入侵检测系统中一种模式匹配算法的研究与改进.docVIP

入侵检测系统中一种模式匹配算法的研究与改进 　　摘要:对基于入侵检测系统来说,模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,也是当前入侵检测设备中普遍应用的算法。它的效率直接影响到入侵检测系统的准确性和实时性,文章通过对模式匹配算法的改进,提出了一种改进的算法,在匹配文本中重复字符串较多时,该算法可以加快入侵检测系统的检测速度,提高现有入侵检测系统的检测能力。 　　关键词:BM算法;入侵检测系统(IDS);模式匹配 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)05-1101-03 　　Reasching and Improving of Pattern Matching Algorithm in Intrusion Detection System 　　ZHU Jun,YU Qiang 　　(School of Computer Information, Hefei University of Technology, Hefei 230601, China) 　　Abstract: For the Intrusion Detection System(IDS), pattern matching algorithm is based on feature matching intrusion detection system in the core algorithm, but also the current intrusion detection equipment widely used algorithms. Its efficiency directly affects the accuracy of intrusion detection systems and real-time, the article through improved pattern matching algorithm is proposed an improved algorithm, repeated in the matching text strings more, the algorithm can speed up the intrusion detection system the detection rate, upgrade the existing intrusion detection system detection capability. 　　Key words: BM algorithm; intrusion detection system(IDS); pattern matching 　　由于计算机网络自身存在的局限性和信息系统的脆弱性,使得计算机网络系统上的硬件资源,通信资源,软件及信息资源等因为各种原因而遭到破坏、更改、泄露或功能失效,使得信息系统处于异常状态,甚至引起系统的崩溃瘫痪,造成巨大的经济损失。在这样的形式下,以保护网络中的信息免受各种攻击为目的的网络安全变得越来越重要,对安全方面的考虑提高到了越来越重要的地位上。 　　在设计现有防护系统的时候,只可能考虑到已知的安全威胁与有限范围的未知安全威胁。防护技术只能做到尽量阻止攻击企图的得逞或者延缓这个过程,而不能阻止各种攻击事件的发生,这时就需要引入入侵检测手段加以弥补。 　　入侵检测系统(IDS)就是按照一定的安全策略建立相应的安全辅助措施的保障系统。目前IDS软件的开发方式基本上就是按照这个思路进行的。对IDS的要求是:如果系统遭到攻击,IDS应尽可能的检测到,甚至是实时的检测到入侵攻击,然后采取适当的处理措施[1]。IDS一般不是采取预防的措施以防止入侵 事件的发生,入侵检测作为安全技术其作用在于: 　　1) 识别入侵者; 　　2) 识别入侵行为; 　　3) 检测和监视已成功的安全突破; 　　4) 为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。 　　从这些角度看待安全问题,入侵检测非常必要,它将弥补传统安全保护措施的不足。从目前入侵检测技术的研究来看,一个重要的环节是对入侵行为特征进行匹配,即规则匹配。规则匹配的过程就是对从网络上捕获的每一条数据报文和预先定义的入侵规则树进行匹配的过程。如果发现存在某条规则匹配这个报文,就表示检测到一个攻击,然后按照规则指定的行为进行处理;如果搜索完所有的规则都没有找到匹配的规则,就表示报文是正常的报文。BM算法和KMP算法是入侵检测中应用范围最广的一种字符匹配算法,近年来在IDS中也得到应用,典型的IDS中的Snort就采用了BM算法[2]。但由于BM算法自身存在的缺陷,导致在高速网络环境下入侵检测的速度可能跟不上数据包到