基于Snort的入侵检测系统的性能改进

王 丽 郭 磊

（1.西华师范大学 网络中心，四川 南充 637000；2.西华师范大学 实验中心，四川 南充 637000）

1 入侵检测的简述

入侵检测系统（Intrusion Detection System，IDS）[1]作为一种积极主动的安全防御手段，对给网络系统带来危害的攻击进行拦截和及时的入侵响应。入侵检测技术已成为当今网络安全体系的重要组成部分。

IDS 的优点是能够对网络进行实时监控，对内外攻击和误操作能够实时报警，并且不影响网络性能。性能好的的入侵检测系统，能使网络管理员随时了解系统的任何变化，并能够及时提供处理的策略。由于系统的配置、操作、管理都很简单，这样就使管理人员更加容易了解和运用。IDS 发现非法入侵时，它有日志报警系统，这样更加方便网管人员管理。

2 简述Snort

Snort 是一款简单，方便使用，开放性的免费软件，它是入侵检测系统的一款轻量级软件。Snort 具有检测引擎能够检测数据包，并将数据包以日志的方式记录下了，并且它又具有报警日志，它能够有效地保护系统信息的安全。

它具有八个优点：

（1）Snort 是一款方便使用的软件，任何人都可以自由使用它，它的代码简洁，而且占用空间很小，一般只有100k 到200k 左右。

（2）它能对TCP、UDP、ICMP 等协议进行分析。

（3）为了方便管理员调用各种插件模块，该系统使用了插件的形式。比如使用UDP 流插件，可以对UDP 包进行重组。对端口进行有效地检测，就使用了SPADE 插件，这样Snort 就能够准确的报告可疑包。

（4）Snort 的兼容性很强，可以跨平台的使用。例如在UNIX 和Windows 上均可以使用。

（5）由于Snort 管理和配置都比较简单，系统灵活性强，使得非专业人员可以容易地使用它。基于Snort 的入侵检测的规模可以随着系统架构、系统所要面临的威胁以及希望网络所要达到的目标而发生改变。

（6）Snort 可监控1000M 的高速网络。

（7）现在的Snort 版本能够支持的很多数据库，这为构建基于Snort 入侵检测系统提供了条件。

我们了解了Snort 具有如此多的特点，它作为一款免费的、简单、高效能、健壮性好、扩展性强的的入侵检测系统，因此随着网络迅速发展，它也越来越受到人们的追捧。

3 BM 算法

BM 算法是用来提高匹配速度，从而构造一个辅助模式函数。BM算法在进行字符串匹配的时候包含两个并行的算法：坏字符规则和好后缀规则，也就是所谓的bad-character shift，good-suffix shift，来决定字符不匹配时向后跳跃的距离[2]。S 串作为目标串，P 串作为模式串。

在匹配的过程中，P 串中的H 字符与S 串中的C 字符没有匹配上，判断C 字符是否在P 串中，C 字符不在P 串中，那么不可能匹配成功，所以这时要直接跳到S 串C 字符的后面，继续进行匹配。

S="ABDCEABCE"，P="DCEA"

图1 字符在模式串中出现的情况

在匹配的过程中，P 串中的A 字符与S 串中的C 字符没有匹配上，这时判断C 是否在P 存在C 字符，如果存在，则从P 串从右边数第一个C 字符与S 串中的C 对齐，继续匹配。

第二个规则"good-suffix shift"，按下面的数学公式来表示。

S="abcecabcabc"，P="abcab"

图2 好后缀在P 串中未匹配成功

S 串中字符串m="cab"部分与P 串中的字符匹配成功的，S 串的e与P 串中的b 匹配不成功，如果m 部分在P 串的前端不能找到，那么在P 串中找到n="ab"与m 中的"ab"对齐，再进行同样方法继续进行匹配，直到匹配成功。

4 虚拟局域网的作用

4.1 防范广播风暴

将网络划分为多个虚拟局域网，这样可以限制网络上的广播。将整个大的网段划分成几个规模小的虚拟网段，这样就可以有效的防止广播风暴。虚拟局域网本身就具有一定安全性，为了更好的保护网络的安全，它还提供了建立防火墙的机制和建立入侵检测系统的机制。

由于交换机具有广播数据的功能，划分虚拟局域网之后数据就不会从一个虚拟局域网段广播到另外一个虚拟局域网段，同理的道理，在同一个交换机上的相同的端口不会收到其它交换机不同的端口产生的广播数据[3]。这样可以控制广播数据的传播，也可以控制网络流量，从而将流量分给用户，减少广播风暴的产生，这也是利用虚拟局域网技术提高Snort 入侵检测系统性能的良策。

4.2 VLAN 的安全性

由于网络技术越来越完善，但是网络黑客技术也越来越“高明”，如何保障网络安全，就显得更加重要。比如对于一个公司的财务，用户资料等重要数据如何能与网络的其余部分分开，以此来降低信息的泄露。虚拟局域网技术就可以满足用户的需求。将不同功能的网段划分开来，使数据传输相互隔离，互不干扰，即不同VLAN 的用户不能直接通信。不同VLAN 进行通信，则需要通过路由器或三层交换机等三层设备来加以实现[4]。

5 总结

对IDS 系统的功能及分类进行了详细的介绍。对Snort 的IDS 系统的结构、功能等进行了阐述。阐述在虚拟局域网中，提高Snort 系统的检测性能。模式匹配算法研究的主要方向就是提高算法的检测性能和减少系统资源占用率。选择合适的模式匹配算法是入侵检测的发展动向。

［1］入侵检测技术简介-网络安全频道[OL].http://www.baidu.com/link?url=imUNG.

［2］入侵检测_百度百科[OL].http://www.baidu.com/link?url=o72VG.

［3］虚拟局域网_百度百科[OL].http://www.baidu.com/link?url=97UKG.

［4］虚拟局域网_百度百科[OL].http://www.baidu.com/link?url=inAHG.