面向轻量级入侵检测系统性能优化研究

摘要

入侵检测系统作为一种检测系统入侵行为的安全防护设备，在信息安全领域发挥着重要作用。提高入侵检测系统的检测速度并减少入侵检测系统误报率和漏报率是信息安全领域的研究重点。
　　Snort作为轻量级的开源入侵检测系统得到广泛地应用和研究，本文在对其系统架构深入分析的基础上，从空间和时间两个方面对其性能进行优化，主要工作包括：
　　1、从时间方面提高Snort的检测性能：优化处理了Snort规则集，通过删除部分不影响匹配结果的规则和修改部分规则，达到了用相对较少的规则匹配较多特征的目的，并能减少检测报文时的计算量，从而提高了系统检测速度。
　　2、从空间方面提高Snort的检测性能：为减少入侵检测系统运行时的内存占有量，优化了Snort快速检测引擎结构，通过改变快速检测引擎的源端口和目的端口集的规则节点与通用规则集的规则节点的连接方式，形成了一种新的快速检测引擎结构，可以在不影响检测性能的前提下减少内存占有量。
　　3、设计检测http协议数据报文特征方法。使用这种检测方法检测数据报文的协议特征时只检测数据报文的IP协议标识、TCP协议标识和http协议标识，与原始Snort系统相比，新的检测方法减少了运算量，使Snort可以在相同的时间处理更多的报文，检测报文时提取http会话中每个报文的数据部分并将这些数据整合到一个虚拟数据包中，然后由检测引擎对虚拟数据包进行检测，使用这种检测方法进行检测能降低Snort检测报文的误报率和漏报率。
　　本文利用在实际网络环境中捕获的数据报文作为测试数据对Snort代码修改前后的性能分别进行了测试。实验结果证明通过修改Snort快速检测引擎结构、优化Snort规则集、设计http协议特征检测方法，Snort的检测速度得到提升，漏报率和误报率明显降低。

目录

声明

第一章 绪论

1.1研究背景

1.2入侵检测系统的主要功能和存在的问题

1.3入侵检测系统的性能指标

1.4研究目的

1.5研究内容

1.6论文结构

第二章 入侵检测系统

2.1入侵检测系统概述

2.2入侵检测原理

2.3入侵检测系统分类

2.4入侵检测技术

2.5 Snort入侵检测系统

2.6本章小节

第三章 轻量级入侵检测系统优化设计

3.1 Snort系统性能分析

3.2检测性能优化设计

3.3 本章小节

第四章 轻量级入侵检测系统优化设计实现与实验分析

4.1开发环境及工具

4.2轻量级入侵检测系统优化实现

4.3轻量级入侵检测系统优化前后性能测试与实验结果分析

4.4 本章小节

结 束 语

致谢

参考文献

作者在学期间取得的学术成果