AC-BM算法的改进及其在入侵检测中的应用 Mend of AC -BM Algorithm and Application in Intrusion Detection Technique.pdfVIP

第28卷第1期 微 计 算 机 应 用 Vol.28No.1 2007 2007年1月 MICROCOMPUTERAPPLICATIONS Jan. AC一BM算法的改进及其在入侵检测中的应用 周四伟 蔡 勇 (江南大学 计算机信息技术学院 无锡 214122) 摘 要:分析了人侵检测和网络流量中存在的问题。如果没有很快的处理速度，字符串匹配就会成为一个瓶颈。对于网络人 侵检测系统来说，单一的字符串搜索包负载是缺乏效率的。它不能跟上日益增长的网络速度。因此，提出了一种改进的AC 一BM算法。它是多模式匹配的算法。正如本文中所显示的一样，由于采用了改进的AC一BM算法，网络人侵检测的性能有 了改善。 关键词:入侵检测 多模式匹配 AC一BM算法 MendofAC一BMAlgorithmandApplicationinIntrusionDetectionTechnique ZHOUSiwei,CAIYong (SouthernYangtzeUniversitySchoolofComputerandInformationTechnology,Wuxi,214122，China,) Abstract;Thispaperanalyzestheproblemofnetworkintrusiondetectionandthetrafficonthenetwork.Stringmatchingbecomesa bottleneckwithoutahigh一speedprocessing.AsinglestringsearchingisnotefficientforNIDStoinspecttheirpacketpayload.Itdoes notkeepupwiththeincreasingnetworkspeeds.SowepresentanimprovedAC一BMalgorithminthepaper.ThealgorithmisaMulti 一patternmatchingalgorithm.Asthepapershows,theperformanceofnetworkintrusiondetectionisimprovedbythespeedoftheim- provedAC一BMalgorithm. Keywords:IntrusionDetection,Multi一patternmatching,AC一BMAlgorithm 1 引言 网络的人侵检测系统(NIDS)能更加深人的执行数据包的检测任务，它能够扫描包负载中有没有和已经 定义好的规则集相匹配的模式串，以此来检测是否存在人侵事件。匹配要逐字节的、逐条规则的进行。例 如:对于典型的基于模式匹配的Snort2.1.0网络人侵检测系统来说，它有约2150条规则，传统的以太网的 MTU为1500个字节，这些规则都要和每一个接受到的数据包逐条、逐字节的来匹配一下，这样随着规则集 的进一步扩大就造成了匹配速度的降低。另外，最近以太网的最大传输速率由IOMbit/s提高到了1000M bits，网络流量越来越大。因此，流量扩大、规则增多成为了制约NIDS系统性能的瓶颈。通过研究SNORT发现: 字符串搜索占了总执行时间的31%，而其他包处理的执行时间相加占了20%左右〕〔‘。所以应该把注意力集中在 字符串匹配上，NIDS要以线性速度匹配、并改进模式匹配算法就可以较好地解决这一问题。 2 算法的提出和适用范围 目前许多的NIDS是基于单模式匹配的算法，Snort的较早的版本采用的就是单模式串匹配的BM算法。 这种算法对于单字符串的搜索速度很快，而Snort2.1.0约有2000多条规则，这样每个数据包就得匹配2000 多次。因此，这种算法并不能满足日益增长的规则集的要求。有的攻击者就利用了算法的这一脆弱性，故 本文于2005一05一19收到，2005一07一20收到修改稿。 微 计 算 机 应 用