Snort快速规则匹配模块剖析.pdf

#论坛 !#$%快速规则匹配模块剖析 盘炜生 ( ! ) 广东肇庆学院计算机科学系 肇庆.,U-U6 摘 要# 是一个著名的免费开源入侵检测系统! # 本文深入分析其 系列所引进的最重要的设计 !#$% ’! ()* 特性 快速规则匹配模块的流程及设计思想 并给出评价 $$ $ % 关键词 快速规则匹配模块 入侵检测 # !#$% ’ ’ 引 言 =?3@ 和规则选项9%:; !A4B21CD 规则头定义了 规则的行为 所匹配网络报文的协议 源地址 目 是一个用 语言编写的免费开放源代码 # # # 01234 ’ 标地址#网络掩码#源端口和目标端口信息规则选 E ! # 软件 目前必威体育精装版版本是,/5 01234 是一个跨平台 轻 项部分包含了所要显示给用户的警告信息! 以及 # 量级 功能强大的网络入侵检测系统 所谓轻量级 用于确定是否触发规则响应行为而需检查的数据 是指在检测时尽可能低地影响网络的正常操作 包区域位置信息F6G 它具备实时数据流量分析的能力 能够进行协议分 ! !#$% 规则表示方式如下 ! 析 根据内容进行入侵检测 它能够检测多种入侵 规则行为 协议类型 H( 地址 端口号IJJ; 9 JJBI 或 ! # 攻击方式 效率高 误报率低 另外还采用插件机 协议类型 地址 端口号 规则选项 制 第三方开发人员可以根据需要自已编写插件 JJBJJ;DIIK H( 9 D ! # 扩展01234 的功能 规则行为 说明当发现适合条件的数据包时