基于Snort的入侵检测系统性能优化

通过对Snort的规则匹配方式和模式匹配算法进行分析,为了提高基于Snort的入侵检测系统检测效率,提出了在规则匹配过程中充分利用处理函数的参数之间的关系,从而动态减少无效匹配次数,在模式匹配阶段采用改进的模式匹配算法提高匹配速度,从根本上优化了入侵检测系统的检测性能。     

入侵检测系统中模式匹配算法的研究与改进

入侵检测系统的性能很大程度上取决于规则检测的效率,模式匹配算法是规则检测引擎的核心算法。对模式匹配算法进行了研究,重点分析了多模式匹配算法Wu—Manber算法。针对Wu—Manber算法在单字节模式串下移动距离短的不足,并结合网络数据包和入侵检测系统中规则的特点,提出了一种适合入侵检测系统的改进的模式匹配算法。该算法利用位示图方法解决了单字节模式串匹配的问题,增加了移动距离,提高了检测数据包与规则匹配的速度,提升了系统运行的效率。     

网络入侵检测系统中的模式匹配算法优化研究

在网络安全问题的研究中,模式匹配是网络安全入侵检测中一种常用检测算法,由于网络规模越来越大,传统的模式匹配算由于入侵数目和空间消耗太大,常出现无效匹配和漏配现象,导致检测准确率低等难题.为了提高检测准确率及加快检测速度,提出了一种改进的模式匹配网络入侵榆测算法(IACBM).IACBM 首先在侵检测中引入了BMH和QS算法的跳跃思想,简化跳跃规则,有效防止了无效匹配和漏配,然后匹配方式采用单模式匹配(BM)算法和多模式匹配(AC)算法相结合的混合方式,增强了入侵检测算法的灵活性,最后利用DARPA网络入侵数据对IACBM算法进行验证性实验.实验结果表明,相对于传统网络模式匹配入侵检测算法BM、AC和ACBM,IACBM入侵检测速度加快,同时检测准确率平均提高5%以上.IACBM算法是一种高效、安全的网络入侵检测算法.     

入侵检测系统中模式匹配算法的研究与改进

入侵检测系统的性能很大程度上取决于规则检测的效率,模式匹配算法是规则检测引擎的核心算法。对模式匹配算法进行了研究,重点分析了多模式匹配算法Wu—Manber算法。针对Wu—Manber算法在单字节模式串下移动距离短的不足,并结合网络数据包和入侵检测系统中规则的特点,提出了一种适合入侵检测系统的改进的模式匹配算法。该算法利用位示图方法解决了单字节模式串匹配的问题,增加了移动距离,提高了检测数据包与规则匹配的速度,提升了系统运行的效率。     

提高Snort规则匹配速度的研究

Snort是一种基于规则匹配的误用入侵检测系统,基于规则的模式匹配是Snort检测引擎的主要机制,也是衡量其性能的重要指标.由于当前Snort采用的规则树结构过于简单,造成某些RTN下的OTN链比较庞大;匹配过程中,OTN各个选项的匹配顺序仍然局限于安全专家根据领域知识,人为而定,从而造成某些重要选项不能得到优先匹配,大大降低了Snort的匹配速度,严重影响检测效率.为解决上述问题,将数据挖掘技术应用到Snort入侵检测系统中,利用数据挖掘中的ID3算法,对Snort规则库中的规则进行挖掘,选取信息增益最大的属性作为Snort优先匹配的属性,从而提高了规则匹配的速度.     

一种面向入侵检测的快速多模式匹配算法

随着网络速度和入侵检测规则的持续增长,模式匹配正在成为网络入侵检测系统的性能瓶颈。提出了一种新的Wu-Manber类型的模式匹配算法,通过将模式分组,对不同子模式组采用不同匹配方法,显著提高了模式匹配的效率。对比实验表明,当模式组中含有长度小于3的模式时,新算法性能比原算法平均提高了29%~44%。     

基于二叉键树的多模式匹配算法的研究

提出用二叉键树存储0/1模式串集合,给出了基于二叉键树的多模式匹配算法。为避免回溯,提出了线索化二叉键树结构,同时给出了相应的匹配算法。     

入侵检测系统中BM模式匹配算法的改进

随着计算机网络的持续快速发展,网络安全问题日益突出,入侵检测技术也成为当前研究的热点.检测引擎作为入侵检测系统(IDS)的核心模块,基本上采用基于模式匹配的检测方法,模式匹配算法直接影响到系统的准确性和实时性能.文中介绍了目前最常用的BM模式匹配算法,以及其改进算法Boyer-Moore-Horspool(BMH)算法,在此基础上提出了另一种改进的BM算法.该算法减少了匹配次数,有效地加快了模式匹配的速度,提高了入侵检测的效率.     

入侵检测系统中一种模式匹配算法的研究与改进

对基于入侵检测系统来说．模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,也是当前入侵检测设备中普遍应用的算法。它的效率直接影响到入侵检测系统的准确性和实时性,文章通过对模式匹配算法的改进,提出了一种改进的算法,在匹配文本中重复字符串较多时,该算法可以加快入侵检测系统的检测速度,提高现有入侵检测系统的检测能力。     

入侵检测中一种新的多模式匹配算法

基于模式匹配的检测方法是目前入侵检测系统的一种重要方法,因此作为模式匹配方法核心的字符串匹配算法直接影响入侵检测系统的性能和效率。在AC算法和WuManber算法的研究基础上,提出了一种新的多模式匹配算法——ACWM。该算法能够增加字符跳转距离,比较稳定地减少匹配过程中字符比较的次数,提高匹配的速度和效率。     

基于有序二叉树的多模式匹配算法

一、简介在一个文本串中查找用户指定的模式串在信息抽取和文本编辑中有着广泛的应用。当前,有限状态自动机(DFSA)算法是解决多模式匹配问题的常用方法。DFSA算法在匹配前对模式串集合进行预处理,转换成树型有限状态自动机,然后只需对文本串进行一次扫描就可找出所有模式串,其查找时间复杂度是O(n)。后来,在这个算法的基础上又有一些改进,实现了跳跃式查找。基于树型结构的有限自动机特别适     

一种实现网络入侵检测的高效算法及其实现架构

为了实现网络入侵检测系统中的精确字符串匹配,本文提出了一种基于叶子-附加和二叉搜索树的字符串匹配算法及其实现架构;首先采用叶子-追加算法来对给定的模式集进行处理,以消除模式之间的重叠。然后采用二叉搜索树算法提取叶子模式及其匹配向量来构建二叉搜索树,并根据每个节点的比较结果,通过左遍历或右遍历来实现字符串的精确匹配;为了进一步提高字符串匹配算法的内存效率,提出了级联二叉搜索树;最后給出了实现精确字符串匹配的总体架构和各个功能模块的架构;实验结果表明,本文提出的设计不仅在内存效率和吞吐量方面优于目前先进的设计技术,而且具有灵活的可扩展性。     

一种基于有序二叉树的多模式匹配算法

传统的多模式匹配算法是用树型结构的有限自动机实现的 ,它具有很多缺点 .本文提出的多模式匹配算法是基于有序二叉树的多模式匹配算法 .实验证明 ,本文算法不但具有和传统算法相当的查找速度 ,而且构造速度快、内存耗费少 .因此 ,本文提出的算法特别适用于要求动态构造自动机的情况     

基于网格IC图象的多模板快速匹配算法

为了加快 IC图象中多个相似单元模板的匹配与定位 ,提出了一种基于网格 IC图象的多模板快速匹配算法 .该算法首先抽取网格图象和模板的二值拓扑结构 ,以构成图象和模板的粗分辨率表示 ;然后 ,在拓扑结构表示上通过综合来构造多模板的二叉树模型 ;接着 ,在二值拓扑结构表示上运用树模型进行搜索 ,在搜索过程中应用二叉决策树识别多个模板 ;最后 ,将粗匹配得到的目标 ,在原图象对应位置的小邻域内进行二次匹配 ,以确定模板和对应实例的位置 .应用此算法对 IC图象库进行测试 ,结果表明 ,所提出的多模板二叉决策树搜索算法与逐个模板匹配的方法相比 ,速度和效率均有较大幅度的提高     

基于模式语义的非膨胀性Pattern Tree简化

近年来,XQuery逐渐成为XML查询语言的事实标准。PatternTree被广泛应用于XQuery查询处理。PatternTree用匹配方法处理查询,其本身的大小和复杂程度决定了匹配的效率。该文论述了利用模式语义简化PatternTree的规则。这种方法避免了因插入冗余节点而导致PatternTree的膨胀。三个判断冗余节点的规则不但可以判断叶节点的冗余,而且可以在保留叶节点的情况下,判断非叶节点的冗余。实验证明了方法的可行性和有效性。     

Problem reduction representation for the linguistic analysis of waveforms

This paper shows how the nondirectional structural analysis of pattern data can be performed by matching a problem reduction representation (PRR) of pattern structure with sample data, using a best-first state space search algorithm called SSS*. The end result of the matching algorithm is a tree whose nodes represent recognized structures in the data. Tip nodes of the tree structure correspond to primitives which are recognized in the raw data by curve fitting routines. The operators of the algorithm allow the tree to be constructed with a combination of top-down or bottom-up steps. The matching of the structure tree to waveform segments need not be done in a left-right sequence. Moreover ambiguous matches are pursued in a best first order by using state space search with partial parse trees as states. A software system called WAPSYS (for waveform parsing system) is described, which implements this structural analysis paradigm. Experience using WAPSYS to analyze carotid pulse waves is also discussed.     

一种基于几何区域分割的网包分类算法

网包分类算法HyperSplit采用了二分查找树结构进行查找, 其决策树深度较大, 规则复制较多, 无法保证算法的时间性能。针对以上问题, 提出了一种基于几何区域分割的网包分类算法MP^2S。该算法采用多点切分和冗余覆盖删减的方法压缩决策树深度, 引入区间二分查找并提出新的数据结构来优化算法的时间性能。仿真结果表明, MP^2S的平均决策树深度约为HyperSplit的60%, 内存访问次数比HyperSplit降低了约10%。     

基于小波变换的时间序列相似模式匹配

提出了一种新的时序相似模式匹配方法，它采用小波分析的方法实现时间序列数据的降维，采用小波序列表示原序列，将小波序列组织为多维索引结构R-tree存储，在该索引结构基础上，基于一种表示相似性的距离函数，定义了范围查询和最近邻查询算法，实验结果证明这种方法性能优于传统的基于傅立叶变换的相似模式匹配方法。     

一种入侵检测系统的模式匹配算法*

提出了一种基于后缀树自动机的模式匹配算法,匹配中应用后缀启发机制进行启发跳跃,忽略不必要的比较。实验表明,该方法与传统模式匹配方法相比能有效地加快模式匹配的速度,提高入侵检测效率。     

一种快速构建CAN网络拓扑算法

受二叉树思想的启发,在P2P网络拓扑管理协议T-Man和Kademlia网络快速构建算法的基础上,提出了从非结构化P2P网络快速构建CAN网络的算法。Kademlia网络为二叉树拓扑结构,CAN网络基于空间划分,由于已经提出了Kademlia网络快速构建算法,通过把CAN的空间划分方式强制定义为树图的空间划分方式,研究问题转换为由Kademlia网络的二叉树结构向CAN网络的树图结构转换及构建相应路由表的问题。实验表明,该算法能在对数的时间内构建出CAN网络。