试论计算机网络入侵检测系统匹配算法.docxVIP

?

?

试论计算机网络入侵检测系统匹配算法

?

?

龙瑞

摘要：在网络迅速发展环境下，网络宽带数据也越来越多，基于此必须要显著提升网络入侵检测系统处理能力，以能够对大流量网络环境下的需求有效满足。本文在研究过程中，重点分析多模式匹配算法，并探讨在计算机网络入侵检测系统中的多模式匹配算法应用策略。

关键词：计算机网络；入侵检测；匹配算法

：TP393：A

：1009-3044（2019）10-0035-04

开放科学（资源服务）标识码（OSID）：

在我国信息化进程不断发展的过程中，网络已经在国民经济各领域中所渗透，计算机系统也从独立主机发展成为相互连接、复杂化的开放式系统。在网络技术不断发展的过程中，为社会科教、经济、管理及文化等方面都注入了全新的活力。但是，在网络技术为人们带来便利过程中，还出现了相应的信息安全问题，比如拒绝服务攻击、黑客入侵、病毒等。尤其是最近几年，社会发展要求各用户能够相互通信，并且实现资源共享，网络入侵及攻击事件不断增加，军事机构、企业及金融机构等相关网络中均经常受到黑客的袭击，计算机网络安全性越来越突出。入侵检测使用历史较为悠久，因为计算机网络受到多因素的影响，容易受到入侵。以此，研究计算机网络入侵检测系统匹配算法具有重要的现实意义。

1网络入侵检测系统和算法

1.1网络入侵检测系统

网络入侵检测系统在应用过程中属于是一种隔离入侵技术，属于是网络防火墙外的另一道安全防线。计算机网络入侵检测系统结构设计见图1.

网络入侵检测系统的特点主要为安全和时效性高，具有一定的经济性和可扩展性，组成中有事件分析器、事件发生器、事件产生器以及响应单元。在应用中结构组成为分析器、存储系统以及控制台、传感器，其中组成中的存储系统能够存储系统运行中的相关数据以及入侵攻击数据，控制台可以有效实现集中管理。

1.2网络入侵检测算法

网络入侵检测算法在应用中，有助于显著提升检测精准性和工作效率，现代网络入侵检测算法在应用中主要包括有专家系统、统计、数据挖掘、模式匹配以及免疫学等。

各个模式匹配下的入侵检测在应用中，必须要首先设置完成入侵模式，和当前入侵检测系统描述方向相比，需要实施入侵行为描述方法存在一定差异，不同产商对描述方法的定义也存在差异，在应用中也就需要用户依照开发商实现模式省级。任务执行中是采用fpEvalPacket实现当前模式匹配检测算法，预处理函数模块后，以此调用Detect函数以及匹配数据包内容特征规则。在研究过程中如果所获取的数据包协议是Tcp，在执行过程中也就需要调用fpEvalHeaderTcp函数。

传统模式匹配算法概念是：将n长度文本假设为T[1...n]，m长度模式P在P[1...m]范围中，同时模式的集合为{Pi}，总长度为M。其中在匹配过程中，如果是单模式匹配也就是在文本T中寻找P；如果是多模式匹配也就是在文本T中實现多模式寻找。随着入侵特征的增多，其算法也从一开始的单模式逐渐转化为多模式，其中在实际应用中传统模式匹配算法有：

其一，AC算法。为多模式匹配经典算法之一，得到了广泛的应用，在当前研究中可以将其分为两个方向，其中分别是基于BM跳跃及过滤、基于自动机算法。在应用中是建立在有限状态机思想上，一定要实现所有模式预处理后才可以实施模式匹配，也就可以生态相应的有限状态机，继续寻找并实现匹配。

其二，BM算法。这一算法的应用也比较广泛，是单模式匹配算法的经典算法，在这一算法改进应用中出现了多个单模式匹配算法。在实施匹配中需要实现文本的处理，从模式右端开始一一实施字符对比，一旦发现不匹配，即需模式向右移动，借助于预处理规定计算值可以得到相应的移动距离。在移动距离计算中是采用坏字符和好后缀规则计算，也就可以构建出坏字符和好后缀移动表，匹配中查找以上移动表，也就可以在其应用下实现移动距离最大模式移动。BM算法在应用中，对于坏字符异动表的创建时间复杂度为0（m+Σ），好后缀异动表的创建时间复杂度为0（m）。在应用中计算是时间复杂度为0（m*n），即为最坏时间复杂度，但是采用的是跳跃式匹配，因此实际上次即为文本长度的20%-30%次数。

BM算法作为一种单模式匹配，在应用中性能较佳，但是任何一次实施匹配过程中均需要对其模式进行计算，也就需要较高的预处理费用，同时在多模式匹配中的应用效果不佳，需要多次应用BM算法，因此应用效率偏低【12】。

其三，MWM算法。这一算法为一种改进算法，也就是在当前匹配模式集合特征的应用下，可以一一调用NoBC算法EXBW算法等。这一模式在应用中，存在有大量模式，最小模式长度直接影响算法匹配中的文本字符跳跃距离最大值，例如如果最小模式为1，在应用中采用的也就是hash表及NoBC表。

2网络入侵检测系统建构

网络入侵过程为：首先要对已经匹配到网络数据包中的数据以及规