Snort规则的分析

入侵检测系统是计算机网络安全系统的一个重要组成部分。目前国内外有许多实验室和公司在从事入侵检测系统的研究和开发,并已完成一些原型系统和商业产品。Snort是国外的一个开放源代码的入侵检测系统。文章系统分析Snort规则的组成,详细介绍了各个部分的含义,并对不同版本之间的差别进行了总结。这对于进行入侵检测系统研究,建立自己的攻击特征库都有很大的帮助。

Snort规则库的冲突检查

针对冲突是规则库不正确的一种表现形式,可能导致漏报和误报,对Snort规则库的冲突进行了研究.首先从一般意义上讨论了冲突的类型以及冲突检测的算法,给出了对Snort规则库的检查结果,最后分析了冲突的原因和可能的解决方法.

snort规则语法在基于CVE特征的入侵检测系统中的应用

针对入侵检测专家系统的不足,通过对CVE标准漏洞列表进行深入的研究,采用新型规则结构及snort规则描述语法,建立基于CVE特征的入侵检测专家系统规则库,它具有结构简洁、易于更新的特点.另外,以CVE标准为建立入侵检测专家系统规则库的基准,使得入侵检测专家系统规则库升级有了可靠的国际权威标准可以依据,对入侵检测系统的标准化有推动作用.

一种基于Snort规则的NIDS测试程序设计

入侵检测系统是解决网络安全问题的有效手段,而入侵检测系统能否达到设计要求也是我们十分关注的问题。介绍了一种基于Snort规则的NIDS测试程序设计,给出了设计的原理及其实现的过程。此程序通过解析Snort规则来构造攻击特征报文,发送到网络上被NIDS检测到并报警,从而测试和评估 NIDS的承受能力。

关联规则向Snort规则转换的应用研究

在入侵检测中的使用关联规则算法,在检测的时候需要重新计算一些统计数据,降低了检测的速度和准确度,所以它提出了一种把数据挖掘的关联规则转化成Snort规则库的方法,这样既提高了入侵检测的速度和准确率,也使得入侵检测具有了一定的自适应能力。

Snort规则优化技术分析

规则优化是Snort2.0及以上版本检测引擎的主要部件。规则检测技术的效率直接取决于用于 检测规则的规则集质量。创建理想的规则集,是使snort规则检测速度得到提高的关键。本文讲述了snort规 则优化的具体过程,优化时出现的问题及对问题的解决办法。

Snort规则及规则处理模块分析

当前,入侵检测已成为网络安全技术的重要组成部分,开放源代码入侵检测系统Snort是研究入侵检测系统很好的原型。分析了Snort规则语法和规则处理模块,剖析了规则语法树的生成及根据规则语法树进行遍历、查找匹配项的过程,总结了Snort的一些特点。

从Snort规则的协议信息分析攻击

目前,众多关于入侵检测系统(IDS)的研究都集中在网络流量识别和日志分析上,但是还存在另一种能够了解入侵检测问题的方法,即分析位于IDS核心的规则。基于签名的IDS会把其遭受攻击的特征封装到其本身的规则中,因此对规则的分析可以揭示恶意流量中的各种有用信息。对目前流行的开源入侵检测系统Snort的规则进行了统计和聚类分析,重点关注了规则使用的网络协议,揭示了Snort系统重点针对恶意流量的类型,反映出了恶意流量的入侵方式和频率等特征以及当前入侵检测的手段,可以为编写入侵检测规则和提高入侵检测准确率提供借鉴。实验结果表明,Snort使用的三种主要协议为传输控制协议(TCP)、用户数据报协议(UDP)和Internet控制报文协议(ICMP);Snort规则集可以被合理地划分为3类,其中TCP的使用都处于绝对的主导地位,并能反映出攻击事件的种类、入侵方式和频率的不同;Snort绝大多数的规则都能提取到基于TCP或UDP的应用层协议的特征,即现在的规则更加倾向于能够识别出应用层的协议,其中识别出最多的是超文本传输协议(HTTP)和简单邮件传输协议(SMTP)。

Snort规则及预处理器

Snort是开源世界著名的网络入侵监测系统。本文将对Snort的构成、Snort规则的结构进行简要的介绍，使读者对Snort的基本原理有所了解；同时结合应用示例说明Snort在互联网环境应用的基本方法及其管理工具BASE。

基于Snort的Modbus TCP工控协议异常数据检测规则设计

工业控制网络通信协议的脆弱性是导致工控网络遭受攻击的主要因素。Modbus TCP是工控网络的典型通信协议。在对Modbus TCP协议进行脆弱性分析的基础上,结合Snort检测机制对典型的异常行为进行归类,提出了一种用于Snort的Modbus TCP协议异常数据流检测模板。Modbus TCP的分析和规则模板的设计方法也可推广至其他基于工业控制协议的网络,具有一定的普适性。

An analysis method of topological relations between Snort rules

It is difficult to knowall the relations between Snort rules. To deal with this problem, the topological relations between Snort rules are classified based on the set theory, and a method for calculating the topological relations between Snort rules is proposed. In the existing methods for analyzing the relations of Snort rules, the relations are usually determined only according to the header information of the Snort rules. Without considering the actions of Snort rules, the proposed method improves upon the existing methods and it can classify and calculate the topological relations between Snort rules according to both headers and options information of Snort rules. In addition, the proposed method is implemented by the functional language Haskell. The experimental results showthat the topological relations between Snort rules can be calculated rapidly and effectively. The proposed method also provides an important basis for conflict detection in the succeeding Snort rules.

基于状态图的缓冲区溢出攻击分析

结合缓冲区溢出攻击产生的原理,分析缓冲区溢出攻击代码的结构,论述Snort规则对缓冲区溢出攻击的检测,在此基础上构建一个基于状态图的缓冲区溢出攻击的分析模型。该模型对于进一步明确缓冲区溢出攻击过程和完善缓冲区溢出攻击的检测和防御有很大的理论和实际意义。

实现Linux架构下的防火墙扩展技术及入侵检测

介绍了基于Linux netfilter/iptables架构实现机制和扩展技术,在此基础上提出扩展匹配选项实现防火墙的入侵检测功能,扩充后的防火墙可以像Snort一样具有入侵检测功能,从而扩展了防火墙的安全控制功能,并且可将Snort规则转化为防火墙规则实现防火墙规则集的扩充。

血液分析仪专家诊断系统的设计

针对目前血液分析仪无法自动诊断血液疾病的现状,提出了一种应用于血液分析仪的专家诊断系统;该系统在传统专家系统结构的基础上进行了改进,以专家经验、国际血液学复检专家组推荐的复检规则以及临床案例为知识源,利用关系型数据库技术设计出一种产生式树形结构的知识库,并结合Snort规则库中的三维链表数据结构对知识库进行优化,最终完成了血液分析仪专家诊断系统的研制;系统诊断的假阳性率为2.7%,假阴性率为3.31‰;提出的专家诊断系统具有推理灵活、实时性好的特点。

一种缓冲区溢出攻击模型分析

分析缓冲区溢出攻击产生的原理,结合Snort规则对缓冲区溢出攻击的检测,构建一个基于状态图的缓冲区溢出攻击的分析模型,对于缓冲区溢出攻击的检测和防御有较大的理论和实际意义。

抗生素发酵专家诊断系统的研究及实现

现有的抗生素发酵系统大多不具备自动诊断异常的功能,为提高抗生素发酵的自动化水平,提出了一种应用于抗生素发酵的专家诊断系统。该系统结合抗生素发酵工艺特点,利用关系型数据库技术设计出一种产生式树形结构的知识库,并结合Snort规则库中的三维链表结构对知识库进行优化,采用高效的混合推导规则控制策略,最终设计出应用于抗生素发酵的专家诊断系统。由实验结果可知,系统实现了对抗生素发酵过程中异常状况的预测诊断和分析提示,对提高抗生素发酵率的生产目标具有一定的应用价值。

一种基于旋转TCAM的模式匹配算法

为了实现对网络入侵恶意流量的有效检测,提出了一种基于旋转TCAM的模式匹配算法。算法具体实现分为2个阶段,在第1阶段,将规则签名(模式)进行划分,以适合所选择的长度为w的前缀滑动窗口;在第2阶段,通过将前缀向右移,丢弃最右端的字符并在左边添加“don’t care”,直至全部模式的字节都是“don’t care”,从而提供默认的匹配行,实现对全部输入流量的匹配和对入侵主体的有效检测。仿真结果表明,提出的模式匹配算法不仅能够以线速运行在单一的操作中匹配多个模式,而且相比于其他基于TCAM的模式匹配算法,有更好的内存访问和TCAM查找访问性能。

基于身份加密的智慧校园网络入侵检测系统

目前已有校园网络入侵检测系统的平均误报率高、平均漏报率高、平均延时高。基于此提出基于身份加密的智慧校园网络入侵检测系统,在Snort规则的基础上,系统主要结构包括探测器模块、数据存储中心、管理控制中心,利用校园网络流量和校园网络防火墙联动实现自动化入侵检测。以IBE公钥加密为基础加密用户身份,实现智慧校园网络入侵检测系统。实验结果表明,该方法在降低漏报率的情况下更好地提高校园网络入侵检测效率,提高捕获数据包的效率,系统的平均误报率低、平均漏报率低、平均延时低。