网络入侵检测系统模式匹配算法性能分析.pdfVIP

第 22卷第2期 攀枝花学院学报 2OO5年4月 V01．22．No．2 J0Il瑚a】0fPandfihuaUmver~ ADr．2005 · 自然科学研究 · 网络入侵检测系统模式匹配算法性能分析 张 雷 (西南交通大学计算机与通信工程学院，四川成都610031) 摘 要 模式匹配算法对于网络入侵检测系统起着非常重要的作用，直接影响着检测系统的准确性与实时 性。本文对BF，KMP，BM和l(arp一 n算法进行了性能分析，通过实验数据进行了验证，并对适合 II)s的模 式匹配算法提出了改进意见和思路。 关键词 人侵检测；模式匹配算法 l 引言 在计算机和网络飞速发展的今天，网络安全成了一个无法回避的重要问题。据统计，每年全球因为安全问题而导致的损 失高达数百亿美金。在这样的背景下，作为计算机和网络安全体系重要一环的入侵检测系统(h吐 onD~ecfionSystem，II)s)就 应运而生了。 IDS检测对计算机和网络的非法攻击，保护系统免遭破坏，甚至对攻击进行适当的反击。按照数据来源，可以把 II)s分为 主机入侵检测系统(HIDS)和网络入侵检测系统(NIm)。 NIDS的检测数据来源是网络数据包，产生事件报警的本质是模式匹配，即NIDS对数据包进行分析，匹配 自己的规则库， 如果匹配成功就表示发生一次入侵，则系统报警或保留更多的相关信息。模式匹配包括协议匹配和字符串匹配，而字符串匹 配是 目前大多数 Ⅱ)s最主要的匹配方式。由此可以看出，模式匹配算法是II)s工作的核心算法，在很大程度上是制约II)s的 一 个关键因素。尤其是在高速交换网的今天，模式匹配算法已经成为 Ⅱ)s发展的主要瓶颈了。 本文主要对 目前II)s所常用的字符串匹配算法进行了较为详细的分析，进行了具体的实验验证，在此基础上，提出了II)s 模式匹配算法的改进意见和思路。 2 问题描述 定义 1T(t嘲)就是待匹配的主串，标识为Y=yEO，1，……，n一1]，长度为LT即n。 定义2P(p毗唧)就是进行匹配的字符串，标识为X=xEO，1，……，m一1]，长度为LP即m。 定义3T和P建立在有限字符集(alpha)~，标识为∑，大小为o。 定义4对T进行扫描时需要用的窗口window，大小为m。 定义5将window和T一端对齐，比较window中和P中的字符称为尝试(mteInpt)。 定义6在T中发现一个和P完全匹配或不匹配时，窗口右移(sh)。 综述：对于给定的TY=yEO，1Iooiio，n一1]和PX=xEO．1，……，m一1]，在T中寻找所有出现P的过程就是字符串匹配。 3 模式匹配算法 模式匹配算法又分为单模式匹配和多模式匹配。多模式匹配算法的基础仍然是单模式匹配算法。故本文只讨论单模式 匹配算法。 (1)朴素的模式匹配算法(BruceForce，BF) 基本思想：从主串的第一个字符起和模式串中的第一个字符比较，若相等，则逐个比较后续字符，否则从主串的下一个字 符起再重新和模式串的字符比较。 性能分析：BF算法在最坏的情况下的时间复杂度为O(nm)，而且在主串中出现多个与模式串部分匹配的子串的情况下， 主串的指针需要经常回溯，显然算法的效率很低。因此人们提出了许多改进算法。 (2)l 算法 该算法是 u．tll，M0ni8和Pratt对BF算法进行严格分析的基础上提出来的，所以被称做KMP算法。从本质上讲，KMP算 法就是出现不匹配情况下带有智能指针初始化的BF算法。为了在不匹配时重新定位指针，KMP算法需要进行预处理算出一 个shift表来。 基本思想：KMP算法利用已匹配成功部分的信息，即前缀 (模式串中存在的相同子串)，可以使模式串向前推进若干个字 · 84 · ：网络入侵检测系统模式匹 2 符位置，而不只是一个字符，避免了重复比较，同时也实现了主串指针的元回溯。 算法：intindex(PSeq llgt，PSeq llgP，int*n