一种面向入侵检测的快速多模式匹配算法

随着网络速度和入侵检测规则的持续增长,模式匹配正在成为网络入侵检测系统的性能瓶颈。提出了一种新的Wu-Manber类型的模式匹配算法,通过将模式分组,对不同子模式组采用不同匹配方法,显著提高了模式匹配的效率。对比实验表明,当模式组中含有长度小于3的模式时,新算法性能比原算法平均提高了29%~44%。     

入侵检测系统中模式匹配算法的优化研究

模式匹配是入侵检测系统中常用的技术,而字符串匹配算法是其核心内容.本文分析了三个常用的匹配算法,并在此基础上对其中的BM(Boyer-Moore)算法和WM(Wu-Manber)算法进行了改进和优化,从而提高了模式匹配的速度和效益.     

基于MWM算法的多模式匹配的改进算法NMWM

针对入侵检测软件snort的默认多模式匹配算法-MWM(Modified Wu-Manber)中存在模式匹配窗口移动距离偏小和缺少合适的哈希冲突处理的问题,对算法的模式集预处理阶段和文本匹配阶段进行了改进,设计和实现了一种新的多模式匹配算法-NMWM算法.实验结果表明,NMWM算法比MWM算法能够有效的提高模式匹配的处理速度.     

基于排除算法型入侵检测系统的改进

入侵检测系统能有效防御网络上多数病毒和非法入侵,但也存在效率问题,特别是在高速网络环境下对检测效率要求非常高。文章提出了一种基于排除算法的模式匹配算法,对入侵检测系统中模式匹配算法进行了改进,使得在实际应用中调用标准模式匹配算法大为减少,提高了系统效率。     

基于Snort的IPS模型

本文从现有安全防护产品的不足出发,简单分析入侵防御系统IPS的工作原理和发展趋势,以Linux防火墙Netfilter和开源入侵检测系统Snort相结合的方式建立了入侵防御模型,并采用改进了Snort的模式匹配算法,以提高检测效率。     

Wu—Manber算法性能分析及其改进

在模式匹配中，多模式匹配算法越来越受到人们的关注。本文首先介绍了一些著名的多模式匹配算法，重点介绍了Wu—Manber算法的基本概念及其实现原理，此算法在实践应用中是最有效的。然后提出了对Wu-Manber算法的改进，以解决多模式串长度很短时出现的性能问题。最后，实验数据表明，改进后的Ww-Manber算法，其性能远远优于传统的Wu-Manber算法。     

面向入侵检测的模式匹配算法改进

模式匹配算法是入侵检测系统中使用较多的一种算法。在检测过程中,模式匹配算法的效率决定了入侵检测系统的性能。针对入侵检测系统中模式匹配算法效率不高的缺点,在对入侵检测系统的BM模式匹配算法进行深入分析的基础上,提出了一种针对BM模式匹配算法的改进算法E-BM算法,通过实验测试结果表明该算法能够有效提高入侵检测效率。     

入侵检测系统中模式匹配算法的研究

入侵检测是网络安全的最后一道防线,模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,模式匹配的效率决定这类入侵检测系统的性能。本文对入侵检测系统中的模式匹配算法进行了综述,包括经典的单模式匹配算法--KMP算法、BM算法、RK算法和多模式匹配AC算法。对各种算法的性能进行了分析。最后提出了改进模式匹配算法效率的研究方向。     

一种按字长匹配的Wu-Manber多模式匹配算法

多模式匹配是串处理系统中最重要的操作之一,而Wu-Manber算法是多模式串匹配算法中平均性能表现最好的算法.针对Wu-Manber多模式匹配算法在规则集中存在短模式串时性能下降的问题,提出一种按字长匹配的多模式匹配算法.改进的算法是在32位机器上实现,哈希的字符块长度取2,每次匹配的单位由原来的一个字符变为一个机器字,缩小了访存时间,同时利用机器字长存储的特点合理设计哈希函数,加快了字符块哈希值的计算,极大的提高了有短模式串存在时模式集的匹配性能.与原Wu-Manber算法对比,当最短模式串长度小于6时,改进后的算法搜索时间平均缩短了40％.当最短模式串长度为2和3时,搜索时间缩短了60％以上.     

入侵检测系统中模式匹配算法的研究

入侵检测是网络安全的最后一道防线,模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,模式匹配的效率决定这类入侵检测系统的性能.本文对入侵检测系统中的模式匹配算法进行了综述,包括经典的单模式匹配算法--KMP算法、BM算法、RK算法和多模式匹配AC算法.对各种算法的性能进行了分析.最后提出了改进模式匹配算法效率的研究方向.     

入侵检测系统中模式匹配算法的研究与改进

入侵检测系统的性能很大程度上取决于规则检测的效率,模式匹配算法是规则检测引擎的核心算法。对模式匹配算法进行了研究,重点分析了多模式匹配算法Wu—Manber算法。针对Wu—Manber算法在单字节模式串下移动距离短的不足,并结合网络数据包和入侵检测系统中规则的特点,提出了一种适合入侵检测系统的改进的模式匹配算法。该算法利用位示图方法解决了单字节模式串匹配的问题,增加了移动距离,提高了检测数据包与规则匹配的速度,提升了系统运行的效率。     

入侵检测中模式匹配算法的性能分析

模式匹配算法在入侵检测中有着广泛的应用,它直接影响到入侵检测系统的实时性能。论文主要研究了Boyer-Moore算法,Modified Wu—Manber算法,Exclusion—Based算法和Aho—Corasick算法。通过实验对上述四种算法在混合攻击和特定攻击的条件下进行了性能测试,根据实验结果,得出了不同算法的应用范围,为今后入侵检测系统开发者选择模式匹配算法提供了有价值的参考。     

入侵检测中一种新的多模式匹配算法*

基于模式匹配的检测方法是目前入侵检测系统的一种重要方法,因此作为模式匹配方法核心的字符串匹配算法直接影响入侵检测系统的性能和效率。在AC算法和WuManber算法的研究基础上,提出了一种新的多模式匹配算法——ACWM。该算法能够增加字符跳转距离,比较稳定地减少匹配过程中字符比较的次数,提高匹配的速度和效率。     

一种改进的Wu-Manber多模式匹配算法及应用

本文针对Wu-Manber多模式匹配算法在处理后缀模式情况下的不足,给出了一种改进的后缀模式处理算法,减少了匹配过程中字符比较的次数,提高了算法的运行效率。本文在随机选择的TREC2000的52,067篇文档上进行了全文检索实验, 对比了Wu-Manber算法、使用后缀模式的改进算法、不使用后缀模式的简单改进等三种算法的匹配过程中字符比较的次数。实验结果说明,本文的改进能够比较稳定的减少匹配过程中字符比较的次数,提高匹配的速度和效率。     

A fast pattern matching algorithm with multi-byte search unit for high-speed network security

A signature-based intrusion detection system identifies intrusions by comparing the data traffic with known signature patterns. In this process, matching of packet strings against signature patterns is the most time-consuming step and dominates the overall system performance. Many signature-based network intrusion detection systems (NIDS), e.g., the Snort, employ one or multiple pattern matching algorithms to detect multiple attack types. So far, many pattern matching algorithms have been proposed. Most of them use single-byte standard unit for search, while a few algorithms such as the Modified Wu-Manber (MWM) algorithm use typically two-byte unit, which guarantees better performance than others even as the number of different signatures increases. Among those algorithms, the MWM algorithm has been known as the fastest pattern matching algorithm when the patterns in a rule set rarely appear in packets. However, the matching time of the MWM algorithm increases as the length of the shortest pattern in a signature group decreases.In this paper, by extending the length of the shortest pattern, we minimize the pattern matching time of the algorithm which uses multi-byte unit. We propose a new pattern matching algorithm called the L⁺¹-MWM algorithm for multi-pattern matching. The proposed algorithm minimizes the performance degradation that is originated from the dependency on the length of the shortest pattern. We show that the L⁺¹-MWM algorithm improves the performance of the MWM algorithm by as much as 20% in average under various lengths of shortest patterns and normal traffic conditions. Moreover, when the length of the shortest pattern in a rule set is less than 5, the L⁺¹-MWM algorithm shows 38.87% enhancement in average. We also conduct experiments on a real campus network and show that 12.48% enhancement is obtained in average. In addition, it is shown that the L⁺¹-MWM algorithm provides a better performance than the MWM algorithm by as much as 25% in average under various numbers of signatures and normal traffic conditions, and 20.12% enhancement in average with real on-line traffic.     

短规则有效的快速多模式匹配算法

随着网络技术快速发展,多模式匹配算法所处理的模式集合数目呈爆炸式增长且模式长度不统一,传统的多模式匹配算法已无法有效适应新的模式集合：不同的模式集合,同一算法呈现的性能差异明显。针对模式长度不等且分布不均匀的模式集合,提出一种改进WM的多模式匹配算法（MWM）,将模式集合分为长短两个集合并构造各自的长短SHIFT表,辅助WM算法原有SHIFT表验证匹配效果,匹配过程由单一线程完成。该算法不仅减少了模式验证次数,而且提高了算法的平均跳转距离。实验结果表明,所提出的多模式匹配算法（MWM）在模式长度不等且分布不均匀的模式集合下表现出更优的性能,随着模式集合的数目增多,性能提升越明显。在模式集合数目达到100 000时,相比WM算法,该算法性能提升达到了40%。     

一种面向PDF文本内容审查的高效多模式匹配算法

针对Wu-Manber多模式匹配算法所存在的匹配效率低、跳转距离较小的问题,结合PDF文本内容的编码规则,提出了一种适用于中文PDF文本内容审查的Wu-Manber改进算法。该算法使用布隆过滤器提取模式串关键信息,同时结合双重哈希和PDF文本编码规则,减少了无谓的匹配次数,加大了跳转幅度,从而提升了PDF文本的匹配性能。实验结果表明,这种改进算法在PDF文本审查中的匹配速率有较大提升,尤其当最短模式串较长且模式串规模较大时速度可以提升一倍以上。     

入侵检测系统中一种模式匹配算法的研究与改进

对基于入侵检测系统来说．模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,也是当前入侵检测设备中普遍应用的算法。它的效率直接影响到入侵检测系统的准确性和实时性,文章通过对模式匹配算法的改进,提出了一种改进的算法,在匹配文本中重复字符串较多时,该算法可以加快入侵检测系统的检测速度,提高现有入侵检测系统的检测能力。