发展,网络安全问题得到了社会的广泛关注。网络攻击形式日趋复杂,入侵检测系统作为传统网络防火墙的补充,在网络安全方面不断发挥越来越重要的作用。目前,深包检测(DPI)技术是网络入侵检测用到的一项主要技术,该技术不仅检查数据包的头部,而且会对其携带的内容进行分析。最常见的深度包检测方案是基于过滤规则的,在这类方案中,专家首先分析各种类型的有害数据包,发现它们的共有关键特征,然后以文本或正则表达式的方式描述些这特征,最后将一类有害数据包的特征编写为一条过滤规则,多条过滤规则构成规则集,DPI系统将依据这些规则对数据包进行检测。Snort是一款非常成功的入侵检测系统。利用Snort规则集对数据包检测时,传统做法是将捕获到的每一个数据包与所有规则进行比对,但是随着规则数量的增多,这样的数据包过滤策略已经不能满足效率上的要求。目前比较实用的做法是将Snort规则与自动机相结合,本文提出了一套完整的Snort规则处理流程,并给出了数据包的过滤方案。在对Snort规则处理时,首先将所有规则编译成一组DFA,然后从每个DFA中提取出一些“关键特征”。对数据包过滤时,首先将数据包与这些关键特征进行预过滤,通过预过滤判断是否需要与DFA进行精确过滤。通过预过滤可以将网络中大部分安全的数据包放行,这些数据包不再需要与DFA进行精确过滤,大大提高了过滤效率。本文主要研究了以下几个方面的问题:(1)分析Snort规则,建立Snort规则选项模型,将需要处理的选项统一转化为PCRE,然后进一步编译成DFA。(2)针对一些DFA无法提取出充足的“关键特征”的情况下,研究如何降低这些DFA在预过滤阶段的命中率。(3)为了进一步提高过滤效率,实现数据包预过滤和精确过滤的并行化。
其他文献
随着计算机软件技术的不断发展,很多软件系统成为遗产资源,虽然它们在结构设计和界面设计等方面比较陈旧,但是它们里面包含的行为逻辑经过了多年的实践和检验,仍具有很高的应
当今,在信息化浪潮席卷全球的环境下,我国企业管理必须打破传统的模式,跟上时代的潮流,走企业管理信息化的道路。企业管理信息系统即企业MIS是企业信息化的重要内容。本文以宾馆M
随着网络的不断普及,IPv4网络暴露出地址空间严重缺乏及路由表膨胀等一系列自身无法解决的问题。IPv6是下一代互联网的核心,它所具有的巨大的地址空间、移动性、安全性等优点使
无线局域网(WLAN)技术是20世纪90年代计算机网络和无线通信技术相结合的产物,在现代实际的生活工作中有着广泛的应用,如高速计算机网络,家庭多媒体服务,医院的医疗数据、图像传输,以
高职教育是我国高等教育的重要组成部分,学分制教学管理模式是高职院校教学改革的必然趋势。在学分制教学模式下,选课活动是一切教学活动安排的基本依据,是产生学分制的基础,是实
合成孔径雷达(SAR)是一种以小孔径天线利用脉冲技术,合成孔径原理实现的具有高分辨率的新型雷达系统,较之原有的雷达系统,其功能得到质的变化。SAR可以对局域目标进行成像识别,
本文根据仿生学原理,模拟生物系统的免疫机理,设计了计算机系统安全模型GECISM(General Computer Immune System Model),该模型由不同的代理构成,各代理模拟不同的免疫细胞的
Ramsey理论是图论的重要研究内容之一,而3色Ramsey数理论是其中一个重要的理论分支,对于3色Ramsey数的确定也是一个重要的研究方向,属于NP困难问题。Ramsey问题在数学的发展
随着互联网进入了“Web2.0”时代,用户已经不再只是信息浏览者,同时也是信息的制造者。网络信息产生总量的呈指数级上升的趋势,传统的搜索引擎技术逐渐难以对用户的检索请求
车辆导航系统是智能交通系统的重要组成部分,它除了能够显示电子地图和确定自身位置外,还能够进行信息查询和规划达到目的地的最优路线,并能引导车辆驾驶者到达目的地,从而提高道