入侵检测系统中高效模式匹配算法的研究

基于特征匹配的网络入侵检测系统的性能主要受模式匹配算法的影响。文章在对流行的网络入侵检测系统snort深入剖析的基础上,侧重研究如何利用各种高效模式匹配算法来优化snort的性能。重点介绍了一种基于BM思想的多模式匹配算法——SSPBM算法,结果表明采用SSPBM算法可以较大提高网络入侵检测系统的检测性能。     

网络入侵检测系统中的模式匹配算法优化研究

在网络安全问题的研究中,模式匹配是网络安全入侵检测中一种常用检测算法,由于网络规模越来越大,传统的模式匹配算由于入侵数目和空间消耗太大,常出现无效匹配和漏配现象,导致检测准确率低等难题.为了提高检测准确率及加快检测速度,提出了一种改进的模式匹配网络入侵榆测算法(IACBM).IACBM 首先在侵检测中引入了BMH和QS算法的跳跃思想,简化跳跃规则,有效防止了无效匹配和漏配,然后匹配方式采用单模式匹配(BM)算法和多模式匹配(AC)算法相结合的混合方式,增强了入侵检测算法的灵活性,最后利用DARPA网络入侵数据对IACBM算法进行验证性实验.实验结果表明,相对于传统网络模式匹配入侵检测算法BM、AC和ACBM,IACBM入侵检测速度加快,同时检测准确率平均提高5%以上.IACBM算法是一种高效、安全的网络入侵检测算法.     

一种入侵检测系统的模式匹配算法*

提出了一种基于后缀树自动机的模式匹配算法,匹配中应用后缀启发机制进行启发跳跃,忽略不必要的比较。实验表明,该方法与传统模式匹配方法相比能有效地加快模式匹配的速度,提高入侵检测效率。     

入侵检测系统中的带权模式匹配算法

入侵检测系统（IDS）需要根据每个模式串的权值,计算给定主串的总权值并反馈给报警系统。传统的模式匹配算法在计算主串权值时效率低。为此,文中在Aho—Corasick算法的基础上,提出了带权模式匹配算法（WPM）及其改进算法（WPME）。算法优化了自动机的建立过程,对自动机每个节点的失配后继指针信息和匹配量信息进行预处理,从而避免了模式匹配阶段在计算主串权值时的回溯操作,降低了算法的时间复杂度。实验表明,改进后的算法具有效率高、匹配精确的特点。     

入侵检测系统中模式匹配算法的研究

入侵检测是网络安全的最后一道防线,模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,模式匹配的效率决定这类入侵检测系统的性能。本文对入侵检测系统中的模式匹配算法进行了综述,包括经典的单模式匹配算法--KMP算法、BM算法、RK算法和多模式匹配AC算法。对各种算法的性能进行了分析。最后提出了改进模式匹配算法效率的研究方向。     

入侵检测系统中模式匹配算法的研究

入侵检测是网络安全的最后一道防线,模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,模式匹配的效率决定这类入侵检测系统的性能.本文对入侵检测系统中的模式匹配算法进行了综述,包括经典的单模式匹配算法--KMP算法、BM算法、RK算法和多模式匹配AC算法.对各种算法的性能进行了分析.最后提出了改进模式匹配算法效率的研究方向.     

入侵检测多模式匹配算法

基于模式匹配的入侵检测是目前最重要的一种入侵检测方法,面字符串匹配效率是该方法的核心,直接影响检测效率。该文在充分分析BM算法、AC算法及AC_BM算法的基础上提出了一种新的更好搜索步长的多模式匹配算法NMSA,并具体分析了该算法的效率,通过实验数据对比,再次证明NMSA算法具有更好的搜索步长、更好的效率。     

入侵检测系统中高效的模式匹配算法

针对入侵检测系统模式匹配效率低的问题,提出一种高效的模式匹配算法.该算法通过对模式进行预处理记录模式的信息,然后对子节点进行递归比较,找到重复度最大的部分,提高模式匹配的效率;通过增加附加m个节点的匹配模式结构,降低模式匹配算法的时间与空间复杂度.理论分析表明,对于包含n个节点的主题树,提出的模式匹配算法的时间复杂度为O(nlog2n+mlog2m),空间复杂度为O(n+m).详细的实验以及与现有算法的比较表明,提出的模式匹配算法在时间、空间和匹配率性能上具有更高的效率.     

入侵检测系统中的快速多模式匹配算法

网络入侵检测系统常常依赖于精确的模式匹配技术,依赖于算法的选择、实现以及使用频率。这种模式匹配技术可能成为入侵检测系统的瓶颈,为了跟上快速增长的网络速度和网络流量,Snort(开放源代码的网络入侵检测系统)中采用了快速多模式匹配算法,本文描述了Snort中一种引入注目的快速多模式匹配算法及其对系统性能的改进。     

A parameterized multilevel pattern matching architecture on FPGAs for network intrusion detection and prevention

Pattern matching is one of the most performance-critical components for the content inspection based applications of network security, such as network intrusion detection and prevention. To keep up with the increasing speed network, this component needs to be accelerated by well designed custom coprocessor. This paper presents a parameterized multilevel pattern matching architecture (MPM) which is used on FPGAs. To achieve less chip area, the architecture is designed based on the idea of selected character decoding (SCD) and multilevel method which are analyzed in detail. This paper also proposes an MPM generator that can generate RTL-level codes of MPM by giving a pattern set and predefined parameters. With the generator, the efficient MPM architecture can be generated and embedded to a total hardware solution. The third contribution is a mathematical model and formula to estimate the chip area for each MPM before it is generated, which is useful for choosing the proper type of FPGAs. One example MPM architecture is implemented by giving 1785 patterns of Snort on Xilinx Virtex 2 Pro FPGA. The results show that this MPM can achieve 4.3 Gbps throughput with 5 stages of pipelines and 0.22 slices per character, about one half chip area of the most area-efficient architecture in literature. Other results are given to show that MPM is also efficient for general random pattern sets. The performance of MPM can be scalable near linearly, potential for more than 100 Gbps throughput. Supported by the National Natural Science Foundation of China (Grant No. 60803002), and the Excellent Young Scholars Research Fund of Beijing Institute of Technology     

网络入侵检测系统自体集检测中的概率匹配高效寻优机制

针对自体集数据规模较大造成的时空上的巨大消耗而难以处理的问题,设计了基于人工免疫的网络入侵检测系统(NIDS)的自体集匹配机制。为提高入侵检测系统的检测效率,提出概率匹配高效寻优机制。首先证明了网络数据的相对集中性,通过计算平均查找长度(ASL)分析了概率匹配机制的有效性,并通过模拟实验验证了该机制的快速匹配效率,并且在一种基于自体集规模简约机制的新型人工免疫网络入侵检测系统上进行了工程应用,取得了较好的匹配效果。     

入侵检测中一种节约内存的多模式匹配算法

模式匹配既是网络入侵检测系统（NIDS）的关键,也是NIDS中消耗资源最多的部分。随着网络速度和入侵检测规则的持续增长,模式匹配正在成为NIDS的性能瓶颈。提出了一种基于非确定有限自动机结构的Aho-Corasick算法,通过压缩状态表,把状态和状态变迁存储在一个单一向量中,显著降低了内存需求,获得了良好的cache性能。测试表明,与其他Aho-Corasick 算法相比,MEAC的内存消耗平均减少了92.3%~98.4%,同时保持了Aho-Corasick算法的良好性能。     

基于特征匹配的网络入侵检测技术安全性研究

本文通过对基于特征匹配的入侵检测技术的深入分析,从网络入侵者的角度总结提出了多种可以有效地躲避数据审计的相关技术,揭示了网络入侵检测存在的不足。     

高速入侵检测研究

高速入侵检测是当前网络安全领域研究的热点之一,分析了高速环境下入侵检测面临的主要问题和各种制约因素,并对高速入侵检测的进行了多方面地研究,分析和介绍了零拷贝技术、快速匹配算法.分析指出基于分流的分布式入侵检测是高速检测的发展方向.最后给出高速入侵检测后续有待研究和解决的问题.     

校园网分布式入侵检测系统设计

本文引入主动安全防护的分布式入侵检测系统,并通过协议分析和模式匹配的检测方法大大提高入侵检测系统的检测速度和准确性。     

基于网络协议解析的入侵检测系统的研究

传统的基于模式匹配的入侵检测系统没有充分利用网络协议的规则,存在计算量大、准确率低等缺点。本文在网络协议分析的基础上,提出了基于网络协议解析的新的入侵检测系统模型。该系统能大大减少数据运算匹配量,为基于协议解析的入侵检测方法提供了一个更加广阔的发展平台。     

基于SoPC的网络入侵检测中模式匹配系统设计

设计了一种基于FPGA的模式匹配系统,通过Verilog HDL语言实现系统主体;采用开源的Snort规则,选用由“异或”运算组成的适合FPGA处理的HashMem函数进行模式匹配;通过软件预处理找出Snort中的冲突模式串进行单独匹配从而用硬件方法解决冲突.硬件电路采用DM9000A网络控制器接收网络数据.实验结果显...     

A memory-based NFA regular expression match engine for signature-based intrusion detection

Signature-based intrusion detection is required to inspect network traffic at wire-speed. Matching packet payloads against patterns specified with regular expression is a computation intensive task. Hence, the design of hardware accelerator to speed up regular expression matching has been an active research area. A systematic approach to detect regular expression is based on finite automaton. The space-time trade-off between deterministic finite automaton (DFA) and non-deterministic finite automaton (NFA) is well-known. DFA can offer constant throughput but it may suffer from the state explosion problem. Hence, implementation of DFA for large pattern sets on embedded device with limited on-chip memory may not be viable. NFA requires linear space but the throughput can be very low. Implementations of NFA with hardwired circuits can overcome the speed deficiency by exploiting the massive parallelism offered by dedicated hardware circuitries, but this approach does not support efficient dynamic updates. In this paper, we shall present a memory-based architecture for the implementation of NFA to speed up regular expression matching for signature-based intrusion detection. The proposed method supports dynamic updates and offers constant throughput so that it can be used to supplement the existing DFA-based methods in handling large pattern sets.