Web入侵检测系统高效多的模式匹配算法.docVIP

Web入侵检测系统高效多的模式匹配算法 　　(1.杭州电子科技大学 计算机学院,杭州 310018；2.亚龙（安恒）信息科技（杭州）有限公司, 杭州 310035) 　　 　　摘 要：针对Web入侵检测系统中存在的攻击模式误匹配与效率问题，提出了一种高效的多模式匹配算法MPMA。MPMA通过构建比较树，并在比较树的每个节点中记录下次比较的字符位置以提高比较效率，并利用（模式，偏移）信息对来搜索可能符合的匹配模式。详细的实验以及与现有算法的比较表明，提出的MPMA不仅适合于Web入侵检测系统，同时在时间、空间和匹配率性能上具有更高的效率。 　　关键词：入侵检测系统；多模式匹配；Web 　　中图分类号：TP393.08文献标志码：A 　　文章编号：1001-?B3695(2009)04-?B1528-?B04 　　 　　Efficient multi-pattern matching algorithm for Web intrusion detection systems 　　 　　FAN Xuan-miao1,ZHENG Ning1,FAN Yuan2 　　(1.School of Computer Science, Hangzhou Dianzi University, Hangzhou 310018, China；2.Hangzhou DB Appsecurity Information Technology Co., Ltd, Hangzhou 310035, China) 　　Abstract:To overcome the defects of false pattern matching and time-and-space efficiency in Web intrusion detection systems (IDSs),this paper proposed an efficient multi-pattern matching algorithm called MPMA.With building comparison tree, every tree node had a position value which could tell you where an octet comparison should be made next, and MPMA used(pattern,offset)pair to find possible matching patterns. Detailed experimental results and comparison with existed algorithms prove that the proposed MPMA not only fits Web IDS, but also outperforms current state-of-the-art schemes in terms of time efficiency, space efficiency and matching ratio. 　　Key words:intrusion detection systems(IDS); multi-pattern matching; Web 　　 　　0 引言?? 　　由于管理者疏忽、系统漏洞、新的攻击手法层出不穷等各种因素，使得Web服务器遭受网络攻击的事件频繁发生[1]。其中以Web应用类型的攻击最多，而大部分Web应用并没有采取专门有效的防护措施来应对。导致Web应用进一步面临威胁的另一个因素是，Web服务器与应用底层架构的变化以及使用非安全开放源代码组件现象的增加[2]。Web服务器与Web应用已经从最初提供简单的静态内容演变到提供丰富的动态内容；除了可以创建动态页面与启动应用程序外，还可以与数据库进行通信以生成对用户有用的内容。大多数Web服务器平台都将应用程序与服务器捆绑在一起,即使最简单的网站也会与Web应用进行交互，这就为攻击提供了更多的机会。?? 　　由于Web服务通常会自动打开，访问控制机制的应用在有些情况下是不切实际的。此外Web服务器在结构方面很复杂，在一个位置安装所有保护机制也不可能达到理想效果，在那些防御机制有效的地方，需要的配置变化依赖于引起攻击的根源和特殊的Web服务结构。有一些策略可以使入侵者绕过IDS或使IDS不起作用。例如，入侵者可以试图使网络溢出或在虚拟包中插入一些新的恶意包来实现上述策略[3]。针对Web攻击，目前主要的措施是采用入侵检测系统（IDS）尽快、尽可能可靠地检测出各种入侵行为[4]。IDS同时能对数据帧的帧头与负载进行检测，并与已知的所有攻击方式进行比较，找出可能