基于snort的入侵检测系统的研究(13)

③预处理器:即用来扩展Snort功能的插件"如用Portscan来检测端口扫描。 ④包含文件Include Files：可以包括其它Snort规则文件。

⑤输出模块:Snort管理员通过它来指定记录日志和告警的输出。当Snort调用告警及日志子系统时会执行输出模块。

3.3 snort处理数据包的瓶颈

虽然snort功能强大，可移植性极强，跨平台性极佳，扩展性好并且能够支持插件。但是snort入侵检测方法也有很多缺陷并面临着以下问题：

Snort 的检测速度较低，Snort 系统对数据包的处理速度一直是影响其性能的一个重大因素，从其捕获网络的一个数据包开始，中间经过解码、预处理并分析、匹配这个过程需要花费大量的时间和系统资源，当其检测速度达不到网络数据的传输速度的要求时，系统就会出现堵塞现象，甚至被迫放弃部分数据包，这种情况不但造成了系统检测的实效，同时也会给检测系统带来很大的危险，导致系统崩溃。

Snort 的误报率和漏报率较高，误报就是把非入侵行为当作入侵行为，而漏报是没有报告真正的入侵行为。Snort 系统是误用入侵检测系统，它根据系统自身的规则库进行入侵行为的匹配，由于每天都可能有新的攻击方法产生和新漏洞发布，而其系统的规则库却不能及时更新，那么 Snort 就无法检测到新的入侵行为，从而使得 Snort 系统的漏报率大大增加；Snort 入侵检测系统是重要的特征匹配 IDS，Snort 系统对所有与特征匹配的数据包都会发出警报，但是很多合法应用程序产生的流量也会引起其错误的警报。

Snort 入侵检测系统无法实时动态检测到新的入侵攻击行为，Snort 入侵检测的是基于特征库的预先定义好的规则检测的，这就导致了其自适应性能相对较差，当网络上的数据随着网络应用变化时，其特征 Snort 系统预先是不能识别的，这就意味着它不能自适应地修改检测模式。因此，在当今攻击手段变化多端及其变种攻击越来越复杂的情况下，Snort 入侵检测系统的检测就显得捉襟见肘了。

由于 Snort 是利用规则进行检测的，所以首先要根据攻击行为的特征制定规则。数据包嗅探器在网络中是并联的，它的主要功能是对数据包进行捕获并且按照 TCP/IP 协议族的协议对其进行解码。预处理器是指在对数据包模式匹配之前，先对其异常检查和代码转换。预处理器的组成元素是模块，所有模块的作用各不相同，可以根据实际需要对相关插件进行调用或停止。随着预处理器加入到 Snort 中，用户可以根据需要把一些插件很容易的融入到 Snort 系统中，从不同程度上对 Snort 的功能进行了延伸。IDS 的核心部分为检测引擎，它将经过预处理的数据包与规则进行匹配来判定是否有攻击发生，它必须有很高的准确率和很快的速度。所以规则的制定是否准确对 Snort 系统影响很大，其次检测引擎所采用的模式匹配算法如果速度很快的话，就可以大大提高检测引擎的效率。

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新高等教育基于snort的入侵检测系统的研究(13)全文阅读和word下载服务。