计算机网络安全入侵检测技术研究.docxVIP

? ? 计算机网络安全入侵检测技术研究 ? ? 吴华勋 （福建省邮电学校，福建 福州 350008） 计算机网络极大地改变了人们的生活方式，提升了生产效率。但是由于计算机网络的覆盖范围大、信息交换量高，给计算机网络安全带来了隐患[1]。很多黑客以计算机网络为目标，通过入侵计算机网络获取信息谋取私人利益。计算机网络安全的一项重要内容，就是对黑客的入侵行为进行检测，即入侵检测[2]。入侵检测发现入侵行为即可以调度防御算法，抵御黑客的进一步入侵，保护计算机网络的安全。入侵检测算法的核心是字符匹配机制，通过各种规则的设计和匹配算法，找到具有入侵行为特征的程序[3]。该文进一步改进鲍威尔入侵检测算法，希望建立一种效果更好的入侵检测算法。 1 鲍威尔算法及其改进 1.1 鲍威尔入侵检测算法 鲍威尔算法的实质是一种字符匹配算法，最早出现于字符比较、字符串相似性判断的研究工作中。在这个标准字符串中，配置两个Key符，一个是“Good”字符，一个是“Bad”字符。然后，将待匹配的字符串和这个标准字符串进行比较。比较的顺序，是沿着字符串长度方向上，从左到右的执行。在匹配过程中，通过和Key符即“Good”字符、“Bad”字符的比较，确定匹配是否成功，匹配结果可以用于是否发生入侵行为的判定。 图1就给出了有关标准字符串和待匹配字符串匹配过程的描述。 从图1中可以看出，图1（a）中用B表示的字符串就是标准字符串，用T表示的字符串就是匹配字符串。“Bad”字符在字符串中用h表示，关键后缀用字符z表示。 图1（b）表示了标准串中不含有“Bad”字符的情况，匹配过程会将标准字符串直接移动到字符h之后。 图1（c）表示了标准串中含有“Bad”字符的情况，匹配过程会将标准字符串直接移动到字符h所对应的位置上。 图1 鲍威尔算法中字符串的匹配过程 关键后缀z在鲍威尔算法中扮演了非常重要的角色，用于引导鲍威尔算法完成整个匹配过程。在匹配的执行过程中，字符串之间会出现有一部分匹配、另一部分不匹配的情况。通过记录匹配位置和匹配长度，可以找到匹配长度最长的字串，进而根据后缀字符z进行移动处理。这里的操作包括以下3种情况：第一种情况，标准字符串中还存在其他子串中也包括关键后缀的情况，这时可以通过移动这些子串使其到达和关键后缀对齐的位置。这时的具体操作，可以参考图2（a）。第二种情况，标准字符串中没有其他子串包括关键后缀的情况，这时需要在标准字符串的前缀子串中进行进一步寻找，如果能找到这样的前缀，使其和关键后缀对齐即可。第三种情况，标准字符串中既没有包括关键后缀的其他子串，也找不到包括关键后缀的前缀子串，这时只能将整个标准字符串移动到关键后缀再后面一个字符的位置，这时的具体操作，可以参考图2（b）。 图2 关键后缀引导的匹配过程所发生的不同情况 在鲍威尔算法中，采用关键后缀完成匹配过程的引导一般通过配置一个数组来实现，这个数组及数组满足的关系如公式（1）所示。 式中：参数k表示了一个长度，这个长度是和标准字符串相匹配的字符串的最大长度；参数i表示字符串中的位；Datagroup表示字符数组。 根据这个公式所表达的内容，关键后缀引导下的鲍威尔算法执行的匹配过程在数学上的形式如式（2）所示： 式中：参数B表示标准字符串；参数i、m表示字符串中的位；参数k表示长度。 1.2 鲍威尔算法的改进处理 通过鲍威尔算法的原理分析可知，鲍威尔算法匹配准确率与最大移动距离直接相关。如果能进一步增大移动距离，不仅会提升匹配准确率，也会减少匹配次数，从而提升鲍威尔算法的执行效率。基于此，该文对鲍威尔算法的改进，确定了进一步增大移动距离的思路。 根据鲍威尔算法的两种策略，首先得到一个初始的最大移动距离MobileLength1。在此基础上，将匹配字符串中两个临近字符T[k+1]和T[k+2]组合匹配，从而可以得到一个新的最大移动距离MobileLength2。通过比较新的最大移动距离和初始最大移动距离，选取匹配算法实际采用的最大移动距离。 该文改进的鲍威尔算法的执行过程一共包括以下5个步骤。 第一个步骤，构建一个新的数组用于计数统计，它主要负责记录每个字符在标准字符串中一共出现了几次，这个数组的数学形式如式（3）所示： 式中：参数Btime（char）表示了任意一个字符在标准字符串中出现的次数。根据公式（3）可以看出，如果任意一个字符在标准字符串中出现的次数恰好为1，那么数组就记录为1；如果任意一个字符在标准字符串中出现的次数大于1，那么数组就记录为0。 第二个步骤，结合匹配字符串的具体情况，组合T[k+2]和T[k+2]并提取相邻字符，提取后的结果纳入char（1，2），之后将char（1，2）和标准字符串进行相似性比较。 第三个步骤，如果标准字符串中并不含有char（1，2）一样的子串