一种高效多模式匹配算法及其在NIDS上的应用*

提出了一种基于BM算法思想的、改进了的多模式串匹配算法,并且讨论了它在一个网络入侵检测系统(NIDS)中的实际应用情况。从具体实验中可以看到匹配时间上的显著改进。     

Ad hoc网络中双向快速字符串匹配算法

网络入侵检测系统的原始AC算法采用单向匹配,由于样本数量增加使得比对时间延长,因此提出了一种高效的多模式匹配算法—双向快速字符串匹配算法,该算法采用有限自动机、正反双向匹配的方式,与单向匹配算法相比,提高入侵检测速度3倍左右。对该算法进行了性能分析,并将其与已有算法进行性能比较。仿真实验结果表明,提出的R} AC算法比其他算法有更好的优势,能够提高Ad hoc网络入侵检测的效率。     

一种针对网络入侵检测系统的字符串匹配算法

精确的字符串匹配算法对网络入侵检测系统的性能有重要的影响,为了提高其效率,这里设计了一个专门针对网络入侵检测系统的字符匹配算法,并在snort1.9中实现。和目前最好的替代算法相比较,试验表明此算法能提高NIDS性能10%～40%。     

网络入侵检测系统的性能分析

网络入侵检测系统(NIDS)的流行使NIDS的性能评估也逐渐变得很有挑战性。测试评估入侵检测系统比较复杂，涉及到操作系统、工具、软件、硬件和数据库等方面的问题，而NIDS的性能评估又会涉及到一些实验参数，如流量特征、规则集、匹配算法和处理器结构等。本文主要从入侵辨认能力和传感器的吞吐能力两方面对NIDS的性能进行讨论。     

入侵检测中一种新的多模式匹配算法*

基于模式匹配的检测方法是目前入侵检测系统的一种重要方法,因此作为模式匹配方法核心的字符串匹配算法直接影响入侵检测系统的性能和效率。在AC算法和WuManber算法的研究基础上,提出了一种新的多模式匹配算法——ACWM。该算法能够增加字符跳转距离,比较稳定地减少匹配过程中字符比较的次数,提高匹配的速度和效率。     

入侵检测系统中一种改进的AC算法

在研究和分析入侵检测系统中AC算法应用的基础上,提出了一种改进的AC算法——ObitmappedAC算法,此算法不仅对AC状态机中各结点进行了压缩存储,而且简化了输出处理,使它更容易满足硬件的实现。实验表明,改进后的算法无论在空间性能上还是在时间性能上都优于原算法。     

AC-BM算法的改进及其在入侵检测中的应用

分析了入侵检测和网络流量中存在的问题。如果没有很快的处理速度，字符串匹配就会成为一个瓶颈。对于网络入侵检测系统来说，单一的字符串搜索包负载是缺乏效率的。它不能跟上日益增长的网络速度。因此，提出了一种改进的AC—BM算法。它是多模式匹配的算法。正如本文中所显示的一样，由于采用了改进的AC—BM算法，网络入侵枪测的性能有了改善。     

一种改进的字符串多模式匹配算法

基于字符串匹配的检测方法是入侵检测系统中的一种重要方法。通过分析几种常见的字符串匹配算法（AC、AC_BMH、Sunday等）的基础,提出了一种对AC算法的改进,新算法每一次匹配不成功后都能跳过尽可能多的字符以进行下一轮匹配,使得匹配次数大大减少,从而提高了匹配效率。分析了该算法的性能,并用具体的实验数据给出了几种匹配算法的测试结果。     

入侵检测系统中模式匹配算法的研究

入侵检测是网络安全的最后一道防线,模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,模式匹配的效率决定这类入侵检测系统的性能。本文对入侵检测系统中的模式匹配算法进行了综述,包括经典的单模式匹配算法--KMP算法、BM算法、RK算法和多模式匹配AC算法。对各种算法的性能进行了分析。最后提出了改进模式匹配算法效率的研究方向。     

分布式入侵检测系统中自保护代理的系统设计

采用分布式结构的基于网络的入侵检测系统(NIDS)自身的安全性已经成为一个重要问题。在分析了已有NIDS的技术特点的基础上，根据其特性引入了报文过滤、进程控制、报文确认和安全通信的思想，提出了面向NIDS的向保护代理(Sclf-protcction Agent)的模型，并给出了SPA的体系结构与详细设计。在与已有的基于代理的入侵检测系统结合后，SPA可以提高NIDS的安全性。     

入侵检测系统中高效模式匹配算法的研究

基于特征匹配的网络入侵检测系统的性能主要受模式匹配算法的影响。文章在对流行的网络入侵检测系统snort深入剖析的基础上，侧重研究如何利用各种高效模式匹配算法来优化snort的性能。重点介绍了一种基于BM思想的多模式匹配算法——SSPBM算法，结果表明采用SSPBM算法可以较大提高网络入侵检测系统的检测性能。     

入侵检测中的自适应模式匹配技术

模式匹配既是网络入侵检测系统（NIDS）的核心技术,也是NIDS中消耗资源最多的部分,并正在成为NIDS的性能瓶颈。现有的模式匹配算法大多采用静态定义的优化策略,没有考虑网络流量和入侵检测规则的特性。该文提出一种自适应的模式匹配算法AMPM,动态统计网络流量和规则组的特性,根据统计结果自动选择最合适的模式匹配算法。测试表明,AMPM使现有NIDS的性能提高了9．4％-29．1％,且对于大规则集具有更好的适应性。     

入侵检测中一种节约内存的多模式匹配算法

模式匹配既是网络入侵检测系统（NIDS）的关键,也是NIDS中消耗资源最多的部分。随着网络速度和入侵检测规则的持续增长,模式匹配正在成为NIDS的性能瓶颈。提出了一种基于非确定有限自动机结构的Aho-Corasick算法,通过压缩状态表,把状态和状态变迁存储在一个单一向量中,显著降低了内存需求,获得了良好的cache性能。测试表明,与其他Aho-Corasick 算法相比,MEAC的内存消耗平均减少了92.3%~98.4%,同时保持了Aho-Corasick算法的良好性能。     

入侵检测系统中的快速多模式匹配算法

网络入侵检测系统常常依赖于精确的模式匹配技术，依赖于算法的选择、实现以及使用频率。这种模式匹配技术可能成为入侵检测系统的瓶颈，为了跟上快速增长的网络速度和网络流量，Snort(开放源代码的网络入侵检测系统)中采用了快速多模式匹配算法，本文描述了Snort中一种引入注目的快速多模式匹配算法及其对系统性能的改进。     

一种面向入侵检测的快速多模式匹配算法

随着网络速度和入侵检测规则的持续增长,模式匹配正在成为网络入侵检测系统的性能瓶颈。提出了一种新的Wu-Manber类型的模式匹配算法,通过将模式分组,对不同子模式组采用不同匹配方法,显著提高了模式匹配的效率。对比实验表明,当模式组中含有长度小于3的模式时,新算法性能比原算法平均提高了29%~44%。     

Towards adaptive character frequency-based exclusive signature matching scheme and its applications in distributed intrusion detection

Network intrusion detection systems (NIDSs), especially signature-based NIDSs, are being widely deployed in a distributed network environment with the purpose of defending against a variety of network attacks. However, signature matching is a key limiting factor to limit and lower the performance of a signature-based NIDS in a large-scale network environment, in which the cost is at least linear to the size of an input string. The overhead network packets can greatly reduce the effectiveness of such detection systems and heavily consume computer resources. To mitigate this issue, a more efficient signature matching algorithm is desirable. In this paper, we therefore develop an adaptive character frequency-based exclusive signature matching scheme (named ACF-EX) that can improve the process of signature matching for a signature-based NIDS. In the experiment, we implemented the ACF-EX scheme in a distributed network environment, evaluated it by comparing with the performance of Snort. In addition, we further apply this scheme to constructing a packet filter that can filter out network packets by conducting exclusive signature matching for a signature-based NIDS, which can avoid implementation issues and improve the flexibility of the scheme. The experimental results demonstrate that, in the distributed network environment, the proposed ACF-EX scheme can positively reduce the time consumption of signature matching and that our scheme is promising in constructing a packet filter to reduce the burden of a signature-based NIDS.     

支持模式串动态更新的多模式匹配Karp-Rabin算法

多模式匹配算法是网络监测和内容过滤系统的核心算法,但是现有的多模式匹配算法无法实现高并发下动态更新模式串的功能。通过改进Karp-Rabin 算法,实现了多模式字符串匹配技术,实验表明多模式Karp-Rabin算法具有良好的性能。随后在多模式Karp-Rabin 算法的基础上进一步改进,使其在高并发情况下能够支持模式串动态增删功能。实验表明该算法在单个线程不断更新的条件下,随着扫描线程个数的增加,搜索速度能够保持线性增长。     

一种用于多模式匹配的高效二叉检索树

网络环境的文本检索往往是同时面向大量用户的,传统的单模式匹配算法无法应付数量巨大的关键字,而一般的基于Trie树的多模式匹配算法又存在空间复杂度不良、结构复 杂等问题。针对这种检索大量关键字的应用,本文通过修改Trie树节点的结构得到一种更为简单的多模式匹配算法。该算法既有多模式匹配的性能,又具有高效的空间利用率,并且非常容易实现。     

多模式匹配算法在网络入侵自动检测中的应用

为了可以对计算机网络安全进行有效的保护,同时提高计算机网络入侵检测的功能及其效率,提出多模式匹配算法在网络入侵自动检测中的应用。首先快速检测引擎初始化,快速有效地区别规则集合;其次构造模式匹配链表,读取系统配置文件的规则;最后检测网络数据包,确保计算机网络安全。通过实验结果的对比,可以明显看出,相比于传统算法,多模式匹配算法在网络入侵自动检测中的应用要更具有实用性,对入侵数据的检测能够进行高速处理,相同时间范围内,多模式匹配算法的超调量远超传统算法。     

多模匹配问题在IDS中的解决

传统的Snort系统引入单模式匹配速度较快的BM算法进行特定的模式匹配。文献[1]在Snort系统中引入了基于KMP的多模式匹配算法,能有效地提高系统的性能。但是该匹配算法本身存在着局限性,以致干无法完成含有多Content属性选项规则的匹配工作。该文从多content属性选项的规则匹配问题着手,提出了解决方案,从而进一步推进了多模式匹配算法在IDS中的引入。