入侵检测系统中一种模式匹配算法的研究与改进
- 格式:pdf
- 大小:180.47 KB
- 文档页数:3
下载文档原格式
合集下载
Snort中BM模式匹配算法的研究与改进
- - - 3 - 5 4 3 - - 1 3 0 8 9 1
当 P中字符 。与 T中 对应字 符 b失配 时 , 同时共有 3 条 启发性规 则指导 P滑动 ( T为参 照 ) 以 到下一个适 当 的位置 , 哪种规则 下滑动的距离最大 , 便采 用哪一种 。
a O. tr) - dl2j: et ( a )
0 ¥
- - 6
1
2 3
4
5 6
7
的第一 步是 将 目标 串 T与模 式 串 P两 者的左 端对齐 ,
然后从 P的末字符 开始往 左对 比 T中相 对应 的字符 。
H D B H B H B H
1 1 1 1 6 5 4 3 2 1 6 0
表 2
规则一 , 如果 b没有被包含在 模
式 串 P中 , 么 T中从 b开始 , 那 长度 等 于 stn P = m 的子 串是 不可 t () r e 能和 P匹配成功的。
规 则二 , 如果 b被包 含在 P中 ,
关键 词 : 式 匹 配 B 算 法 入 侵 检 测 S o 模 Байду номын сангаас nd
1 引言
模 式匹配是 指在一个 目标文本 T中查找某个特定 的子串 , 使得 这个子 串 与已知的模 式 串 P相等 。如 果 在 T中找到等于 P 的子 串, 则称匹配成功 ,
统(D ) I 的工 作 效 率。著 名 的轻 量 级 入 侵 检 测 系统 S sn o d采用的是 B 模 式 匹配算 法 , M 该算 法被 称为 亚线 性 算法 , 平均 匹配速度 比 同类型 的 K 其 MP算法还要 快 3 —5倍 。本 文对 B 算 法进行 了改进 , M 使之 更适合 与
当 P中字符 。与 T中 对应字 符 b失配 时 , 同时共有 3 条 启发性规 则指导 P滑动 ( T为参 照 ) 以 到下一个适 当 的位置 , 哪种规则 下滑动的距离最大 , 便采 用哪一种 。
a O. tr) - dl2j: et ( a )
0 ¥
- - 6
1
2 3
4
5 6
7
的第一 步是 将 目标 串 T与模 式 串 P两 者的左 端对齐 ,
然后从 P的末字符 开始往 左对 比 T中相 对应 的字符 。
H D B H B H B H
1 1 1 1 6 5 4 3 2 1 6 0
表 2
规则一 , 如果 b没有被包含在 模
式 串 P中 , 么 T中从 b开始 , 那 长度 等 于 stn P = m 的子 串是 不可 t () r e 能和 P匹配成功的。
规 则二 , 如果 b被包 含在 P中 ,
关键 词 : 式 匹 配 B 算 法 入 侵 检 测 S o 模 Байду номын сангаас nd
1 引言
模 式匹配是 指在一个 目标文本 T中查找某个特定 的子串 , 使得 这个子 串 与已知的模 式 串 P相等 。如 果 在 T中找到等于 P 的子 串, 则称匹配成功 ,
统(D ) I 的工 作 效 率。著 名 的轻 量 级 入 侵 检 测 系统 S sn o d采用的是 B 模 式 匹配算 法 , M 该算 法被 称为 亚线 性 算法 , 平均 匹配速度 比 同类型 的 K 其 MP算法还要 快 3 —5倍 。本 文对 B 算 法进行 了改进 , M 使之 更适合 与
入侵检测系统中模式匹配算法研究
法 。该 算 与 文本 串 失 败 的当
文本
q
d e b
d
b
d
d
第
趟
b d
d
b d b d d d
b d d
按 B 的 M
不 出现 ,
筇 . 趟 j 趟
趟
一 璧 | 童 Ⅲ
字 符 是 否 与 模 式 串 P[] 等 ,若 相 等 ,则 将 P[ 1相 1 ]
定义一 个 从字母 到 正 整数 的映 射 :
dt i. s n , " , : }
BM 算 法 采 用 “ 跃 式 ” 查 找 策 略 ,多数 情 况 跳
下不 需 要 对文 本 进 行一 次 完 整 的扫描 。假设 在 执行
正文 中 自位 置 i “ 前 ” 的一 段 与模 式 的 自右至 起 返
入侵检测 系统 中模式 p ] ci m 算法研 究
李 君 秋 ,王 法 能
( 大连 装备制 造职 业技 术学 院 , 宁 大连 1 6 ) 辽 10 1 1
霜
摘 要 :分析 了B ,K P M模 式匹配算法 ,在此算法的基础上提 出 了一种改进的模 式 匹配算法 (B ) F M ,B F M ,该算 法的思想是对 B M
根 据 滑 动 距 离 函 数 d s 则 模 式 串 向右 滑 动 5个 字 it 符 :第 二 趟 从 文 本 串 的第 9个 字 符 自右 向左 比较 , 3 ,T[1 = [1 7 g P 3,根 据滑 动 距离 … it s
该算 法 的关键 是求 n x e t函数 的修正 值 :
k I =P \P
l “也
1
23B . M算法
入侵检测系统中的模式匹配算法研究
方 向。 关 键 词 : 侵 检 测 ; 式 匹 配 ; MP算 法 ; M 算 法 ; C算 法 ; 端 分段 匹 配算 法 入 模 K B A 两
中图 分 类 号 :P 0 T31
文 献 标 识 码 : A
文 章 编 号 :6 3 18 (0 0 0 — 19 0 17 — 9 0 2 1 )2 0 5 — 4
常快 , 实际 比较次数只有 目标 串长度 的 2 %~ 0 0 3%。
符 不 匹 配 , 将模 式 串右 滑 距 离 d , 则 )执行 由 P m与
+ ) d 起始 的 自右 至左 的匹配检 查 。 M 算法采 用两 B 条规则 计算 模 式 串右移 的距离 : 后 缀 移动 和 坏字 好 符 移动 。 ( ) 后缀 移动 , 1好 分两种 情况 。
收 稿 日期 : 0 9 0 — 0 2 0 — 9 3
发 . oe 和 Mor 提 出一种 新 的快速 字符 串匹 配算 B yr oe
法一 B 算 法 [ l M 。 . 6
B 算法 基 本思 想是 :开始 时 将 目标 串 与模 M
式 串 P左对 齐 , 自右 至左 逐个 字符 进行 比较( 即首先
1 单 模 式 匹 配 算 法
() 1 模式 匹 配 。在 给定 长度 为 凡的 目标 串 中
查找 长度 为 m 的模 式 P首 次 或多 次 出现 的过程 ,
,
m xklkj且 P … : a{l < , < 2
n x ̄= et] 0
一
∥‘ 。 ‘ ) 一
集 合非 空 其 他情况 j o时 =
等传统 安 全保护 措施后 的新 一代 安 全保 障技术 。模
式 匹配算法 是基 于特 征匹 配 的入 侵检 测 系统 中的核 心算 法 。据 统计 , 现在 大约 9 %的入 侵 检 测都 是 特 5 征 匹配 的人 侵检 测 。 由此 可见 , 式 匹 配算 法 性 能 模 的优劣 直接 影响 到入侵 检测 系统 的效 率 。在此介 绍 几 种用 于入侵 检 测 的经 典模 式 匹 配算 法 . 在 此基 并 础 上提 出一种 入 进算 法 . 后 给 出人 侵 检测 系 统 中 最 模 式匹 配算法 的选 择策 略 。
中图 分 类 号 :P 0 T31
文 献 标 识 码 : A
文 章 编 号 :6 3 18 (0 0 0 — 19 0 17 — 9 0 2 1 )2 0 5 — 4
常快 , 实际 比较次数只有 目标 串长度 的 2 %~ 0 0 3%。
符 不 匹 配 , 将模 式 串右 滑 距 离 d , 则 )执行 由 P m与
+ ) d 起始 的 自右 至左 的匹配检 查 。 M 算法采 用两 B 条规则 计算 模 式 串右移 的距离 : 后 缀 移动 和 坏字 好 符 移动 。 ( ) 后缀 移动 , 1好 分两种 情况 。
收 稿 日期 : 0 9 0 — 0 2 0 — 9 3
发 . oe 和 Mor 提 出一种 新 的快速 字符 串匹 配算 B yr oe
法一 B 算 法 [ l M 。 . 6
B 算法 基 本思 想是 :开始 时 将 目标 串 与模 M
式 串 P左对 齐 , 自右 至左 逐个 字符 进行 比较( 即首先
1 单 模 式 匹 配 算 法
() 1 模式 匹 配 。在 给定 长度 为 凡的 目标 串 中
查找 长度 为 m 的模 式 P首 次 或多 次 出现 的过程 ,
,
m xklkj且 P … : a{l < , < 2
n x ̄= et] 0
一
∥‘ 。 ‘ ) 一
集 合非 空 其 他情况 j o时 =
等传统 安 全保护 措施后 的新 一代 安 全保 障技术 。模
式 匹配算法 是基 于特 征匹 配 的入 侵检 测 系统 中的核 心算 法 。据 统计 , 现在 大约 9 %的入 侵 检 测都 是 特 5 征 匹配 的人 侵检 测 。 由此 可见 , 式 匹 配算 法 性 能 模 的优劣 直接 影响 到入侵 检测 系统 的效 率 。在此介 绍 几 种用 于入侵 检 测 的经 典模 式 匹 配算 法 . 在 此基 并 础 上提 出一种 入 进算 法 . 后 给 出人 侵 检测 系 统 中 最 模 式匹 配算法 的选 择策 略 。
入侵检测模式匹配算法研究
络数据分析 、 匹配 . 判断网络中是否有 入侵企图。f 定所有入侵行为和手
系统 一般不单独采川 K uh PatMor 算法 .而是配 合其他算法 n t— rt ri — s
共同实现。
段( 及其变种 ) 都能够表达 为一种模式或特 征 , 那么所有 已知的入侵方 法 都可 以用模式匹配 的方法 发现 。一般 意义上的模式 匹配算法非 常多 , 本 文只研究 与入侵检测直接 相关 的算法 ,主要有 Bu r 算法 , n t rt F c eoe Ku — h
PatMor 算法 ,oe— oe rt — rs i B yr Mor 算法 、h — o ik算法 、e— i oe— A o C ms c s Iw s B yr e Mor— rpo 算法 ,h — o ik B yr Mor 算法 。 oe Hosol A o C ms — oe— o e c
B yrMoe 算法先将 P T左端对齐 .然后按 照从右 向左的模式从 oe— or , 摸式 串最右一个字符开始扫描 。在不匹配的情况下 ( 或者整个字符串完
全匹配 ) , 它用两个预处理 函数决定右移的长度 。 这两个 函数分别 叫做好
后缀移 动函数 ( 叫匹配移动 ) 也 和坏字符移动 函数 ( 叫出现移动 ) 也 。
法、 oe' oe 算法 、 h — oaik算法 、e- i oe— or— o po 算法和 A o B yrMo r A o C rs c S tws B yr M oe H m ol e h—
C rs c o aik
—
B yrM oe算法。 oe— o r
文献标识码 : A
23 系 统应 用 -
1 B u oc rt F re算法 e
系统 一般不单独采川 K uh PatMor 算法 .而是配 合其他算法 n t— rt ri — s
共同实现。
段( 及其变种 ) 都能够表达 为一种模式或特 征 , 那么所有 已知的入侵方 法 都可 以用模式匹配 的方法 发现 。一般 意义上的模式 匹配算法非 常多 , 本 文只研究 与入侵检测直接 相关 的算法 ,主要有 Bu r 算法 , n t rt F c eoe Ku — h
PatMor 算法 ,oe— oe rt — rs i B yr Mor 算法 、h — o ik算法 、e— i oe— A o C ms c s Iw s B yr e Mor— rpo 算法 ,h — o ik B yr Mor 算法 。 oe Hosol A o C ms — oe— o e c
B yrMoe 算法先将 P T左端对齐 .然后按 照从右 向左的模式从 oe— or , 摸式 串最右一个字符开始扫描 。在不匹配的情况下 ( 或者整个字符串完
全匹配 ) , 它用两个预处理 函数决定右移的长度 。 这两个 函数分别 叫做好
后缀移 动函数 ( 叫匹配移动 ) 也 和坏字符移动 函数 ( 叫出现移动 ) 也 。
法、 oe' oe 算法 、 h — oaik算法 、e- i oe— or— o po 算法和 A o B yrMo r A o C rs c S tws B yr M oe H m ol e h—
C rs c o aik
—
B yrM oe算法。 oe— o r
文献标识码 : A
23 系 统应 用 -
1 B u oc rt F re算法 e
入侵检测系统模式匹配算法研究【文献综述】
毕业设计文献综述计算机科学与技术入侵检测系统模式匹配算法研究一、前言部分计算机网络的发展使人们的工作、学习和生活更加高效和便利,但借助于网络的入侵行为的数量和破坏性也不断增加。
近年来,网络安全事件呈爆炸性增长,安全问题日益突出。
根据CERT/CC的统计,1994年安全事件为2 340件,而2003年这一数字己达到137529件(此项统计截至于2003年) [1] .网络安全是指利用网络管理和控制技术,保证网络系统的硬件,软件及其系统中的数据不被偶然的或者恶意的原因破坏,更改,泄漏,保持系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
它涉及到网络上信息的保密性,完整性,可用性,真实性和可控性的相关技术和理论。
网络安全应该具有保密性、完整性、可用性、可控性和正确性五个方面的特征[2]。
面对日益加剧的网络安全威胁,传统的静态安全技术如认证机制、加密和防火墙等已经难以胜任。
为此,我们需要尽可能找到更好的措施以保护系统免受入侵者的攻击。
要求事先设置规则。
对于实时攻击或异常行为不能实时反应。
无法自动调整策略设置以阻断正在进行的攻击。
因而出现了入侵检测系统[3]。
入侵检测系统(Intrusion Detection System ,IDS)可以弥补防火墙技术的不足,对网络或操作系统上的可疑行为作出策略反应,及时切断资料入侵源,记录并通过各种途径通知网络管理员,以求最大幅度地保障系统安全。
它是防火墙的合理补充,可以帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),从而提高信息安全基础结构的完整性,被认为是防火墙之后的第2道安全闸门。
它能在不影响网络性能的情况下监测网络,从而提供对内部攻击、外部攻击和误操作的实时保护[4]。
入侵检测作为一种重要的动态安全技术,能够提供对计算机系统和网络的外部攻击、内部攻击及误操作的全面检测,其主要功能是监视并分析用户和系统的行为、审计系统构造和弱点、评估重要系统图、安全事件报告数据和数据文件的完整性、识别己知攻击的行为模式、异常行为模式的统计分析、操作系统的审计跟踪管理和识别用户违反安全策略的行为。
ID3算法在入侵检测系统中的研究与改进
te et n . T t i fut, a j rv d dcs n re loih wa pooe h b s o e o hs a l n mpo e eii te ag rtm o s rpsd. T og i rv d n oma in an, sl t g h b s dvso h u h mpo e ifr t g i o e c i te et ii n e n i a tiue , t e aa olce wa casf d te te eio te wih es r nh s n lwe hih wa ce t d Th ag r h t r t s h d t c l td b e s lsii , hn h dcs n re t ls ba ce ad o r eg t e i s ra e . e loi m, cmb ig t o in n
本 总数 。其 中对于给 定子 集的期 望信 息为 :
或程 序足够 的 “ 正常 的”和 “ 常的” 审计数 据 , 异 然后应
用一个 分类 算法 训练分 类器 , 使之 可 以标识 或预测 属于正
常类 型或异 常类 型的新 的未 见过 的特征 。决策 树算 法是 比 较常用 的有效 分 类方法 ,而 I 3 D 算法是 决策树 的核 心算法 。
wi p ten t a tr ma c h th, wa ue t d tc itufn . E p r n a rsl so d h e fc iees f h ag r h s sd o e et nrs s o x ei t f eut hwe te f etv ns o t e loi m, f l aa m a e n o sin me s t as e lr r t a d mi o s
本 总数 。其 中对于给 定子 集的期 望信 息为 :
或程 序足够 的 “ 正常 的”和 “ 常的” 审计数 据 , 异 然后应
用一个 分类 算法 训练分 类器 , 使之 可 以标识 或预测 属于正
常类 型或异 常类 型的新 的未 见过 的特征 。决策 树算 法是 比 较常用 的有效 分 类方法 ,而 I 3 D 算法是 决策树 的核 心算法 。
wi p ten t a tr ma c h th, wa ue t d tc itufn . E p r n a rsl so d h e fc iees f h ag r h s sd o e et nrs s o x ei t f eut hwe te f etv ns o t e loi m, f l aa m a e n o sin me s t as e lr r t a d mi o s
一种改进的入侵检测模式匹配算法
d tc i n t c n l g a e o n i o t n o o e t o ewo k s c rt ee t e h o o y h s b c me a mp ra t c mp n n f n t r e u i o y.T i p p r i t d c s t e b sc f i t so h s a e n r u e h a i s o n r in o u d tc i n a d i t i n d tc i n o h ee t n n r o ee t n t e BM l o i m o a tr th n n l ss n n t i b ss h mp o e o us o ag r h f r p t n mac i g a ay i,a d o h s a i,t e i r v d GBM t e p o o e lo i m fe t ey i r v s h f ce c f at r th n . r p s da g r h e c i l t v mp o e e e in y o t n mac i g t i p e
Ke y wor :ntu i n etc in; te ac ng ds i r so d e to pat r m thi ;BM l rt ;S r n ago ihm no t
引 言
随着 网络 的越来 越普 及,网络 攻击 、非 法访 问等 事件 的数 量飞 速增 长,网络 安全 形势 日益 严峻 ,网络 安 全逐 渐成 为It nt ne e及各项 网络 服务 和应 用进一 步发 展 的关键 问题 …. 《 NC R /C20 年 网络安 全 r 据 C E TC 0 9 T作报 告 》记载 : 0 9 5 1 2 0 年 月 9日晚 间 ,中 国 部 分 省 区 市 发 生 了 大 面 积 网 络 异 常 ,导 致 很 多互 联 网用 户 的 网络 中 断 或 业 务 受 到 影 响 I.据美 国 《 融 时报 》报 道 , 2 ] 金 现在 平 均每2 秒就 发生一 次计 算机 网络 人 0
模式匹配算法的研究与改进
地提 高 了系统 的检测 性 能。
【 键词】 模 式 匹配算法 ,B 算法 ,B 关 M MH 算 法
中图 分 类 号 :T 3 1 P 9 文 献 标 识 码 :A
AB T S RACT W ih t er p d d v l p e to h e wo k,h n i e s c rt u s in i o t t n i g d y b a i t u i n d t c in t h a i e eo m n f e n t r t eo l e u i q e to u sa d n a y d y, r so e e to t n y s n t c n q e n wa a s b c me h o u ih t e s ce y p y l s te to o e h i u o d y e o s t e f c s wh c h o it a sc o e a t n i n t .P t e n ma c i g a g r m sa e v r p ra t a t r th n l o ih r e y i o t n m
目前基 于 规则 人侵 检测 系统 常用 的算 法 。B 算 法 和 M KMP算 法 的不 同是 对模 式 串 的扫 描方 式 由 自左 至 右
变 成 自右至左 , 一个 是 考 虑 正文 中可 能 出现 的字 符 另 在模式 中的位 置 。这样 做 的好 处是 当正 文 中出现模 式
f r t er l — a e t u i n d t c in s s e I ie t l e c st e a c r c n e lt ep ro ma c f h y t m . ep p r o h u e b s d i r so e e to y t m. t r c l i u n e h c u a ya d r a -i e f r n eo e s s e n d y nf m t Th a e
【 键词】 模 式 匹配算法 ,B 算法 ,B 关 M MH 算 法
中图 分 类 号 :T 3 1 P 9 文 献 标 识 码 :A
AB T S RACT W ih t er p d d v l p e to h e wo k,h n i e s c rt u s in i o t t n i g d y b a i t u i n d t c in t h a i e eo m n f e n t r t eo l e u i q e to u sa d n a y d y, r so e e to t n y s n t c n q e n wa a s b c me h o u ih t e s ce y p y l s te to o e h i u o d y e o s t e f c s wh c h o it a sc o e a t n i n t .P t e n ma c i g a g r m sa e v r p ra t a t r th n l o ih r e y i o t n m
目前基 于 规则 人侵 检测 系统 常用 的算 法 。B 算 法 和 M KMP算 法 的不 同是 对模 式 串 的扫 描方 式 由 自左 至 右
变 成 自右至左 , 一个 是 考 虑 正文 中可 能 出现 的字 符 另 在模式 中的位 置 。这样 做 的好 处是 当正 文 中出现模 式
f r t er l — a e t u i n d t c in s s e I ie t l e c st e a c r c n e lt ep ro ma c f h y t m . ep p r o h u e b s d i r so e e to y t m. t r c l i u n e h c u a ya d r a -i e f r n eo e s s e n d y nf m t Th a e
一种面向入侵检测的BM模式匹配改进算法
块 。数据分析模块涉及 到两个 问题 , 即如何描述入侵行为与使 用什 么样 的算 法来快速 准确 地检测 出人侵行 为。本文针 对第
二个 问题对 入侵检测 中常用 的模 式匹配算 法进行了深入分析 , 并提 出一个新 的 B M模式 匹配改进算 法。
中其他地方出现 , 可 以将 P 向右 移 动 , 则 直接使 这部 分对 齐 ,
本字符 串 T 。 … 和长度 为 m( =T m≤n 的模式字符 串 P= )
P P …P ,M算法 的基本思想是 : 2 B
护, 有效地弥补 了防火墙 的不足 , 而且还 能结合 其他 网络安全
产品, 对网络安全进行全方位 的保 护 , 有主 动性 和实 时性 的 具
() 1 匹配从右至左进行。
且要求这一部分 尽可能 大 ,hf 函数通 过对 已经 匹配 部分 的 Si t 考查决定模式 向右移动 的距离 , 也称好 后缀启发。 由于篇幅有限 , 里不给出 Si 数组和 S i 这 hf t k p数组 的算法 , 只给 出 B M算法的 C语言描述 :
远的距离 , 两个数组 为 Si 和 Si。假设有 长度 为 n的文 这 hf t kp
It e及各 项网络服务和应用进一步发展所 需解决 的关 键问 ne t n r 题 。人侵检测技术是一种主 动的网络安全 防御措施 , 它不仅可
以通过监测 网络实现对 内部攻击 、 外部攻击和误操作的实时保
中图法分 类号 :T 3 2 P 1 文 献标识 码 :A 文章 编号 :10 —6 5 20 ) 10 8 —3 0 13 9 ( 0 6 1 -0 9 0
I r v d Alo ih o mp o e g rt m fBM o n r so t c i n f r I tu i n De e to
入侵检测中单模式匹配算法的研究与分析
重 的安 全威 胁 防火 墙技 术作 为一 种被 动 的安 全 防御机
制 来 保 证 网络 系 统 的 安 全 。 作 为防火 墙 的一种 补充 , 入侵 检 测 系统 ( I D S : I n t r u s i o n D e t e c t i o n S y s t e m) 以 主动 的方 式 。 通 过监 视 、 分 析用 户及 系统 活动 , 发 现 入 侵 企 图 或 异 常 现
为影 响 网络入侵 检测 系统性 能 的主要 因素嘲 本 文 主 要 研
究和 比较 了几种 典型 的单模 式匹 配算 法
二、 模 式 匹 配 问 题 概 述
够 跳过 一些 文本 字符 .因而使 得采 用基 于后 缀 搜索 的 模 式 匹配 算法 具有 亚 线性 的平均 时 间复 杂度 基 于 子 串搜 索 的匹配法 的搜 索 方 向与基 于后 缀 的相 同 .也 是从 后 向
式 匹 配算 法 的研 究 主 要有 寻 找更 为 简 单 的 匹配 算 法 、 寻
找 常量 空 间 的匹配算 法 、寻 找最优 平均 时 间复 杂度 的算
可 以扩展后 用 于多模 式匹 配 三、 相关 算法分 析
【 收稿 日期 】 2 0 1 3 — 0 5 — 1 0 【 作者 简 介 】 万 民( 1 9 7 7 一 ) , 男, 江西 南 昌人 , 南昌 广播 电视 大 学信 息 中心 主任 , 研 究方 向 : 计 算 机 网络 ;
一
、
引 言
法 以及 寻 找能 够 匹配 扩 展模 式 串 的算 法 等 几 个方 向 . 由 此也就 衍生 出 了众多不 同的匹配算 法
在 模 式 匹 配 的 实 现 过 程 中 .则 主 要 有 基 于 前 缀 的 搜
模式匹配及其改进算法在入侵检测系统中的应用
配 的算法 。
移 动后 重新 开 始 比较 的 位 置仅 与模 式 串 P 有关 , 而 与 目标 串 7 无 关 , 1 因此 可 以通过 下 面 的 n x e t函数
事先 确定 。 f x k <k ma { I l <歹且 P P …P 一 12
.
入侵 检 测系统 的模式 匹 配算法 的实 质就是 将 收集 到 的信息 与 已知 的网络入 侵 和系统误 用模 式数 据库 进
是 否 匹配 。若 T <>P , 分 成 两种 情况 : 则 若 =1 则 , 模 式 串右 移 一位 , 查 丁 和 P 是 否 匹配 ; 1 < 检 若 <
=m, 模 式 串 右 移 是=J n x ( ) , 查 T 和 则 — etJ 位 检 P e t 是 否 匹 配 。重 复此 过程 直 到 一优 或 i n结 n x() -
束。
m) 2 字 符集 )若 P 在 中 出现 1次或 多 次 , ∈ 5( , 则
称 匹配 成功 , 否则 称 匹配失 败 。 人 侵检 测 系统 的模 式 匹配算 法又 分为单 模式 匹配 算法 和 多模 式 匹配算法 。单 模式 匹配算 法是 指在 目标 串 中 1 只 能对 1个模 式 串进行 匹配 的算法 。多模 式 次 匹 配算法 是 指在 目标 串 中可同时对 多个 模式 串进行 匹
模 式 匹 配是指 在 给定 长度 为 的 目标 串 T=T T。
…
和 P 的 匹配 检查 。若 Tf 则继 续检 查 +和P + —P , ,1
中查 找长 度 为 的模式 串 P—P P …P 的首 次
—弋
出现或 多次 出现 的过 程 。 里 ( ≤ , , 1 ≤ 这 1 ≤ z P ( ≤歹 )
移 动后 重新 开 始 比较 的 位 置仅 与模 式 串 P 有关 , 而 与 目标 串 7 无 关 , 1 因此 可 以通过 下 面 的 n x e t函数
事先 确定 。 f x k <k ma { I l <歹且 P P …P 一 12
.
入侵 检 测系统 的模式 匹 配算法 的实 质就是 将 收集 到 的信息 与 已知 的网络入 侵 和系统误 用模 式数 据库 进
是 否 匹配 。若 T <>P , 分 成 两种 情况 : 则 若 =1 则 , 模 式 串右 移 一位 , 查 丁 和 P 是 否 匹配 ; 1 < 检 若 <
=m, 模 式 串 右 移 是=J n x ( ) , 查 T 和 则 — etJ 位 检 P e t 是 否 匹 配 。重 复此 过程 直 到 一优 或 i n结 n x() -
束。
m) 2 字 符集 )若 P 在 中 出现 1次或 多 次 , ∈ 5( , 则
称 匹配 成功 , 否则 称 匹配失 败 。 人 侵检 测 系统 的模 式 匹配算 法又 分为单 模式 匹配 算法 和 多模 式 匹配算法 。单 模式 匹配算 法是 指在 目标 串 中 1 只 能对 1个模 式 串进行 匹配 的算法 。多模 式 次 匹 配算法 是 指在 目标 串 中可同时对 多个 模式 串进行 匹
模 式 匹 配是指 在 给定 长度 为 的 目标 串 T=T T。
…
和 P 的 匹配 检查 。若 Tf 则继 续检 查 +和P + —P , ,1
中查 找长 度 为 的模式 串 P—P P …P 的首 次
—弋
出现或 多次 出现 的过 程 。 里 ( ≤ , , 1 ≤ 这 1 ≤ z P ( ≤歹 )
入侵检测系统中模式匹配算法的改进
Abtat src
It s ndt t nss m (D ) a t nl upe e tot rw l,a endvl e eoeo ekycm o et nr i e c o t uo e i y e I S ,s r i a sp l n efe alhs e eeo dt b n fh e o p nn a ao m t h i b p o t s
ag rt m sa l r td a d i l me td i h s p p r b s d o h h u h fi c e sn l e d s n e w i h atr o s n tma c . l o h i me i ae mp e n e n t i a e a e n t e t o g to n r a i g g i it c h l t e p t n d e o th i o n d a e e
0 引 言
随着 网络技术 的飞速发 展 , 网络和计 算机 系统面临 的安全 威胁 也 日趋严 重 , 侵 检测 系统 作为 一种 主动 的 、 入 实时 的人 侵检测 工具逐渐发展起来并成为 网络安全研究 的热点 。它可 以 在 不影响 网络性能 的情况下 对 网络 进行监 视 , 而提供 对 内部 从
o en t o k s c r y s se I S i f cn e h l n e u of s d v l p n f e w r e h o o y a d t e eo e n e st e i r v d ft ew r e u t y tm. D s a i g n w c al g sd e t a t e e o me to t o k t c n lg n h r fr e d o b h i e n mp o e o ss s m e oma c s t r u h al k n s o p r a h s a d t e o e ain ef in y o u e ma c i g mo u e,h ad c r f I fi y t p r r n e h o g l id fa p o c e , n h p r t f ce c fr l t hn d l t e h r o e o DS,s t e f o i i sr ih f ee y t e p r r a c f p t r th n lo i m.T r u h to o g n l s n p i r o e — oe ag r h ,h M t g t e td b h e o a e f m n e o at n mac i g a g rt e h h o g h ru h a ayi o r s may B y rMo r lo t m t e B i
入侵检测模式匹配算法的研究与改进
通过反复测试发现,在 比较的四个算法中, 新 算法 l 每次查找所口配的次数最少 , 效率方面与 B MH算法接近。 新算法 2 每次匹配的次数少于 B M 算法, 效率方面与 B M算法接近。通常在查找的模 {}l l km) k1 < ; 【叫 对应的字符的下一字符来按坏字符启发模式向右 式串出现在文本中重复率高时 , 新算法的效率明显 若模式串 P 后面 k 位和文本串 T中一致 的部 滑动相应的位数 s 一 , 重新进行比较。依次循环 , 直到 高于 B M算法和 B MH算法。 分, 有一部分存模式串 P中其他部分 观 , 则可将 完全匹配成功或都不匹配为止。 举例描述如表 3所 5J / 结 、 P向右移动, 直接使这部分对齐, 且要求这一致部分 示 : 本文通过分析 B M和 B H等模式匹配算法 , M 尽 可能 地大 。 本例中按改进后的算法匹配了四趟 , 比较了 提出了…种以 B 共 M算法思想为基础,结合 B MH算 B M算法德语处理时间复杂度为 0m s空问 7 6 。 (+】 , +次 法的简化思想的进一步改进 B M算法的方法。 该算 复杂度为 (s, )j f 搜索阶段时间复杂度为 Omn。最坏 () 改进 后的算法预处理时间复杂度为 0 , 空 法采用了 B M算法中的跳跃比较思想和 B H简化 M 情况下要进行 3 n次比较 ,最好 情况下的时间复杂 间复杂度为 0s搜索阶段时间复杂度为 Om ) f, 】 (n。 方法以及向下一位匹配的思想 , 进而简化了初始化 度为 ( ̄n。 XCO其中 m为模式串 P的长度, n为文本串 在模式串 P中重复的字符较多时或 T中字符 过程, 加大了匹配失败后向后跳跃的幅度 , 减少了 T的长度,是与 PT相关的有限宁符集长度。 s 、 大多在模式 串 P 现时 , 中 该算法可进一步改进 比较次数 , 提高了模式匹配效率。通过算法测试比 2 MH算 2 .B 为, 若文本串T中与 模式串 P 最后字符对应的字符 较 , 达到了预期效果 。 B M算法为了确定在不匹配的情况下最大的 以及其下—个字符都出现在模式串 P中, 比较两 则 参 考文献 可行移位距离而使用了两种启发, 即坏字符和好后 者最终按坏字符启发需要滑动的距离大小, 然后按 川 伊 刘培玉_ 入侵检测中 模式匹配算法的 究l 研 J I . 缀启发。两种启发均能导致最大为 m 若于模式串 滑动距离大的字符滑动, ( 重新进行比较。 计算机应用与软件2 O22 ) 2 14 O 5 n:1_ 1. 1 进 一 步 的改 进 后 的 『牟永钦 李美贵, 入侵检测系统中模式匹配算 2 1 梁琦. 表 3 改进 算 法 1匹配过 程 算法增加了预处理时间 , 法的研究叽电子学 ̄ 2 0 41)4 8 0 6 (228 — 3 : 又章 串 T s a s r c h 1 n g s e a s r s h i s e a r h … 4 0 和 比较选择滑 动距 离的 2 9 . 第一次 s e a r c l ’ 时间。由于只是在必要时 f贺龙涛, 3 ] 方滨兴, 余翔湛. 一种时间复杂度最优 的精 第 二孜 s e a r c h 进行简单的大小 比较 , 进 确 串匹配算法l. J软件学报2 0 , (:7  ̄8. 1 0 5 5 6 6 3 1 1 6 三次 s e | l c h 1 第 四次 s e a r c h 行 比较所花 费的时间不 IJ 孙克雷. 4 I DS中一种快速模式匹配算法lI J 安徽理 . 说明 带 下划线 字母 衷示 发 生不匹 配,相 体 字母 代表 产生启 发 的字母 。 会太多。 该算法能够确保 工 大学 学4 2 0 2 0  ̄ 0 6 6
网络入侵检测系统模式匹配算法研究
周延 森 汪永好 ,
(.国 际关 系学 院 信 息科技 系,北京 109 ;2 1 00 1 .北京 电子 科技 学院 计 算机 科 学 与技 术 系, 北 京 107) 000
摘 要 : 式 匹配 算法是 网络入侵 检 测 中的关键 所在 , 模 它直接 影响 到 网络入 侵检 测 系 的实时检 测性 能。引入 4种模 式 匹配 算法, 分析 其 工作 原理 , 通过 实验对 上述 4 算法 进行 了性 能测试 。 种 根据 实验 结果 , 出了不 同算法 的应 用 范围 , 得 为今 后入侵
检 测 系统 开发者 选择模 式 匹配算 法提供 了有价 值 的参考 。
关键词: 入侵检测;模式 匹配;羊模 匹配;多模 匹配;有限 自动机 中图法分类号:P0 文献标识码: 文章编号:00 04  ̄o) 715—3 T 39 A 10— 2 ( 80— 2 7 o 6 0
Re e r h o atr ac i gag rtmi f ewo k i t so ee t n s se s a c n p t n m th n l o i e h co t r r in d t ci y tm n n u o
Ab t a t P t r th n l o t m si o tn ewo k i t so e e to y t m, wh c f e c sr a m e d t ci n p ro - sr c : at n mac i g ag r h i e i mp r t n n t r r in d t ci n s se a i nu i h i l n e e l i e e to ef r n u t ma c f e o k i t so ee t n s se 。F u a e ma c i g ag rtm sa ei to u e , t e er r i g p n i l n se n eo n t r r in d t c i y tm w n u o o r  ̄ m th n l o i p h r r d c d h n t i wo k n r cp ea dt t d n h i e p ro m a c f o at r th n l o t m r u h e p rme t r ay e .Ac o d n x e i n s l t n u e p l i grn e e r n eo f u p t n ma c i ga g r h t o g e f r e i h x i n ea l z d a n c r i ge p rme t e u t s s p y n g r ,i e r a a o fe e t l o i m , p o i e  ̄ f l e e e c f e e t g p  ̄ m t h n l o i m r e e o i gNI 。 f i r n g rt d a h r v d  ̄u e a r f r n eo  ̄ lci a e ma c i g a g r h f v l p n D8 i n t o d Ke r s i tu i n d t ci n p ten ma c i g sn l d th n ; mu t d th n ; f i u o tn y wo d ; n r s ee to ; atr th n ; i g emo ema c i g o l mo ema c i g i t a t mao i n e
(.国 际关 系学 院 信 息科技 系,北京 109 ;2 1 00 1 .北京 电子 科技 学院 计 算机 科 学 与技 术 系, 北 京 107) 000
摘 要 : 式 匹配 算法是 网络入侵 检 测 中的关键 所在 , 模 它直接 影响 到 网络入 侵检 测 系 的实时检 测性 能。引入 4种模 式 匹配 算法, 分析 其 工作 原理 , 通过 实验对 上述 4 算法 进行 了性 能测试 。 种 根据 实验 结果 , 出了不 同算法 的应 用 范围 , 得 为今 后入侵
检 测 系统 开发者 选择模 式 匹配算 法提供 了有价 值 的参考 。
关键词: 入侵检测;模式 匹配;羊模 匹配;多模 匹配;有限 自动机 中图法分类号:P0 文献标识码: 文章编号:00 04  ̄o) 715—3 T 39 A 10— 2 ( 80— 2 7 o 6 0
Re e r h o atr ac i gag rtmi f ewo k i t so ee t n s se s a c n p t n m th n l o i e h co t r r in d t ci y tm n n u o
Ab t a t P t r th n l o t m si o tn ewo k i t so e e to y t m, wh c f e c sr a m e d t ci n p ro - sr c : at n mac i g ag r h i e i mp r t n n t r r in d t ci n s se a i nu i h i l n e e l i e e to ef r n u t ma c f e o k i t so ee t n s se 。F u a e ma c i g ag rtm sa ei to u e , t e er r i g p n i l n se n eo n t r r in d t c i y tm w n u o o r  ̄ m th n l o i p h r r d c d h n t i wo k n r cp ea dt t d n h i e p ro m a c f o at r th n l o t m r u h e p rme t r ay e .Ac o d n x e i n s l t n u e p l i grn e e r n eo f u p t n ma c i ga g r h t o g e f r e i h x i n ea l z d a n c r i ge p rme t e u t s s p y n g r ,i e r a a o fe e t l o i m , p o i e  ̄ f l e e e c f e e t g p  ̄ m t h n l o i m r e e o i gNI 。 f i r n g rt d a h r v d  ̄u e a r f r n eo  ̄ lci a e ma c i g a g r h f v l p n D8 i n t o d Ke r s i tu i n d t ci n p ten ma c i g sn l d th n ; mu t d th n ; f i u o tn y wo d ; n r s ee to ; atr th n ; i g emo ema c i g o l mo ema c i g i t a t mao i n e
基于Snort入侵检测系统模式匹配改进算法研究
改进 ,使其在实际应 用 中提 高信息安 全防 范能 力。
关 键 词 : 网络 入 侵检 测 ;S r;B n t M算 法 ;W — abr 法 o u M ne算
Ba e n Sn r n a i n s d o o t I v s o Ex mi a i n a n to Sy t m Mo e Ma c I r v me t se d l t h mp o e n
Al o ih Re e r h g rt m s a c
Y N J n , E G a 一 A G u D N F 唱
(unzo a/ t n o g v eay s o fm dna0tec m nal n/en / t ̄. Ga hunvde t Cl el e s c/ ho z o ao n 打 o ui tne n rd m#u d g s e l e lp / ̄ c l ̄ r e m c  ̄ dei
能 :数 据 包嗅探 、数 据包 记 录 、入侵 检 测等 。其 工
类 ,分 别 是基 于异 常 的入 侵 检 测和 基 于规 则 的 入侵
检 测 。其 检 测 算 法种 类 繁 多 ,诸 如 专 家 系统 、模 式 匹 配 、数 据 挖 掘 、统计 方 法 以及 免 疫 学 等 ,其 中模
oe a i a c a nl b t n h v s ] ent ewok, t e y t m ay O e e e h o tie h a tc a d h d srcin, te n oma in p rto l h n e, u i n te a t n re n t r t h s se e s t rc i t e u s te t a k n t e e tuto v d h i r t f o
关 键 词 : 网络 入 侵检 测 ;S r;B n t M算 法 ;W — abr 法 o u M ne算
Ba e n Sn r n a i n s d o o t I v s o Ex mi a i n a n to Sy t m Mo e Ma c I r v me t se d l t h mp o e n
Al o ih Re e r h g rt m s a c
Y N J n , E G a 一 A G u D N F 唱
(unzo a/ t n o g v eay s o fm dna0tec m nal n/en / t ̄. Ga hunvde t Cl el e s c/ ho z o ao n 打 o ui tne n rd m#u d g s e l e lp / ̄ c l ̄ r e m c  ̄ dei
能 :数 据 包嗅探 、数 据包 记 录 、入侵 检 测等 。其 工
类 ,分 别 是基 于异 常 的入 侵 检 测和 基 于规 则 的 入侵
检 测 。其 检 测 算 法种 类 繁 多 ,诸 如 专 家 系统 、模 式 匹 配 、数 据 挖 掘 、统计 方 法 以及 免 疫 学 等 ,其 中模
oe a i a c a nl b t n h v s ] ent ewok, t e y t m ay O e e e h o tie h a tc a d h d srcin, te n oma in p rto l h n e, u i n te a t n re n t r t h s se e s t rc i t e u s te t a k n t e e tuto v d h i r t f o
模式匹配算法的研究与改进
闵联营 , 赵婷婷
( 武汉理工大学计 算机科 学与技术学院, 湖北 武汉 406 ) 303
摘要 :Байду номын сангаас随着网络 的迅速发展 , 网络安全 问题 日益突 出, 入侵检 测技 术也成为 当今 社会关 注的焦点。对 于基 于规 则的入侵
检测来说 , 匹配算法非常重要 , 模式 它直接影响到 系统的准确性和 实时性能 。本 文介 绍 了 K P B M 和 M算法 , B 对 M算法
b sd it so e cinss m.I dr t f e csteac rc n a-mepf n a c ftesse .T epp rnh tc MP ae r in dt t yt nu e o e t i l il ne cua ya dr li e o n neo h t e y nu c h e t y m h e txu e K a i s
样, 检测准确率和效率都很高。
生。传统的防火墙技术 已经难以单独保障网络的安
全 , 络入 侵 检 测 系 统. e o nui e co 网 ( t r I r o Dt tn N w k t sn e i Ss m N )) ye , ⅡS作为一种积极主动的安全防护技术 , t 已
MI L a ・ h , HAO n —ig N in y g Z Tig t n
( oeeo C m u r c neadTcnl y Wua n esyo T ho g,Wua 30 3 h a Cl g f pt i c n eho g , hnU i rt f e nl y l o e Se o v i c o hn40 6 ,C i ) n
的改进进行 了研究 , 并提 出一种改进的 B M算法。改进后的算法运 用到入侵检测 系统模型 中极 大地提 高了检测性能。
( 武汉理工大学计 算机科 学与技术学院, 湖北 武汉 406 ) 303
摘要 :Байду номын сангаас随着网络 的迅速发展 , 网络安全 问题 日益突 出, 入侵检 测技 术也成为 当今 社会关 注的焦点。对 于基 于规 则的入侵
检测来说 , 匹配算法非常重要 , 模式 它直接影响到 系统的准确性和 实时性能 。本 文介 绍 了 K P B M 和 M算法 , B 对 M算法
b sd it so e cinss m.I dr t f e csteac rc n a-mepf n a c ftesse .T epp rnh tc MP ae r in dt t yt nu e o e t i l il ne cua ya dr li e o n neo h t e y nu c h e t y m h e txu e K a i s
样, 检测准确率和效率都很高。
生。传统的防火墙技术 已经难以单独保障网络的安
全 , 络入 侵 检 测 系 统. e o nui e co 网 ( t r I r o Dt tn N w k t sn e i Ss m N )) ye , ⅡS作为一种积极主动的安全防护技术 , t 已
MI L a ・ h , HAO n —ig N in y g Z Tig t n
( oeeo C m u r c neadTcnl y Wua n esyo T ho g,Wua 30 3 h a Cl g f pt i c n eho g , hnU i rt f e nl y l o e Se o v i c o hn40 6 ,C i ) n
的改进进行 了研究 , 并提 出一种改进的 B M算法。改进后的算法运 用到入侵检测 系统模型 中极 大地提 高了检测性能。
入侵检测中一种新的多模式匹配算法
关 键词 :入侵 检测 ;多模式 匹配 ;A C算法 ;WuM ne 算法 ;A — 算法 — abr CWM
中图分类 号 :T 3 3 0 P9.8 文献标 志码 :A 文章编号 :10 —6 5 2 0 ) 8 2 7 ・3 0 1 39 (0 8 0 — 44 0
Ne mutpe p t r smac ig ag rt m n itu in d tcin w l l at n th n lo i i e h i nr so ee to
p ep t r smac ig ag r h ,s c sAC ag r h n — n e g r h i at n th n l o i ms u h a oi m a d Wu Ma b ra oi m,a d t e r s n e e l p e p t r s e t l t l t n n p e e td a n w mu t l atn h i e
随着 网络技术的发展 , 网络 环境 变得越来 越复杂 , 对于 网 络安全来说 , 单纯 的防火墙技术 暴露 出明显 的不足和弱 点 , 如 无法解决安全后 门问题 ; 不能阻止 网络 内部攻 击 ; 能提供实 不 时入侵检测能力 ; 对于病毒束 手无策等 。入侵检测 系统是继防 火墙和信息加密等安全保 障技 术之后 出现的新一代 网络 安全 防护系统 , 能够有效地弥补上述安全系统的不足。它通过对计 算机网络或计算机系统 中的若 干关键点 收集信息并对其 进行
李 庚 , 韩 进 , 谢 立
( 南京 大学 a 计算机 科学与技 术 系 ;b 软件 新技 术 国家重点 实验 室,南京 2 0 9 ) . . 10 3 摘 要 :基 于模 式 匹配的检 测方法是 目前入侵检 测 系统的一种 重要 方法 , 因此作 为模 式 匹配方法核 心 的字符 串
改进的模式匹配算法在入侵检测中的应用
no d ysb c m e h o usw hih t e l ysco e atnto o. wa a e o st e f c c he p ope pa l s te i n t An fc t n r cs te ac i lort m si po tn o e e ve a d p e ie patr m t hng ag ih i m i n ra tt i m son d c ton s se .I t i pe ,b s d on t nays  ̄ s ng patr m ac i g ag it sp op e n i ht i e ei y tm n hspa r a e he a l i ofe t te n t h n lor hm ,r osd a mpr ve lor t m o s i o d ag u h f r
Vo. , . Fe r ay 2 1 , P 8 — 2 1 No4, b u r 0 0 P . 21 8 3 6
改进 的模 式 匹配算 法 在入 侵 检测 中的应 用
汪 勇 大
( 尔 滨 理工 大 学 计 算 机科 学 与 技 术 学 院 , 龙 江 哈 尔 滨 10 8 ) 哈 黑 5 0 0
_
多的 字符 . 实现 更快 的 匹配 过 程 。 实验 证 明 , 改进 后 的 算 法 大 大提 高 了检 测 的 性 能 。 关 键词 : 入侵 检 测 : 式 配 ; M 算 法 ; C 算 法 ; C B 算 法 模 B A A _ M
中 图分 类 号 : 3 9 TP 0 文 献 标 识码 : A 文章 编号 :0 9 3 4 (0 00 — 8 1 0 1 0 — 0 4 2 1 )4 0 2 — 3
外 界 的 攻击 与破 坏 , 息 的 安 全保 密性 受 到严 重 影 响 。 网 络安 全 问 题 已 成 为 世 界 各 国政 府 、 业 及 广 大 网 络 用 户 最 关 心 的 问题 之 信 企
Vo. , . Fe r ay 2 1 , P 8 — 2 1 No4, b u r 0 0 P . 21 8 3 6
改进 的模 式 匹配算 法 在入 侵 检测 中的应 用
汪 勇 大
( 尔 滨 理工 大 学 计 算 机科 学 与 技 术 学 院 , 龙 江 哈 尔 滨 10 8 ) 哈 黑 5 0 0
_
多的 字符 . 实现 更快 的 匹配 过 程 。 实验 证 明 , 改进 后 的 算 法 大 大提 高 了检 测 的 性 能 。 关 键词 : 入侵 检 测 : 式 配 ; M 算 法 ; C 算 法 ; C B 算 法 模 B A A _ M
中 图分 类 号 : 3 9 TP 0 文 献 标 识码 : A 文章 编号 :0 9 3 4 (0 00 — 8 1 0 1 0 — 0 4 2 1 )4 0 2 — 3
外 界 的 攻击 与破 坏 , 息 的 安 全保 密性 受 到严 重 影 响 。 网 络安 全 问 题 已 成 为 世 界 各 国政 府 、 业 及 广 大 网 络 用 户 最 关 心 的 问题 之 信 企
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
由于 计 算 机 网 络 自身 存 在 的 局 限 性 和信 息 系统 的脆 弱 性 , 得 计 算 机 网 络 系 统 上 的 硬 件 资 源 , 信 资源 , 件 及ห้องสมุดไป่ตู้信 息 资 源 等 因 使 通 软 为各 种 原 因而 遭 到 破坏 、 改 、 露 或功 能失 效 , 得 信 息 系 统处 于异 常状 态 , 至 引起 系 统 的崩 溃 瘫 痪 , 成 巨 大 的 经 济 损 失 。 在 更 泄 使 甚 造 这样 的形 式 下 , 以保 护 网 络 中 的信 息免 受 各 种攻 击 为 目的 的 网 络安 全 变 得 越 来 越 重 要 , 安 全 方 面 的 考 虑 提 高 到 了越 来 越 重 要 的 对 地位 上 。
朱 余 俊。强
( 合肥 工 业 大 学 计 算 机 与 信 息 学 院 , 徽 合 肥 2 0 0 ) 安 3 6 1
摘 要 : 基 于入 侵 检 测 系统 来说 . 式 匹配 算 法是 基 于特 征 匹 配 的入 侵 检 测 系统 中的核 心 算 法 , 是 当前 入 侵 检 测 设 备 中普 遍 应 用 对 模 也
Re s h n n m p o i g o te n M a c i g Al o i m n r so t c i n S se a c iga d I r vn f Pa t r th n g rt h i I t u in Dee to y tm n
Z HU n a g J . Qi u YU n (c o l f o p t & Ifr t n He i ie i f eh o g , f 3 6 1 C i a S h o m ue oC r noma o , f v r t o c n l y He i 0 0 , hn ) i e Un s y T o e2 A s a t F r h t s nDe c o yt ( ) p t m ac iga oi m a do a r m th git s n d tc o s m b t c : o eI r i t t n S s m I , a e m t n g r h i b s n f t e ac n r i eet n s t i r t n uo ei e DS t h l t s e eu i nuo i ye n
的 算 法 。 它的 效 率 直接 影 响 到 入 侵 检 测 系统 的 准确 性 和 实 时性 , 章 通 过 对 模 式 匹配 算 法 的 改 进 , 出 了一 种 改进 的 算 法 , 匹配 文 提 在
文 本 中 重复 字 符 串较 多 时 , 算 法 可 以加 快 入 侵检 测 系统 的检 测 速 度 , 高现 有 入 侵 检 测 系统 的检 测 能力 。 该 提 关 键 词 : M 算 法 ; 侵 检 测 系统 (DS ; 式 匹配 B 入 I )模 中 图分 类 号 : P 9 T 33 文 献 标 识码 : A 文 章编 号 : 0 9 3 4 (0 0 0 — 1 1 0 1 0 — 0 4 2 1 )5 1 0 — 3
itu in d t c o s m ee t n c p bl . nrs eet n s t o i y e d tc o a a i t i i y
K y w r s B a o tm;nr s n d tc o s m( ) p t r t n e o d : M g rh it i eet n s t I ; a e ma h g l i uo i y e DS tn c i
Vo ., . , e r r 0 0 P . 1 —1 0 1 No 5 F b ua y 2 1 , P 1 01 1 3 6
T l 8— 5 - 6 0 6 5 9 9 4 e: 6 5 5 9 9 3 + 1 6 06
入侵 检 测 系统 中一 种模 式 匹配算 法 的研 究 与 改进
I SSN 1 0 - 0 4 0 9 3 4
E mal if @c c . e.a — i n o c cn t : c
h t /www. z .e .a tp: / dn sn tc
C mp t K o l g n e h o g o u r n we ea d T c n l y电脑 知 识 与技术 e d o
t o e ago t m ,b s h ure ti r i n d t c on e i e tw i l s d ago i he c r l r h i uta o t e c r n ntuso e e t qupm n dey u e l i l rt s t fiinc d r cl fe t he a c r c f hm .Ise ce y ie ty a cst c u a y o itu i tc on s se sa e —t e h e a t l h ou h m pr e atr m th n g ih sp o osd n m pr ve ago t m ,r - n r son dee t y tm nd r a i ,t r ce t r g i i l m i ov d p ten a c g a ort m i r p e a i i l o d l r h i e pe t d i he m ac i e ti sm o e,t g it a s e hei r son dee to y t m e d tc o r t,u r d e e itn ae n t th ng txtsrng r hea or hm c n pe d up t ntu i tci n sse t e e t n ae pg a e t xs g l h i h i