專利名稱::可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)入侵檢測(cè)(NIDS)
技術(shù)領(lǐng)域:
���,具體涉及一種可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法。
背景技術(shù):
:近年來(lái)隨著高速網(wǎng)絡(luò)技術(shù)的相繼出現(xiàn)�����,網(wǎng)絡(luò)速度的提高對(duì)入侵檢測(cè)的數(shù)據(jù)采集�、分析引擎、響應(yīng)機(jī)制3個(gè)環(huán)節(jié)都提出了挑戰(zhàn)�����,任何一個(gè)環(huán)節(jié)的速度趕不上網(wǎng)絡(luò)速度�����,都不能實(shí)現(xiàn)實(shí)時(shí)保護(hù)網(wǎng)絡(luò)安全�����。大部分現(xiàn)有的NIDS只有幾十兆的檢測(cè)速度,隨著百兆����、千兆網(wǎng)絡(luò)的大量應(yīng)用,NIDS的處理速度成為影響入侵檢測(cè)系統(tǒng)應(yīng)用的瓶頸��。在NIDS中����,截獲網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包,分析���、匹配其中是否具有某種攻擊的特征�,需要花費(fèi)大量的時(shí)間和系統(tǒng)資源����。隨著網(wǎng)絡(luò)帶寬逐漸增加,要求檢測(cè)系統(tǒng)需要增強(qiáng)單位時(shí)間內(nèi)捕獲的數(shù)據(jù)包量并且對(duì)數(shù)據(jù)包的處理速度也要大幅提升�����,否則就會(huì)有大量網(wǎng)絡(luò)數(shù)據(jù)包丟失��,從而極大地影響網(wǎng)絡(luò)NIDS的檢測(cè)能力。根據(jù)網(wǎng)絡(luò)NIDS的工作模式���,必須監(jiān)聽(tīng)流經(jīng)共享網(wǎng)段內(nèi)的所有數(shù)據(jù)包���,然后對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行模式匹配運(yùn)算。如果NIDS的檢測(cè)速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度���,那么檢測(cè)系統(tǒng)就會(huì)漏掉其中的部分?jǐn)?shù)據(jù)包��,從而導(dǎo)致漏報(bào)�,使系統(tǒng)的準(zhǔn)確性和有效性受到影響����。模式匹配是NIDS所使用的基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)技術(shù)�,它的分析速度快、誤報(bào)率小等優(yōu)點(diǎn)是其他分析方法不可比擬的����,在很多的商業(yè)入侵檢測(cè)產(chǎn)品和研究項(xiàng)目中,例如Dragon��、Bro�����、Snort都采用了模式匹配算法。然而隨著各種入侵攻擊手法不斷增加�,進(jìn)行模式匹配所需的特征庫(kù)也越來(lái)越大,導(dǎo)致在采用相同硬件資源和模式匹配算法的情況����,系統(tǒng)對(duì)數(shù)據(jù)包處理速度的下降。因此對(duì)于高速網(wǎng)絡(luò)���,提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率是目前入侵檢測(cè)系統(tǒng)迫切需要解決的主要問(wèn)題?����,F(xiàn)有技術(shù)中已經(jīng)提出了一種BM算法���,算法的特點(diǎn)是考慮到在匹配比較過(guò)程中,不少情形是前面的許多字符都匹配而最后的若干個(gè)字符不匹配��,這時(shí)若采取從左到右的方式掃描將浪費(fèi)許多時(shí)間���,因此����,改為自右至左的方式掃描模式和正文,這樣一旦發(fā)現(xiàn)當(dāng)正文中出現(xiàn)模式中沒(méi)有的字符時(shí)就可以將模式���、正文大幅度地“滑過(guò)”一段距離�����。但由于該算法是對(duì)單模式的重復(fù)執(zhí)行���,它只能提高單條規(guī)則匹配的效率,無(wú)法提高整個(gè)規(guī)則集匹配的效率��,即當(dāng)規(guī)則數(shù)線性增長(zhǎng)的時(shí)候���,匹配效率線性下降���。因此現(xiàn)有技術(shù)存在的問(wèn)題是當(dāng)入侵檢測(cè)規(guī)則集數(shù)量龐大時(shí)�����,其匹配效率非常低���。
發(fā)明內(nèi)容本發(fā)明要提供一種可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法�,以克服現(xiàn)有技術(shù)存在的當(dāng)入侵檢測(cè)規(guī)則集數(shù)量龐大時(shí),其匹配效率非常低的技術(shù)問(wèn)題�����。本發(fā)明的技術(shù)方案是一種可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法�����,包括下述步驟����,(1)預(yù)處理模式集合移動(dòng)表(SHIFTtable)的建立在構(gòu)造移動(dòng)表時(shí),需要考慮字符串B的比較�,B的取值應(yīng)該是logc2MM為所有模式總的大小,M=k*m(m為模式集的最小長(zhǎng)度���,k為模式的個(gè)數(shù))��,c為字母表的大?���?�;移動(dòng)表為每個(gè)可能的大小為B的字符串都包含一個(gè)入口�,那么它的大小應(yīng)為|∑|B����;(∑為固定字符集)后綴表(SUFFIXtable)的建立當(dāng)移動(dòng)值為0時(shí)�,要將文本后綴的B個(gè)字符子串和模式集中的一些模式后綴匹配;使用哈希技術(shù)來(lái)最小化需要進(jìn)行比較的模式數(shù)量�����,使用構(gòu)建移動(dòng)表時(shí)所計(jì)算的B個(gè)字符的整數(shù)哈希值作為另一表的索引���,該表被稱為后綴表SUFFIX���,后綴表的第i個(gè)入口SUFFIX[i],包含一個(gè)索引指向最后B個(gè)字符的哈希值為i的模式列表�,模式列表記為PATTERN_LIST;(2)掃描搜索��。上述步驟(1)中�,當(dāng)移動(dòng)值為0時(shí),還引入了另一張表�,稱為前綴表PREFIX�����,PREFIX[i]包含了所有模式頭A個(gè)字符前綴的哈希值。上述步驟(2)掃描搜索的具體步驟是①計(jì)算文本當(dāng)前被掃描的B個(gè)字符的哈希值h���;②檢查SHIFT[h]的值如果>0��,移動(dòng)文本并轉(zhuǎn)到步驟(1)�;否則���,轉(zhuǎn)到步驟(3)���;③計(jì)算文本前綴的哈希值(從當(dāng)前的位置向左m個(gè)字符開(kāi)始),稱為text_prefix���;④檢查每一個(gè)滿足SUFFIX[h]≤p<SUFFIX[h+1]的索引p�����,滿足轉(zhuǎn)到步驟2.5���,不滿足轉(zhuǎn)到結(jié)束;⑤當(dāng)PREFIX[p]=text_prefix時(shí)�����,直接進(jìn)入步驟2.6匹配文本與當(dāng)前的模式(當(dāng)前模式由PATTERN_LIST[p]給出),結(jié)束整個(gè)過(guò)程��;如不滿足轉(zhuǎn)到結(jié)束�。上述步驟(1)中,B的值為2�,A的值為2。A�、B的取值根據(jù)需要選擇。與現(xiàn)有技術(shù)相比����,本發(fā)明的優(yōu)點(diǎn)是1、比較量少由于使用哈希技術(shù)將多個(gè)字符串映射到移動(dòng)表中相同的入口�����,從而壓縮了移動(dòng)表的大?��?����;后綴表(SUFFIXtable)的建立中為了避免和每個(gè)模式都進(jìn)行比較�����,使用哈希技術(shù)來(lái)最小化需要進(jìn)行比較的模式數(shù)量���;當(dāng)移動(dòng)值為0時(shí),文本需要遍歷SUFFIX[i]值所指向的模式列表以進(jìn)行模式后綴匹配��,為了進(jìn)一步降低模式搜索的范圍�,加速搜索進(jìn)程,引入了另一張表��,稱為前綴表PREFIX��。2�����、時(shí)間短��,效率高BM算法是對(duì)單個(gè)字符進(jìn)行比較�,而本發(fā)明是對(duì)字符串的比較,因而大大縮短了運(yùn)算時(shí)間�,從而極大地提高匹配效率。本算法整個(gè)掃描過(guò)程花費(fèi)的時(shí)間是O(BN/m)(N為文本的大小��,m為最小模式長(zhǎng)度,p為模式的數(shù)量��,M=m*p為模式的總長(zhǎng))�,當(dāng)m>B時(shí),本算法的平均時(shí)間復(fù)雜度呈亞線性����。本算法總的時(shí)間復(fù)雜度是O(M)+O(BN/m)=O(M+BN/m)。附圖為本發(fā)明基于BM思想的多模式匹配算法的流程圖��。具體實(shí)施例方式下面將通過(guò)在入侵檢測(cè)系統(tǒng)中的實(shí)施例和附圖對(duì)本發(fā)明進(jìn)行詳細(xì)描述�。本發(fā)明的步驟是(1)預(yù)處理模式集合移動(dòng)表(SHIFTtable),后綴表(SUFFIXtable)以及前綴表(PREFIXtable)的建立����。構(gòu)造移動(dòng)表時(shí),考慮一塊大小為B的字符串的比較�����,而不是單個(gè)字符進(jìn)行比較�����;移動(dòng)表用來(lái)決定當(dāng)文本被掃描的時(shí)候��,文本中的多少個(gè)字符可以跳過(guò)檢查。取B的值為2���,A的值為2���;計(jì)算所有模式頭A個(gè)字符前綴的哈希值放入PREFIX[i]中�����;(2)掃描搜索2.1計(jì)算文本當(dāng)前被掃描的B個(gè)字符的哈希值h��;2.2檢查SHIFT[h]的值如果>0�,移動(dòng)文本并轉(zhuǎn)到步驟2。1�;否則,轉(zhuǎn)到步驟2.3���;2.3計(jì)算文本前綴的哈希值����,稱為text_prefix����;2.4檢查每一個(gè)滿足SUFFIX[h]≤p<SUFFIX[h+1]的索引p�,滿足轉(zhuǎn)到步驟2.5��,不滿足轉(zhuǎn)到結(jié)束��;2.5當(dāng)PREFIX[p]=text_prefix時(shí)��,直接進(jìn)入步驟2.6匹配文本與當(dāng)前的模式��,結(jié)束整個(gè)過(guò)程��;如不滿足轉(zhuǎn)到結(jié)束��?����?梢愿鶕?jù)實(shí)際情況來(lái)選擇B的值和A的值��。但我們認(rèn)為選取B=2和A=2為最優(yōu)的����。最后所應(yīng)說(shuō)明的是以上實(shí)施方式僅用以說(shuō)明而非限制本發(fā)明的技術(shù)方案,盡管參照上述實(shí)施方式對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對(duì)本發(fā)明進(jìn)行修改或者等同替換��,而不脫離本發(fā)明的精神和范圍的任何修改與局部替換��,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍內(nèi)��。權(quán)利要求1.一種可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法�,包括下述步驟(1)預(yù)處理模式集合移動(dòng)表(SHIFTtable)的建立在構(gòu)造移動(dòng)表時(shí),需要考慮字符串B的比較�����,B的取值應(yīng)該是logc2MM為所有模式總的大小����,M=k*m(m為模式集的最小長(zhǎng)度��,k為模式的個(gè)數(shù))���,c為字母表的大?���?����;移動(dòng)表為每個(gè)可能的大小為B的字符串都包含一個(gè)入口,那么它的大小應(yīng)為|∑|B�;(∑為固定字符集)后綴表(SUFFIXtable)的建立當(dāng)移動(dòng)值為0時(shí),要將文本后綴的B個(gè)字符子串和模式集中的一些模式后綴匹配�;使用哈希技術(shù)來(lái)最小化需要進(jìn)行比較的模式數(shù)量,使用構(gòu)建移動(dòng)表時(shí)所計(jì)算的B個(gè)字符的整數(shù)哈希值作為另一表的索引�,該表被稱為后綴表SUFFIX,后綴表的第i個(gè)入口SUFFIX[i]����,包含一個(gè)索引指向最后B個(gè)字符的哈希值為i的模式列表,模式列表記為PATTERN_LIST�����;(2)掃描搜索�����。2.如權(quán)利要求1所述的可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法���,其特征在于所述步驟(1)中���,當(dāng)移動(dòng)值為0時(shí),還引入了另一張表�����,稱為前綴表PREFIX,PREFIX[i]包含了所有模式頭A個(gè)字符前綴的哈希值�����。3.如權(quán)利要求2所述的可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法�,其特征在于所述步驟(2)掃描搜索的具體步驟是①計(jì)算文本當(dāng)前被掃描的B個(gè)字符的哈希值h;②檢查SHIFT[h]的值如果>0����,移動(dòng)文本并轉(zhuǎn)到步驟(1);否則����,轉(zhuǎn)到步驟(3)����;③計(jì)算文本前綴的哈希值(從當(dāng)前的位置向左m個(gè)字符開(kāi)始),稱為text_prefix��;④檢查每一個(gè)滿足SUFFIX[h]≤p<SUFFIX[h+1]的索引p����,滿足轉(zhuǎn)到步驟2.5�,不滿足轉(zhuǎn)到結(jié)束�;⑤當(dāng)PREFIX[p]=text_prefix時(shí),直接進(jìn)入步驟2.6匹配文本與當(dāng)前的模式(當(dāng)前模式由PATTERN_LIST[p]給出)��,結(jié)束整個(gè)過(guò)程�;如不滿足轉(zhuǎn)到結(jié)束。4.如權(quán)利要求3所述的可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法��,其特征在于所述步驟(1)中�����,B的值為2���,A的值為2����,A���、B的取值根據(jù)需要選擇���。全文摘要本發(fā)明涉及網(wǎng)絡(luò)入侵檢測(cè)(NIDS)
技術(shù)領(lǐng)域:
,具體涉及一種可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法。本發(fā)明要提供一種可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法�,以克服現(xiàn)有技術(shù)存在的當(dāng)入侵檢測(cè)規(guī)則集數(shù)量龐大時(shí),其匹配效率非常低的問(wèn)題����。本發(fā)明的技術(shù)方案是一種可提高入侵檢測(cè)系統(tǒng)檢測(cè)速率和效率的多模匹配方法,包括下述步驟���,(1)預(yù)處理模式集合建立移動(dòng)表(SHIFTtable)��、后綴表(SUFFIXtable)和前綴表PREFIX����;(2)掃描搜索���。文檔編號(hào)H04L12/56GK101060411SQ200710017920公開(kāi)日2007年10月24日申請(qǐng)日期2007年5月23日優(yōu)先權(quán)日2007年5月23日發(fā)明者劉濤,白亮,王二鵬,張永斌,趙衛(wèi)棟,靳衛(wèi)恒申請(qǐng)人:西安交大捷普網(wǎng)絡(luò)科技有限公司