snort 源码分析之 模式匹配引擎接口 SearchAPI 源码分析(AC算法)

已于 2022-10-12 21:04:48 修改
阅读量1.5k 收藏 1
点赞数 1
分类专栏: snort 模式匹配引擎 文章标签: 算法 c语言 数据结构
于 2019-03-08 18:21:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoguangwu/article/details/88355388
版权 
/*
 *  基于snort-2.9.5的源码进行分析
 *  src/preprocessors/str_search.h|.c
 */

/*
 * t_search 结构用于管理SearchAPI对象
 */
typedef struct tag_search
{
    /*
     * mpse 由mpseNew函数创建
     */
    void *mpse;
    /*
     *  所有模式串中最长串的长度
     */
    unsigned int max_len;
    /*
     * 该引擎在创建时就默认设置为1
     */
    int in_use;
} t_search;

typedef struct _search_api
{
    int (*search_init)(unsigned int);

    int (*search_reinit)(unsigned int);

    void (*search_free)(void);

    void (*search_add)(unsigned int, const char *, unsigned int, int);

    void (*search_prep)(unsigned int);

    int (*search_find)(unsigned int, const char *, unsigned int, int, MatchFunction); 

    /* 6/1/06*/
    void (*search_free_id)(unsigned id);
    
    int (*search_get_handle)(void);
    int (*search_put_handle)(unsigned int);

    /*
     * 创建多模式匹配引擎接口函数  
     */
    void * (*search_instance_new)(void);
    /*
     * 释放多模式匹配引擎接口函数  
     */
    void   (*search_instance_free)(void * instance);
    /*
     * 增加模式串接口函数  
     */
    void   (*search_instance_add) (void * instance, const char *s, unsigned int s_len, int s_id);
    /*
     * 模式串预处理接口函数   :比如 创建trie 和构建自动机
     */
    void   (*search_instance_prep)(void * instance );
    /*
     * 匹配函数   :MatchFunction:匹配成功后的回调函数,可执行一些相关操作
     */
    int    (*search_instance_find)(void * instance, const char *s, unsigned int s_len, int confine, MatchFunction); 
    
} SearchAPI;

/* API exported by this module */
SearchAPI searchAPI =
{
    SearchInit,
    SearchReInit,
    SearchFree,
    SearchAdd,
    SearchPrepPatterns,
    SearchFindString,
    SearchFreeId,
    SearchGetHandle,
    SearchPutHandle,
    /*
     * 创建引擎的函数
     */
    SearchInstanceNew,
    /*
     * 释放引擎的函数
     */
    SearchInstanceFree,
    /*
     * 增加模式串函数
     */
    SearchInstanceAdd,
    /*
     * 引擎预处理函数:构建trie 自动机
     */
    SearchInstancePrepPatterns,
    /*
     * 搜索函数
     */
    SearchInstanceFindString,
};

SearchAPI *search_api = &searchAPI;

接下来分析上面提及的那几个函数的实现

1:创建对象

/*
 * 创建mpse管理对象和mpse对象
 */
void *  SearchInstanceNew(void)
{
    /* 创建管理对象 */
    t_search * search = malloc(sizeof(t_search));
    if( !search )
        return NULL;

    /* 创建mpse对象, 通过MPSE_AC_BNFA宏设置,多模式匹配使用的算法*/
    search->mpse  = mpseNew(MPSE_AC_BNFA, MPSE_DONT_INCREMENT_GLOBAL_COUNT,
                            NULL, NULL, NULL);
    if (search-> mpse == NULL )
    {
        free(search);
        return NULL;
    }
    search->in_use=1;
    search->max_len=0;

    return search;
}

2:释放对象

void SearchInstanceFree( void * instance )
{
    t_search * search = (t_search*)instance;
    if( instance )
    {
        mpseFree( search->mpse );
        free( instance );
    }
}

3:增加模式串

/*
 *  instance : 管理对象
 *  pat : 模式串
 *  pat_len : 模式串长度
 *  id : 模式串所在模式串数组中的索引,例如 html_patterns
 */
void SearchInstanceAdd( void*instance, const char *pat, unsigned int pat_len, int id)
{
    t_search * search = (t_search*)instance;

    /* 添加模式串至mpse引擎中*/
    if( search && search->mpse )
        mpseAddPattern( search->mpse, (void *)pat, pat_len, 1, 0, 0, 0, (void *)(long) id, 0);

    /* 更新模式串的最大长度*/
    if ( search && pat_len > search->max_len )
         search->max_len = pat_len;

}

4:预处理模式串(生成自动机)

/*
 * instance : 管理对象
 */
void SearchInstancePrepPatterns(void * instance)
{
    t_search * search = (t_search*)instance;
    if( search && search->mpse )
    {
        /* 在调用完SearchInstanceAdd后,调用本函数进行模式预处理编译*/
        mpsePrepPatterns( search->mpse, NULL, NULL);
    }
}

5:搜索查找

/*
 * 搜索函数
 * instance : 管理对象
 * str :源串
 * str_len : 源串长度
 * confine : 1 表示更新模式串的最大长度
 * Match : 匹配成功后的回调函数
 */
int  SearchInstanceFindString(void * instance,
                              const char *str,
                              unsigned int str_len,
                              int confine,
                              int (*Match) (void *, void *, int, void *, void *))
{
    int num;
    int start_state = 0;
    t_search * search = (t_search*)instance;

    if ( confine && (search->max_len > 0) )
    {
        if ( search->max_len < str_len )
        {
            str_len = search->max_len;
        }
    }
    num = mpseSearch( search->mpse, (unsigned char*)str, str_len, Match, (void *) str,
            &start_state);

    return num;

}

以上介绍了模式匹配引擎接口的几个关键函数。接下来结合snort源代码分析如何使用这些接口

以html_patterns为例进行分析:

/*
 * 结构定义 
 */
typedef struct _HiSearchToken               
{   
    /* 模式串*/
    char *name;
    /* 串长度*/
    int   name_len;
    /* 串所在数组中的索引*/
    int   search_id;
} HiSearchToken;

a:创建管理对象,并添加串数组,编译

/* 管理对象*/
void *hi_htmltype_search_mpse = NULL;

...
void HI_SearchInit(void)
{
...
    /* 创建 管理对象 实际调用SearchInstanceNew*/
    hi_htmltype_search_mpse = search_api->search_instance_new();
    if (hi_htmltype_search_mpse == NULL)
    {
        FatalError("%s(%d) Could not allocate memory for HTTP <script> type search.\n",
                                   __FILE__, __LINE__);
    }
    /* 循环添加串 */
    for (tmp = &html_patterns[0]; tmp->name != NULL; tmp++)
    {
        hi_html_search[tmp->search_id].name = tmp->name;
        hi_html_search[tmp->search_id].name_len = tmp->name_len;
        /* 添加串至 管理对象中*/
        search_api->search_instance_add(hi_htmltype_search_mpse, tmp->name, tmp->name_len, tmp->search_id);
    }

    /* 编译  html_patterns串 所有初始化工作完成*/
    search_api->search_instance_prep(hi_htmltype_search_mpse);
}

b:搜索


int hi_server_norm(HI_SESSION *Session, HttpSessionData *hsd)
{

...
     /* 查找过程, 如果成功调用HI_SearchStrFound 善后处理*/       
     script_found = search_api->search_instance_find(hi_htmltype_search_mpse, (const char *)js_start, (angle_bracket-js_start), 0 , HI_SearchStrFound); 

...
}


/*  返回1 表示 搜索成功*/
int HI_SearchStrFound(void *id, void *unused, int index, void *data, void *unused2)
{
    int search_id = (int)(uintptr_t)id;

    hi_search_info.id = search_id;
    hi_search_info.index = index;
    hi_search_info.length = hi_current_search[search_id].name_len;

    /* Returning non-zero stops search, which is okay since we only look for one at a time */
    return 1;
}

以上就分析完了snort的模式匹配引擎接口的使用

可以参考https://github.com/testwill/Multi-pattern-matching-engine中的mpse_test.c进行编写自己的测试程序进行使用

guoguangwu
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
snortac_bnfa字符串多模式匹配算法
03-24
截取snort2.8中最新使用的ac_bnfa算法,采用状态机实现,详细请看readme.txt.
Snort 入侵检测系统分析--独孤九贱.pdf
08-29
该资是带目录标签的,是我一个个加上的,里面的内容好像是老版本,snort 2.2,代码结构虽然与现在最新版本的不完全相同,但流程大体不差,各位只要真心想学,还是很容易看懂的
snort 分析模式匹配引擎
guoguangwu的专栏
03-20 8948
snort是一款著名的开IPS,其主页地址:点击打开链接。更详细的介绍网上很多,可自行搜索了解。本博客主要介绍snort-2.9.5版本的模式匹配引擎的加载和匹配模式匹配引擎主要使用多模式匹配算法和单模式匹配算法。先由多模式匹配算法大概确定有哪些规则可能匹配成功,然后再通过单模式匹配算法去精确匹配。其配置格式如下: config detection: search-me...
Snort匹配算法-也是cpu计算占用大的地方
3-Number
03-18 4803
仅仅简单的了解snort的字符串匹配算法,虽然无法开发相关算法,但是也了解到算法在系统中的关键作用。
云安全技术——Snort安装与配置
Karka_的博客
03-23 1145
Snort是一个开的网络入侵检测系统,主要用于监控网络数据包并检测可能的攻击行为。它可以实时分析网络流量,识别多种类型的网络攻击,如端口扫描、DoS攻击、入侵尝试等,并对这些攻击进行警告或阻止。1. Snort的工作原理:Snort使用规则引擎来检测网络流量中的攻击行为。它可以在三个不同的模式下运行:嗅探模式、包记录模式和网络入侵检测模式。2. Snort的配置文件:Snort的配置文件包含全局设置、预处理器选项、输出选项以及规则集等。用户可以根据需要调整这些选项来满足自己的需求。3.
snort 分析之规则结构分析(一)
guoguangwu的专栏
03-10 3267
snort中比较复杂的结构很多,今天和大家分享一下snort的规则设计的数据结构:规则头和规则选项 先从一条规则实例开始分析: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...
snort分析
qq_43445553的博客
02-24 3407
[外链图片转存失败,站可能有防盗链机制,建议将图片保存下来直接上传(img-eS0IVwzj-1645710889444)(snort分析.assets/xiaoming.jpg)] 《入侵检测技术》课程报告 《入侵检测技术》 snort分析 ​ 课程名称 入侵检测技术 ​ .
snort码笔记分析
11-06
本文是自己在阅读snort时做的笔记,和画的一些数据结构变换图,包括如何解析规则,如何形成otn和rtn等。
snort分析.rar
12-10
Snort由几大软件模块组成,这些软件模块采用插件方式与Snort结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等,开发人员也可以加入自己编写的模块来扩展Snort功能。所有这些子模块都建立在数据包...
snort分析.zip
09-07
snort是c语言开发的开的入侵检测系统,3.0+版本使用c++编写的直至今天,Snort已发展成为一个具有多平台(Multi-Platform)、实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统...
超详细 snort分析
04-27
直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)
Snort模式匹配算法的研究与改进
05-16
在阐述入侵检测技术研究现状的基础上,通过对入侵检测系统snort下BM和Wu-Manber两个模式匹配算法的研究,然后对其分别改进,并进行实验验证,实验结果表明使用改进的算法提高了匹配效率,减少了存储需求,从而进一步提高了入侵检测系统的检测性能。
Snort2.2入侵检测系统分析全文 - 独孤九贱(基于Snort2.2版本)
12-18
1、Snort入侵检测系统分析,294页全文版; 2、版权所有独孤九贱; 3、注意是基于Snort2.2版本的分析
snort使用的BM模式匹配算法
04-20
Snort入侵检测使用的BM模式匹配算法,单独列出来了。
高效Snort匹配检测机制
06-23
主要对入侵检测系统Snort的规则匹配算法进行分析,并提出一种新的高效算法,内容介绍详细,讲解清晰
Snort中的模式匹配!!!
安子自语
09-12 6533
http://www.cnblogs.com/hfww/archive/2012/05/11/2495245.html Snort 2.9中的模式匹配有两种:单一模式匹配和多模式快速匹配。 单模式匹配 Boyer-Moore算法(简称BM算法);在mstring.c和mstring.h里,其中一个典型的接口如下:int mSearch(const char *, in
snort 分析之规则结构分析(四)
guoguangwu的专栏
03-25 827
解析完一条规则后,会调用FinishPortListRule函数将该规则进行归类。归类的原则是 Finish adding the rule to the port tables 1) find the table this rule should belong to (src/dst/any-any tcp,udp,icmp,ip or nocontent) 2) fi...
snortAC匹配算法
3-Number
06-20 2656
0x01 缘起 最近项目中使用AC算法,前面已经转载几篇文章学习之,就想起目前正在使用但是未深入分析snortIDS项目。研究其高效AC匹配算法。下面主要针对码讲解,然后添加了码注释。 写成这篇文章,也是做一个mark,阅读下码 0x02码 /* $Id$ */ /* ** Copyright (C) 2014-2016 Cisco and/or its affiliate
kali安装snort
最新发布
04-28
要在Kali Linux上安装Snort码,可以按照以下步骤进行操作: 1. 首先,确保你的Kali Linux系统已经更新到最新版本。可以使用以下命令进行系统更新: ``` sudo apt update sudo apt upgrade ``` 2. 安装必要的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值