1 基于SNORT规则集的高速网络入侵检测系统-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

基于SNORT规则集的高速网络入侵检测系统

电子工程师 来源:网络整理 作者:佚名 2018-02-20 09:03 次阅读

项目背景及可行性分析

项目名称:基于SNORT规则集的高速网络入侵检测系统

应用背景

误用入侵检测系统作为当前主流的网络入侵检测系统,有判断准确性高、误报率低等特点,此类系统是建立在对过去各种已知网络入侵方法和系统缺陷知识的积累之上,根据对这些已知模式的检测来达到保障安全的目的。因此,模式库和模式匹配是误用入侵检测系统的核心。随着网络速度的迅速提高,误用入侵检测系统逐渐暴露其在性能上的致命缺陷:检测速率低、资源消耗大。尤其当入侵模式库不断增大时,此类软件系统更是难有较佳表现。因此,误用入侵检测系统在某些网络负载高的环境下不得不放弃对一些网络数据包的检测,这种策略严重影响了误用入侵检测系统在功能上的完整性。

误用入侵检测系统性能的主要瓶颈在于模式匹配引擎的效率上。模式匹配引擎根据入侵规则库中的规则模式对来自网络的数据包进行字符串模式匹配。在许多误用入侵检测系统中(如Snort入侵检测系统),这些用以描述入侵特征的字符串模式是以正则表达式形式给出的,将其作为判断规则的一部分存放于入侵模式规则库中。文献[1]指出在误用入侵检测系统的模式匹配中,正则表达式匹配占了CPU计算时间的90%以上。因此,本项目主要设计实现一个软硬结合的基于SNORT规则集的高速网络入侵检测系统。

研究现状

软件模式匹配引擎为达到较高的匹配效率,通常采用一些多模式匹配算法,文献[2]中作者指出,目前绝大多数的正则表达式匹配算法都是由GAC(Generalization of the Aho-Corasick)算法改进而来。文献[3]中给出了GAC算法设计细节。此类软件多模式匹配算法在由NFA(Nondeterministic Finite Automata)构建DFA(Deterministic Finite Automata)的过程中,状态机的状态数成指数级增长,因此增大了对内存等硬件资源的消耗,其结果是制约了此类系统所能匹配的正则表达式的规模,并且在无法增大规模的同时也降低了系统的性能。

在硬件模式匹配引擎的设计上,目前主要采用NFA和DFA两类模式匹配的方法,文献[4]中,作者应用DFA理论提出了一种新的结构,并通过压缩编码的方式来提高密度;文献[5]的作者依据图论算法对多状态转移进行合并,将DFA转化成,从而减小了95%的存储器占用。但这些利用DFA理论的方法都不可避免面临着硬件资源有限的难题,由于相对NFA来说,DFA实现中的状态数成指数级增长,这使得目前现有的FPGA硬件很难满足大规模正则表达式匹配的任务。文献[6]首次提出了一种利用NFA机制实现的基于FPGA硬件的正则表达式匹配引擎,该引擎可以每周期匹配一个字符,并采用模块化设计思想给出了几种基本模块的设计方法。本项目中的基于SNORT规则集中的正则表达式规则模式匹配引擎(硬件加速)部分,参考了此篇文章的思想并对其改进,采用模块化设计方法,设计实现一款数据流驱动的高速的硬件匹配引擎,解决了NFA引擎中的数据回溯问题。

主要内容

本项目针对传统软件入侵检测系统中存在正则表达式模式检测这一系统瓶颈问题,设计实现一个软硬结合的基于SNORT规则集的高速网络入侵检测系统。此系统主要由三部分组成,即基于SNORT规则集中的正则表达式规则模式匹配引擎(硬件入侵检测模式加速器)、底层硬件传输平台及软件(驱动和应用程序)的设计与实现。

关键技术和创新点

(1)面向正则表达式的多模式匹配硬件引擎的设计;

(2)基于PCI-E的CPU与FPGA的通信平台的设计;

(3)基于硬件的网络数据包的抓取;

(4)软件驱动程序的设计。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络
    +关注

    关注

    14

    文章

    7553

    浏览量

    88724
  • 入侵检测
    +关注

    关注

    0

    文章

    57

    浏览量

    14095
收藏 人收藏

    评论

    相关推荐

    分布式入侵检测系统的设计

    分布式入侵检测系统的设计入侵检测网络安全的一个新方向,其重点是有效地提取特征数据并准确地分析出
    发表于 03-10 09:55

    基于异构机群的高速网络入侵检测系统

    结合异构机群系统,提出一种基于双向驱动的分流算法,将高速数据流分为多个子数据流,把子数据流交由异构机群系统中最合适的节点处理,实现基于异构机群的高速
    发表于 04-11 09:36 9次下载

    高效的Snort规则匹配机制

    该文在分析了 Snort规则及其检测过程的基础之上,提出一种动态规则匹配机制,增加选项索引链表,对规则匹配的次序进行动态调整,从而提高
    发表于 06-13 14:09 23次下载

    MADIDS模型在Snort入侵检测系统中的应用研究

    本文在分析了入侵检测技术、移动代理及Snort 系统规则的基础上,提出了基于移动代理的分布式入侵
    发表于 06-15 10:30 17次下载

    入侵检测系统匹配规则的研究

    入侵检测系统中匹配规则的选择和匹配概率的计算将影响整个检测系统的效率。精确的概率描述可以更准确地
    发表于 08-13 09:37 9次下载

    高速网络入侵检测系统应用瓶颈解决方案

    文章提出的网络入侵检测系统是基于协议分析技术,并结合特征模式匹配方法,采用高速采集器采集数据源并分发给多处理机进行数据处理的新型
    发表于 09-01 10:15 7次下载

    基于动态规则的IPv6入侵检测系统研究

    本文在分析snort 规则检测Snort 入侵检测系统
    发表于 09-01 16:36 4次下载

    Snort匹配机制的改进

    基于规则的模式匹配是Snort 检测引擎的主要机制,本文在结合协议分析和模式匹配的基础上,对Snort 匹配机制进行了改进。首先对从网络中获
    发表于 12-18 17:35 14次下载

    基于粗糙理论的网络入侵检测系统

    介绍了入侵检测系统模型的结构,应用粗糙理论实现了一个网络连接的入侵
    发表于 01-15 16:31 13次下载

    基于Aglets的分布式入侵检测系统研究

    研究了分布式入侵检测系统的体系结构,提出了一种基于Aglets 的入侵检测模型。用改进的Snort
    发表于 01-22 15:03 11次下载

    数据挖掘技术在入侵检测系统中的实现

    为了提高入侵检测系统的效率,将数据挖掘技术应用于网络入侵检测。本文实现了基于数据挖掘的
    发表于 01-22 15:21 9次下载

    基于Snort系统的局域网P2P流量识别系统

    针对当前P2P流量消耗大量带宽,降低接入网络性能的问题,采用规则匹配的方法,借助入侵检测系统Snort
    发表于 11-03 11:25 20次下载

    利用低交互蜜罐系统捕获网络攻击流量

    在应对网络攻击过程中,入侵检测系统Snort扮演了重要角色,如何提升Snort的防护水平至关重要
    发表于 11-08 15:15 8次下载
    利用低交互蜜罐<b class='flag-5'>系统</b>捕获<b class='flag-5'>网络</b>攻击流量

    入侵检测技术在网络安全中有什么样的应用

    在对入侵检测技术的原理、方法进行总结归纳的基础上,介绍了两类常见的入侵检测系统,并以 snort
    发表于 05-27 08:00 13次下载
    <b class='flag-5'>入侵</b><b class='flag-5'>检测</b>技术在<b class='flag-5'>网络</b>安全中有什么样的应用

    基于SVM与Adaboost算法的入侵检测系统

    入侵检测系统在大数据量的情况下误报率高、泛化能力弱,且单一机器学习算法不能较好地应对多种攻击类型。为此,设计一个基于支持向量机(SM)与 Adaboost算法的入侵
    发表于 05-25 16:35 6次下载