[发明专利]一种基于snort的规则分类方法

说明书

本发明公开了一种基于snort的规则分类方法，在snort入侵检测系统中，对获取的规则进行预处理，提取规则中协议的字符；根据snort可解析的协议类型，对预处理完成后的规则进行分类；将分类后的规则通过匹配算法与本地规则进行匹配；判断规则是否与本地规则重复，将通过校验的规则添加到本地规则库。本发明能够使用户在添加或修改snort规则时，明确且快速找到所需要的规则；能够减少重复或无用snort规则，在入侵检测时，减少匹配时间，提高入侵检测效率。

技术领域

本发明涉及一种基于snort的规则分类方法。

背景技术

入侵检测指的是检测计算机网络中未授权的访问，通过检测网络流量来确定入侵行为。snort是一个开源入侵检测系统，它具有流量分析、网络数据包记录、支持插件、多平台等优点。snort基于规则来进行入侵检测，通过规则库或用户定义的规则，对恶意流量进行报警。随着网络的快速发展，入侵行为变得多种多样，因此snort规则也需要不断更新。现有基于snort的入侵检测技术在增加和更新规则时有以下问题。

（1）本地规则多而杂，用户在查找和修改规则时需要花费大量的时间；

（2）规则库进行更新时里面会有重复的规则，启用入侵检测功能时，对数据集扫描时会消耗更多的时间。

发明内容

本发明是为了解决上述现有技术存在的问题而提供一种基于snort的规则分类方法。

本发明所采用的技术方案有：

一种基于snort的规则分类方法，包括

1）本地规则库分类

按照snort规则中规则头的协议类型，将本地规则库中所有的snort规则分成四大类，第一类为规则头包含有TCP协议的本地snort规则，第二类为规则头包含有UDP协议的本地snort规则，第三类为规则头包含有ICMP协议的本地snort规则，第四类为规则头包含有IP协议的本地snort规则；

2）获取的规则集分类

将获取规则集中的所有的snort规则进行解析，并提取每条snort规则中规则头的网络协议字符，按照协议字符的协议类型对所获取规则集中所有snort规则进行分类，分别对应为包含有TCP协议的获取snort规则，包含有UDP协议的获取snort规则，包含有ICMP协议的获取snort规则以及包含有IP协议的获取snort规则；

3）获取的规则集与本地规则库匹配

将分类后的获取snort规则直接索引至相同类别下本地snort规则中，对获取snort规则与同一类别目录下所有的本地snort规则进行匹配，在匹配过程中，若存在获取snort规则与本地snort规则相同，则匹配成功，证明获取snort规则与本地snort规则重复，此时直接舍弃获取snort规则，并不再与其他本地snort规则再匹配；

若存在获取snort规则匹配所有本地snort规则后无相同规则，则匹配失败，并将该获取snort规则添加至该同类目录下的本地规则库中。

进一步地，获取snort规则与同一类别目录下所有本地snort规则匹配方式为：

每一条获取snort规则以及本地snort规则均由规则头和规则选项组成，通过匹配算法对获取snort规则中规则头与本地snort规则的规则头进行匹配，以及获取snort规则中规则选项与本地snort规则的规则选项进行匹配，在均匹配一致时，则匹配成功。

进一步地，所述匹配算法为BF算法。

本发明具有如下有益效果：

本发明能够使用户在添加或修改snort规则时，明确且快速找到所需要的规则；能够减少重复或无用snort规则，在入侵检测时，减少匹配时间，提高入侵检测效率。

附图说明