入侵检测系统中多模式匹配算法的研究与改进
- 格式:pdf
- 大小:235.94 KB
- 文档页数:4
下载文档原格式
合集下载
多模式匹配算法及其在入侵检测系统中的应用研究
多模式匹配算法及其在入侵检测系统中的应用研究多模式匹配算法是一种用于在文本中查找多个模式的算法。
它在入侵检测系统中的应用非常广泛,可以用于检测网络流量中的恶意代码、攻击行为等。
多模式匹配算法的基本思想是将多个模式串构建成一棵Trie树,然后在文本串中进行匹配。
Trie树是一种特殊的树形结构,它的每个节点代表一个字符,从根节点到叶子节点的路径表示一个模式串。
在匹配时,从文本串的第一个字符开始,依次在Trie树上匹配,如果匹配失败,则回溯到上一个匹配成功的节点继续匹配。
多模式匹配算法的时间复杂度取决于模式串的数量和长度。
如果模式串数量和长度都很大,那么算法的时间复杂度会非常高。
为了提高算法的效率,研究者们提出了许多优化算法,如AC自动机算法、双数组Trie树算法等。
AC自动机算法是一种基于Trie树的改进算法,它在Trie树的基础上增加了一个失败指针,用于在匹配失败时快速回溯到上一个匹配成功的节点。
双数组Trie树算法则是将Trie树转化为两个数组,一个存储节点的子节点,另一个存储节点的失败指针,从而减少了空间的使用。
在入侵检测系统中,多模式匹配算法可以用于检测网络流量中的恶意代码、攻击行为等。
例如,可以将病毒、木马等恶意代码的特征构建成多个模式串,然后使用多模式匹配算法在网络流量中进行匹配,如果匹配成功,则说明网络中存在恶意代码。
另外,多模式匹配算法还可以用于检测网络中的攻击行为。
例如,可以将常见的攻击行为的特征构建成多个模式串,然后使用多模式匹配算法在网络流量中进行匹配,如果匹配成功,则说明网络中存在攻击行为。
总之,多模式匹配算法是一种非常重要的算法,在入侵检测系统中有着广泛的应用。
随着网络安全威胁的不断增加,多模式匹配算法的研究和优化将会越来越重要。
入侵检测系统中的模式匹配算法研究
方 向。 关 键 词 : 侵 检 测 ; 式 匹 配 ; MP算 法 ; M 算 法 ; C算 法 ; 端 分段 匹 配算 法 入 模 K B A 两
中图 分 类 号 :P 0 T31
文 献 标 识 码 : A
文 章 编 号 :6 3 18 (0 0 0 — 19 0 17 — 9 0 2 1 )2 0 5 — 4
常快 , 实际 比较次数只有 目标 串长度 的 2 %~ 0 0 3%。
符 不 匹 配 , 将模 式 串右 滑 距 离 d , 则 )执行 由 P m与
+ ) d 起始 的 自右 至左 的匹配检 查 。 M 算法采 用两 B 条规则 计算 模 式 串右移 的距离 : 后 缀 移动 和 坏字 好 符 移动 。 ( ) 后缀 移动 , 1好 分两种 情况 。
收 稿 日期 : 0 9 0 — 0 2 0 — 9 3
发 . oe 和 Mor 提 出一种 新 的快速 字符 串匹 配算 B yr oe
法一 B 算 法 [ l M 。 . 6
B 算法 基 本思 想是 :开始 时 将 目标 串 与模 M
式 串 P左对 齐 , 自右 至左 逐个 字符 进行 比较( 即首先
1 单 模 式 匹 配 算 法
() 1 模式 匹 配 。在 给定 长度 为 凡的 目标 串 中
查找 长度 为 m 的模 式 P首 次 或多 次 出现 的过程 ,
,
m xklkj且 P … : a{l < , < 2
n x ̄= et] 0
一
∥‘ 。 ‘ ) 一
集 合非 空 其 他情况 j o时 =
等传统 安 全保护 措施后 的新 一代 安 全保 障技术 。模
式 匹配算法 是基 于特 征匹 配 的入 侵检 测 系统 中的核 心算 法 。据 统计 , 现在 大约 9 %的入 侵 检 测都 是 特 5 征 匹配 的人 侵检 测 。 由此 可见 , 式 匹 配算 法 性 能 模 的优劣 直接 影响 到入侵 检测 系统 的效 率 。在此介 绍 几 种用 于入侵 检 测 的经 典模 式 匹 配算 法 . 在 此基 并 础 上提 出一种 入 进算 法 . 后 给 出人 侵 检测 系 统 中 最 模 式匹 配算法 的选 择策 略 。
中图 分 类 号 :P 0 T31
文 献 标 识 码 : A
文 章 编 号 :6 3 18 (0 0 0 — 19 0 17 — 9 0 2 1 )2 0 5 — 4
常快 , 实际 比较次数只有 目标 串长度 的 2 %~ 0 0 3%。
符 不 匹 配 , 将模 式 串右 滑 距 离 d , 则 )执行 由 P m与
+ ) d 起始 的 自右 至左 的匹配检 查 。 M 算法采 用两 B 条规则 计算 模 式 串右移 的距离 : 后 缀 移动 和 坏字 好 符 移动 。 ( ) 后缀 移动 , 1好 分两种 情况 。
收 稿 日期 : 0 9 0 — 0 2 0 — 9 3
发 . oe 和 Mor 提 出一种 新 的快速 字符 串匹 配算 B yr oe
法一 B 算 法 [ l M 。 . 6
B 算法 基 本思 想是 :开始 时 将 目标 串 与模 M
式 串 P左对 齐 , 自右 至左 逐个 字符 进行 比较( 即首先
1 单 模 式 匹 配 算 法
() 1 模式 匹 配 。在 给定 长度 为 凡的 目标 串 中
查找 长度 为 m 的模 式 P首 次 或多 次 出现 的过程 ,
,
m xklkj且 P … : a{l < , < 2
n x ̄= et] 0
一
∥‘ 。 ‘ ) 一
集 合非 空 其 他情况 j o时 =
等传统 安 全保护 措施后 的新 一代 安 全保 障技术 。模
式 匹配算法 是基 于特 征匹 配 的入 侵检 测 系统 中的核 心算 法 。据 统计 , 现在 大约 9 %的入 侵 检 测都 是 特 5 征 匹配 的人 侵检 测 。 由此 可见 , 式 匹 配算 法 性 能 模 的优劣 直接 影响 到入侵 检测 系统 的效 率 。在此介 绍 几 种用 于入侵 检 测 的经 典模 式 匹 配算 法 . 在 此基 并 础 上提 出一种 入 进算 法 . 后 给 出人 侵 检测 系 统 中 最 模 式匹 配算法 的选 择策 略 。
基于多模式匹配的入侵检测系统研究与改进的开题报告
基于多模式匹配的入侵检测系统研究与改进的开题报告一、研究背景随着互联网技术的广泛应用,信息安全问题愈发严重。
针对网络黑客、病毒、恶意软件等攻击方式,研究基于多模式匹配的入侵检测系统具有重要意义。
传统的入侵检测系统主要基于特征匹配、统计分析、机器学习等方法,存在一定局限性。
基于多模式匹配的入侵检测系统通过对攻击行为的详细样本库建立多模式匹配规则集,既能检测出已知的攻击模式,也能对未知的攻击模式进行识别,提高了入侵检测系统的准确性和实用性。
二、研究对象本研究主要针对基于多模式匹配的入侵检测系统进行研究。
包括对多模式匹配算法的优化、样本库的更新和管理、入侵检测系统的性能评估等方面。
三、研究内容1. 算法优化:结合基于多模式匹配算法的原理,针对其算法特点进行优化,提高入侵检测系统的性能。
2. 样本库的更新和管理:收集和分析现有的攻击样本数据集,并建立有效的样本库管理机制,保证入侵检测系统的检测能力和精度。
3. 入侵检测系统的性能评估:针对已有的多模式匹配入侵检测系统,设计相应的测试方案,对其性能进行评估和分析,优化其检测能力和实用性。
四、研究方法1. 文献分析法:对基于多模式匹配的入侵检测系统相关文献进行阅读和分析,掌握该领域的研究现状和前沿发展。
2. 算法优化法:根据基于多模式匹配算法的特点,结合实际应用需求,进行算法优化,提高入侵检测系统的性能。
3. 实验研究法:通过搭建实验测试平台,实现入侵检测系统的设计、测试和评估,掌握其性能表现和实际应用情况。
五、研究意义本研究将通过对入侵检测系统的多模式匹配算法优化和样本库管理机制的建立等方面进行研究,提高入侵检测系统的检测能力和实用性,为保障信息安全提供有力技术支撑。
入侵检测模式匹配算法研究
络数据分析 、 匹配 . 判断网络中是否有 入侵企图。f 定所有入侵行为和手
系统 一般不单独采川 K uh PatMor 算法 .而是配 合其他算法 n t— rt ri — s
共同实现。
段( 及其变种 ) 都能够表达 为一种模式或特 征 , 那么所有 已知的入侵方 法 都可 以用模式匹配 的方法 发现 。一般 意义上的模式 匹配算法非 常多 , 本 文只研究 与入侵检测直接 相关 的算法 ,主要有 Bu r 算法 , n t rt F c eoe Ku — h
PatMor 算法 ,oe— oe rt — rs i B yr Mor 算法 、h — o ik算法 、e— i oe— A o C ms c s Iw s B yr e Mor— rpo 算法 ,h — o ik B yr Mor 算法 。 oe Hosol A o C ms — oe— o e c
B yrMoe 算法先将 P T左端对齐 .然后按 照从右 向左的模式从 oe— or , 摸式 串最右一个字符开始扫描 。在不匹配的情况下 ( 或者整个字符串完
全匹配 ) , 它用两个预处理 函数决定右移的长度 。 这两个 函数分别 叫做好
后缀移 动函数 ( 叫匹配移动 ) 也 和坏字符移动 函数 ( 叫出现移动 ) 也 。
法、 oe' oe 算法 、 h — oaik算法 、e- i oe— or— o po 算法和 A o B yrMo r A o C rs c S tws B yr M oe H m ol e h—
C rs c o aik
—
B yrM oe算法。 oe— o r
文献标识码 : A
23 系 统应 用 -
1 B u oc rt F re算法 e
系统 一般不单独采川 K uh PatMor 算法 .而是配 合其他算法 n t— rt ri — s
共同实现。
段( 及其变种 ) 都能够表达 为一种模式或特 征 , 那么所有 已知的入侵方 法 都可 以用模式匹配 的方法 发现 。一般 意义上的模式 匹配算法非 常多 , 本 文只研究 与入侵检测直接 相关 的算法 ,主要有 Bu r 算法 , n t rt F c eoe Ku — h
PatMor 算法 ,oe— oe rt — rs i B yr Mor 算法 、h — o ik算法 、e— i oe— A o C ms c s Iw s B yr e Mor— rpo 算法 ,h — o ik B yr Mor 算法 。 oe Hosol A o C ms — oe— o e c
B yrMoe 算法先将 P T左端对齐 .然后按 照从右 向左的模式从 oe— or , 摸式 串最右一个字符开始扫描 。在不匹配的情况下 ( 或者整个字符串完
全匹配 ) , 它用两个预处理 函数决定右移的长度 。 这两个 函数分别 叫做好
后缀移 动函数 ( 叫匹配移动 ) 也 和坏字符移动 函数 ( 叫出现移动 ) 也 。
法、 oe' oe 算法 、 h — oaik算法 、e- i oe— or— o po 算法和 A o B yrMo r A o C rs c S tws B yr M oe H m ol e h—
C rs c o aik
—
B yrM oe算法。 oe— o r
文献标识码 : A
23 系 统应 用 -
1 B u oc rt F re算法 e
入侵检测中BM模式匹配算法和改进.
入侵检测中BM模式匹配算法和改进入侵检测是一种动态的安全防护手段,它能主动识别入侵信息,为网络系统提供安全保护。
模式匹配技术是入侵检测系统识别攻击行为的主要技术,它能够快速探测攻击的存在,具有误报率低、准确性高、实用性强等优点。
在高速网络环境下,入侵检测的速度有可能跟不上数据包传输速率,导致攻击行为的漏报,因而入侵检测系统的检测速度越来越成为其获得实效的瓶颈之一。
降低入侵检测中常用的模式匹配算法的时间复杂度和空间复杂度是提高检测性能的一种有效途径。
本文的研究重点是对入侵检测中使用的模式匹配算法进行研究和改进。
本文首先对入侵检测的现状进行了分析,重点研究了网络入侵检测的核心技术——模式匹配。
研究从模式匹配方法的原理出发,提出了其面临的问题。
在此基础上,对当前最流行的BM算法从原理到性能进行了详细地分析和讨论。
BM算法拥有较好的匹配效率,但是它不能记录上一次匹配结果,而且算法的预处理过程也会带来较大的内存占有量。
本文从时间复杂度和空间复杂度两个方面进行了算法的改进研究,分别提出两种改进算法:BMLT和BMLS。
BMLT通过设定一个新的预处理函数来计算移动量,能有效增加模式串的移动距离。
BMLS通过减少处理规则和判断坏字符在模式串中出现的次数,能在对时间复杂度影响不大的前提下,减少算法的空间复杂度。
本文利用著名的开源入侵检测系统Snort和实际的网络环境,从匹配速度和空间占用两方面对BMLT和BMLS算法进行了测试分析,并与BM算法进行了比较。
相比改进前,算法的时间复杂度最多减少了60%,空间复杂度最多减少了26%。
实验结果表明两种算法均能有效地提高入侵检测的性能。
【相似文献】[1]. 李洋,王康,谢萍.BM模式匹配改进算法[J].计算机应用研究, 2004,(04)[2]. 徐成,孙伟,戴争辉,喻飞.一种面向入侵检测的BM模式匹配改进算法[J].计算机应用研究, 2006,(11)[3]. 梁志荣.具有入侵检测技术的个人防火墙实现[J].网络安全技术与应用, 2006,(04)[4]. 罗峰.入侵检测系统与技术研究[J].电脑知识与技术(学术交流),2006,(17)[5]. 闾浩,何安元.基于IPV6网络入侵检测技术的研究[J].福建电脑,2007,(03)[6]. 邓晓辉,胡丹.网络入侵检测技术[J].南昌高专学报, 2006,(04)[7]. 程拥军.浅谈入侵检测技术[J].湖南冶金职业技术学院学报, 2006,(03)[8]. 庄绪春,孟相如,韩仲祥.高速网络环境中入侵检测技术探讨[J].信息与电子工程, 2006,(04)[9]. 赵准剑.入侵检测技术与计算机网络安全问题思考[J].湖南行政学院学报, 2006,(06)[10]. 兰义华,张颕江,钱涛.入侵检测技术的分析与发展趋势研究[J].网络安全技术与应用, 2005,(08)【关键词相关文档搜索】:计算机技术; 网络安全; 入侵检测; 模式匹配; BM算法; 算法改进【作者相关信息搜索】:浙江工业大学;计算机技术;陈庆章;杜丰;。
基于WM算法改进的多模式匹配算法
J l 0 1 uy2 1
文章编 号:6 15 9 ( 0 1 0 -330 17 -8 6 2 1 ) 40 8 -5
基 于 WM算 法改进 的多模式 匹配算法
董迎 亮 ,玄雪花 ,王德 民
( 吉林大学 a .计算机科学与技术学院 ; .网络 中心, b 长春 10 1 ) 3 02
段。
在高速网络环境中 ,如果模式匹配算法不能满足处理大量实时网络数据包的要求 ,入侵检测系统必
然会丢弃部分网络数据包 ,而这些被丢弃的数据包 中就可能包含入侵信息。由于模式匹配算法的性能直
接影响入侵检测系统的检测效率 ,笔者将以基于误用检i技术的模式匹配算法为研究 目标 ,提出一种改 贝 0 进后的 WM多模式匹配算法。该算法与原 WM ( — abr wuM n e)算法相 比具有运算效率高的优点。
若在 T中能找到 P的出现 ,则称匹配成功 ;否则称 匹配失败 。一次在文本中只能对一个模式串进行匹 配的算法 ,称为单模式匹配算法 ,可同时对多个模式串进行匹配的算法称多模式匹配算法。
收稿 日期 :0 1 4 1 2 1- —3 0 作者简介 : 董迎亮( 9 2 18 一 ) 男 , , 长春人, 吉林大学硕士研究生 , 主要从事计算机 网络安 全研究 , T18 — 6 09 0 7 E m i ln dl ( e)61 2 7 15 ( - a ) a gy 3 li @f m i cr; 民( 98 o a .o 王德 x l n 15 一 ) 男 , , 长春人 , 吉林 大学 教授 , 硕士 生导 师 , 主要从 事 智能 网络 与数据 库 、 网络安 全研究 ( e) 6184 0 1 1 E m i w m@j . d. I T 18 -3 9 88 1 ( — al d ) l e uC 。 u 1
入侵检测系统中模式匹配算法的改进
Abtat src
It s ndt t nss m (D ) a t nl upe e tot rw l,a endvl e eoeo ekycm o et nr i e c o t uo e i y e I S ,s r i a sp l n efe alhs e eeo dt b n fh e o p nn a ao m t h i b p o t s
ag rt m sa l r td a d i l me td i h s p p r b s d o h h u h fi c e sn l e d s n e w i h atr o s n tma c . l o h i me i ae mp e n e n t i a e a e n t e t o g to n r a i g g i it c h l t e p t n d e o th i o n d a e e
0 引 言
随着 网络技术 的飞速发 展 , 网络和计 算机 系统面临 的安全 威胁 也 日趋严 重 , 侵 检测 系统 作为 一种 主动 的 、 入 实时 的人 侵检测 工具逐渐发展起来并成为 网络安全研究 的热点 。它可 以 在 不影响 网络性能 的情况下 对 网络 进行监 视 , 而提供 对 内部 从
o en t o k s c r y s se I S i f cn e h l n e u of s d v l p n f e w r e h o o y a d t e eo e n e st e i r v d ft ew r e u t y tm. D s a i g n w c al g sd e t a t e e o me to t o k t c n lg n h r fr e d o b h i e n mp o e o ss s m e oma c s t r u h al k n s o p r a h s a d t e o e ain ef in y o u e ma c i g mo u e,h ad c r f I fi y t p r r n e h o g l id fa p o c e , n h p r t f ce c fr l t hn d l t e h r o e o DS,s t e f o i i sr ih f ee y t e p r r a c f p t r th n lo i m.T r u h to o g n l s n p i r o e — oe ag r h ,h M t g t e td b h e o a e f m n e o at n mac i g a g rt e h h o g h ru h a ayi o r s may B y rMo r lo t m t e B i
入侵检测模式匹配算法的研究与改进
通过反复测试发现,在 比较的四个算法中, 新 算法 l 每次查找所口配的次数最少 , 效率方面与 B MH算法接近。 新算法 2 每次匹配的次数少于 B M 算法, 效率方面与 B M算法接近。通常在查找的模 {}l l km) k1 < ; 【叫 对应的字符的下一字符来按坏字符启发模式向右 式串出现在文本中重复率高时 , 新算法的效率明显 若模式串 P 后面 k 位和文本串 T中一致 的部 滑动相应的位数 s 一 , 重新进行比较。依次循环 , 直到 高于 B M算法和 B MH算法。 分, 有一部分存模式串 P中其他部分 观 , 则可将 完全匹配成功或都不匹配为止。 举例描述如表 3所 5J / 结 、 P向右移动, 直接使这部分对齐, 且要求这一致部分 示 : 本文通过分析 B M和 B H等模式匹配算法 , M 尽 可能 地大 。 本例中按改进后的算法匹配了四趟 , 比较了 提出了…种以 B 共 M算法思想为基础,结合 B MH算 B M算法德语处理时间复杂度为 0m s空问 7 6 。 (+】 , +次 法的简化思想的进一步改进 B M算法的方法。 该算 复杂度为 (s, )j f 搜索阶段时间复杂度为 Omn。最坏 () 改进 后的算法预处理时间复杂度为 0 , 空 法采用了 B M算法中的跳跃比较思想和 B H简化 M 情况下要进行 3 n次比较 ,最好 情况下的时间复杂 间复杂度为 0s搜索阶段时间复杂度为 Om ) f, 】 (n。 方法以及向下一位匹配的思想 , 进而简化了初始化 度为 ( ̄n。 XCO其中 m为模式串 P的长度, n为文本串 在模式串 P中重复的字符较多时或 T中字符 过程, 加大了匹配失败后向后跳跃的幅度 , 减少了 T的长度,是与 PT相关的有限宁符集长度。 s 、 大多在模式 串 P 现时 , 中 该算法可进一步改进 比较次数 , 提高了模式匹配效率。通过算法测试比 2 MH算 2 .B 为, 若文本串T中与 模式串 P 最后字符对应的字符 较 , 达到了预期效果 。 B M算法为了确定在不匹配的情况下最大的 以及其下—个字符都出现在模式串 P中, 比较两 则 参 考文献 可行移位距离而使用了两种启发, 即坏字符和好后 者最终按坏字符启发需要滑动的距离大小, 然后按 川 伊 刘培玉_ 入侵检测中 模式匹配算法的 究l 研 J I . 缀启发。两种启发均能导致最大为 m 若于模式串 滑动距离大的字符滑动, ( 重新进行比较。 计算机应用与软件2 O22 ) 2 14 O 5 n:1_ 1. 1 进 一 步 的改 进 后 的 『牟永钦 李美贵, 入侵检测系统中模式匹配算 2 1 梁琦. 表 3 改进 算 法 1匹配过 程 算法增加了预处理时间 , 法的研究叽电子学 ̄ 2 0 41)4 8 0 6 (228 — 3 : 又章 串 T s a s r c h 1 n g s e a s r s h i s e a r h … 4 0 和 比较选择滑 动距 离的 2 9 . 第一次 s e a r c l ’ 时间。由于只是在必要时 f贺龙涛, 3 ] 方滨兴, 余翔湛. 一种时间复杂度最优 的精 第 二孜 s e a r c h 进行简单的大小 比较 , 进 确 串匹配算法l. J软件学报2 0 , (:7  ̄8. 1 0 5 5 6 6 3 1 1 6 三次 s e | l c h 1 第 四次 s e a r c h 行 比较所花 费的时间不 IJ 孙克雷. 4 I DS中一种快速模式匹配算法lI J 安徽理 . 说明 带 下划线 字母 衷示 发 生不匹 配,相 体 字母 代表 产生启 发 的字母 。 会太多。 该算法能够确保 工 大学 学4 2 0 2 0  ̄ 0 6 6
网络入侵检测系统模式匹配算法研究
周延 森 汪永好 ,
(.国 际关 系学 院 信 息科技 系,北京 109 ;2 1 00 1 .北京 电子 科技 学院 计 算机 科 学 与技 术 系, 北 京 107) 000
摘 要 : 式 匹配 算法是 网络入侵 检 测 中的关键 所在 , 模 它直接 影响 到 网络入 侵检 测 系 的实时检 测性 能。引入 4种模 式 匹配 算法, 分析 其 工作 原理 , 通过 实验对 上述 4 算法 进行 了性 能测试 。 种 根据 实验 结果 , 出了不 同算法 的应 用 范围 , 得 为今 后入侵
检 测 系统 开发者 选择模 式 匹配算 法提供 了有价 值 的参考 。
关键词: 入侵检测;模式 匹配;羊模 匹配;多模 匹配;有限 自动机 中图法分类号:P0 文献标识码: 文章编号:00 04  ̄o) 715—3 T 39 A 10— 2 ( 80— 2 7 o 6 0
Re e r h o atr ac i gag rtmi f ewo k i t so ee t n s se s a c n p t n m th n l o i e h co t r r in d t ci y tm n n u o
Ab t a t P t r th n l o t m si o tn ewo k i t so e e to y t m, wh c f e c sr a m e d t ci n p ro - sr c : at n mac i g ag r h i e i mp r t n n t r r in d t ci n s se a i nu i h i l n e e l i e e to ef r n u t ma c f e o k i t so ee t n s se 。F u a e ma c i g ag rtm sa ei to u e , t e er r i g p n i l n se n eo n t r r in d t c i y tm w n u o o r  ̄ m th n l o i p h r r d c d h n t i wo k n r cp ea dt t d n h i e p ro m a c f o at r th n l o t m r u h e p rme t r ay e .Ac o d n x e i n s l t n u e p l i grn e e r n eo f u p t n ma c i ga g r h t o g e f r e i h x i n ea l z d a n c r i ge p rme t e u t s s p y n g r ,i e r a a o fe e t l o i m , p o i e  ̄ f l e e e c f e e t g p  ̄ m t h n l o i m r e e o i gNI 。 f i r n g rt d a h r v d  ̄u e a r f r n eo  ̄ lci a e ma c i g a g r h f v l p n D8 i n t o d Ke r s i tu i n d t ci n p ten ma c i g sn l d th n ; mu t d th n ; f i u o tn y wo d ; n r s ee to ; atr th n ; i g emo ema c i g o l mo ema c i g i t a t mao i n e
(.国 际关 系学 院 信 息科技 系,北京 109 ;2 1 00 1 .北京 电子 科技 学院 计 算机 科 学 与技 术 系, 北 京 107) 000
摘 要 : 式 匹配 算法是 网络入侵 检 测 中的关键 所在 , 模 它直接 影响 到 网络入 侵检 测 系 的实时检 测性 能。引入 4种模 式 匹配 算法, 分析 其 工作 原理 , 通过 实验对 上述 4 算法 进行 了性 能测试 。 种 根据 实验 结果 , 出了不 同算法 的应 用 范围 , 得 为今 后入侵
检 测 系统 开发者 选择模 式 匹配算 法提供 了有价 值 的参考 。
关键词: 入侵检测;模式 匹配;羊模 匹配;多模 匹配;有限 自动机 中图法分类号:P0 文献标识码: 文章编号:00 04  ̄o) 715—3 T 39 A 10— 2 ( 80— 2 7 o 6 0
Re e r h o atr ac i gag rtmi f ewo k i t so ee t n s se s a c n p t n m th n l o i e h co t r r in d t ci y tm n n u o
Ab t a t P t r th n l o t m si o tn ewo k i t so e e to y t m, wh c f e c sr a m e d t ci n p ro - sr c : at n mac i g ag r h i e i mp r t n n t r r in d t ci n s se a i nu i h i l n e e l i e e to ef r n u t ma c f e o k i t so ee t n s se 。F u a e ma c i g ag rtm sa ei to u e , t e er r i g p n i l n se n eo n t r r in d t c i y tm w n u o o r  ̄ m th n l o i p h r r d c d h n t i wo k n r cp ea dt t d n h i e p ro m a c f o at r th n l o t m r u h e p rme t r ay e .Ac o d n x e i n s l t n u e p l i grn e e r n eo f u p t n ma c i ga g r h t o g e f r e i h x i n ea l z d a n c r i ge p rme t e u t s s p y n g r ,i e r a a o fe e t l o i m , p o i e  ̄ f l e e e c f e e t g p  ̄ m t h n l o i m r e e o i gNI 。 f i r n g rt d a h r v d  ̄u e a r f r n eo  ̄ lci a e ma c i g a g r h f v l p n D8 i n t o d Ke r s i tu i n d t ci n p ten ma c i g sn l d th n ; mu t d th n ; f i u o tn y wo d ; n r s ee to ; atr th n ; i g emo ema c i g o l mo ema c i g i t a t mao i n e
面向入侵检测的模式匹配算法研究
!& 。
!$!
5;?96@.;;69 算法
相比 56789 :;6<9 算法, 5;?96@.;;69 算法有三个增 强 的 特
性使它具有更高的效率, 甚至在最坏的情况下也有很好的时间 复杂性。这三个特性如下: (( ) 从右向左匹配。将 & 和 ’ 从左端对齐, 使得 &( 与 ’( 对 齐, 如图 ! 。匹配先从 & 的最右端字符开始, 判断 !%A(#%, 如果 直到 & 匹配成功, 则向左移动, 判断 !%@(A)#%@(。这样继续下去, 全部匹配成功或是有不匹配的情况出现。 (! ) 坏字符移动。第一次匹配从 !%( “* ” 和 !%) “2 ” 开始, 如 图 ! 。5;?96@.;;69 对模式进行了预处理, 得到了一些启发式信 息。它使用这些信息计算 & 向右的移动量。算法决定 & 的最右 端的字符能够匹配 ’ 的位置, 即 “* ” , 如图 3 。
&
概述
在入侵检测系统的实现中,关键的部分是检测引擎的实
个字符 A$!A&… A!,匹配相应的字符 B$%#!B&… B",则 A 位于 B 中偏移量为 # 的位置, 记作:
现。 而在检测引擎的实现中, 关键的是数据分析模块。 数据分析 模块涉及到两个问题: 如何描述入侵行为; 使用什么样的算法 来快速准确地检测出入侵行为。论文主要探讨第二个问题。对 于基于规则的入侵检测来说, 模式匹配算法非常重要, 它直接 影 响 到 系 统 的 准 确 性 和 实 时 性 能 。 作 者 主 要 研 究 了 ’()*+ ,-(.+ 算 法 , ’-/+( 01--(+ 算 法 , 23- 04-(567.8 算 法 , 9+* 0:76+ ’-/+(01--(+0;-(6<--= 算法, 23-04-(567.8>’-/+(01--(+ 算法。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
函 数 。 下 面 对 b f rnLs 的数 组 的存 储 结 构 进 行 说 na a si T t
收 稿 日期 :0 0 1 1 2 1 —1 —0 修 稿 日期 :0 0 1 0 2 1 —1 —2
作 者 简 介 : 汉元 , , 士 研 究 生 , 究 方 向为 计 算 机 网络 榻 男 硕 研
配 性 能
11 . Ac— NF 在 内存 中 的存 储 B A
以 模 式 串 集 合 P { bc adb为 例 , 统 A =a , } 传 C算 法 会 把 模 式 串转 换 成 为 一 个 自动机 自动 机 主 要 由转 移 函数 、 效 函数 和 输 出 函 数组 成 转 移 函数 描 述 自动 失
现 计 机 211 ① 代 算 0o 1 .
\
研 究 与 开发
\、
— — — — — — — _ — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 一 — —
\\
明 。假 设 其 中有 一 个 状 态 W , 并存 在 b f rnLs 内开 na asi T t 始 于 x的位置 上 , 么在 内存 中存 储 的数 据 如 图 2 示 。 那 所
随着 现 代 信 息 科 学 技 术 越 受 到 企 业 和 个 人 的关 注 以 S o n d为 代 表 的 入 侵 检测 系 统 的 现 , 提 高 网 络 系 统 安 全 、 御 网 络 攻 为 防 击 提 供 了优 秀 的解 决 方 案 之 前 的 研 究 表 明 , 侵 检 测 入 系统 化 费 在模 式 配 处 理 _ 的 时 间 .通 常 可 以 占到 总 J 处 理 时 间 的 2 %~ 0 . 在 处 理 We 5 3 %….当 b密 集 流 量 时 .
善 模 式 匹配 处理 速 度
关键 词 :入 侵 检 测 系统 ;多 模 式 匹配 算 法 ; c— NF A B A
0 引
言
1 A B A 算 法 C— NF
AC— NF 全 称 为 Ah — oa ik B sd N n ee— B A o C rs ae o d tr c
研 究 s 开 发
一 —— —————— ——~———— —————— ———— ————— ——————— ——————— ——————— ———— ——————— —————— ————— —————— ~——————— —————— —————— — —————— ———————— —————— ——————
用 的算 法 各 算 法 的 内存 占用 和 配性 能 如 表 1 所示 本 文 主要 对 A — N A算 法进 行研 究 和 改进 CB F
表 1 n r 中各 匹 配算 法特 点 S o c
同1 AC 自动 机 转 移 函数 图
而 当 使 用 AC~ NF 算 法 时 . 自动 机 会 被 合 并 成 B A 为 一 个 名 为 b fT a s i 的 数 组 .数 组 中 存 储 着 自动 na rnL s t 机 所 有 能 进 入 的 状 态 号 . 以及 对 应 的 转 移 函 数 和 失 效
间 复 杂 度 只与 目标 串 的 长 度 有 关 .对 恶 意 攻 击 数 据 包 有 较 好 的抵 御 性 能 .所 以获 得 了许 多 人 侵 检 测 系统 的 采用。
在 21 0 0年 3月 发 布 的 S ot ... n r 2853巾 .可 以选 用 的 多 模 式 匹 配 算 法 有 AC~ U L. 以及 以 AC— NF 为 FL B A 代 表 的 多种 优 化 型 A C算 法 其 中 AC B F 为 默认 使 — NA
这 一 比例 甚 至 可 以 达 到 8 %以 ]2所 以提 高模 式 匹 配 0 2I 1 . 算 法 效 率 对 入 侵 检 测 系统 具 有 重 要意 义
目 前 已 经 提 m 的 多 模 式 配 算 法 有 AC 算 法 、 MWM 算 法 . 以及 AC B 算 法 等 多种 算 法 其 中 的 AC —M 算 法 是 一 种 经 典 的顺 序 配 算 法 由 于 AC算 法 的 时
mi scFnt A t t.即 基 于 不 确 定 有 穷 自动 机 的 n t i e uo a ii i na
A oC rs k h— oai 算法 与传统的 A o C rs k c h — oai 算法[ 比, c 4 1 相
A ~ N A可 以 大 幅 降 低 内存 占用 . 保持 有 较 好 的 匹 CBF 并
机 在 输 入 匹配 字 符 时 进 行 如 何 状 态 转 移 .例 如 从 图 1 叮以看 I 在 状 态 0下 . 叶 J 当读 人 字 符 为 a时 . 以 转 入 状 可 态 】 则 g 0, ) l 失 效 函 数用 于 指 明 当 输 入 字 符 不 , ( a= 。 匹配 时 应 转 入 的状 态 输 出 函 数 负 责 判 断 进 入 某 状 态 后 是 否 已经 与模 式 串形 成 匹 配
/
/ /
入侵检测 系统 中多模式 匹配算 法的研 究与改进
调 汉 元 。 陈元 琰
( 广西 师 范 大学 计 算 机科 学 与信 息 程 学 院 , 林 桂 5 10 ) 4 0 4
摘 要 :对 网络 入侵 检 测 系统 中 的 多模 式 匹配 算 法进 行 研 究 ,重 点 介 绍 A B A 算 法 的 匹配 过 C— NF 程 , 根 据 A B A 的 匹 配特 点 对 其 进 行 优 化 。 实验 结 果 表 明 , 化 后 的 匹 配算 法 能 改 并 C— NF 优