計算機網絡入侵檢測系統的多模式匹配算法

文 / 李猛，鄆城中醫醫院

隨著網絡信息化的發展，網絡中涌入的信息量迅速上升，這無疑是給網絡管理系統的安全造成了極大的隱患。尤其是近幾年以來社會的快速發展，網絡交易十分頻繁。入侵檢測與被動防御的殺毒軟件不同，網絡管理系統中的軟件測試將入網信息、系統規則庫內所欲先設定好的模板進行匹配與比較，以此來對于不安全的信息進行過濾。但是因為需要排查所有的入網信息，所以耗時較長，資源消耗大，甚至還會影響到網絡性能，所以需要更為有效的匹配風啊，在提高網絡入侵檢測效率的同時，能夠保障安全。

1 網絡入侵檢測基本模型

網絡入侵檢測過程：偵查匹配進入到網絡中的所有數據包，對于圖個數據與規則模板是否存在吻合情況進行分析，并過濾掉不安全信息。入侵檢測系統是防火墻后的一個保護層，能夠實時監測網絡行為，從而起到保護網絡性能，抵御網絡內部、外部的不定時攻擊的作用。

事件產生器主要是用于抽取網絡中的可疑行為：行為特征模塊則是用于記錄系統中的各種異常行為與行為特征，并且該模塊具有自動更新、自我學習能力；規則模塊的目的是為了給數據是否存在入侵的判斷提供參考作用。

而對于入侵檢測系統的成功與否進行評判的標準主要是看管理人員是否可以及時獲取網絡系統中的相關變化和異常信息，如果出現意外，是否可以及時產生良好的保護。而由于網絡本身就具有復雜性的特點，所以對于入侵檢測也具有較高的要求，如何在最短的時間內排出、過濾所有的數據信息，需要掌握良好的模式匹配算法，同時還需對網絡中的不安全因素開展匹配，使其能夠產生抵御，而單一模式雖然也只可以匹配網絡中的某一種攻擊，但在當前的復雜網絡環境下，隨著不斷提升地信息數據保護的重要程度、網絡信息的規模，網絡的入侵急需實現多種模式匹配算法?；诖?，本文提出了一種多模式匹配算法的計算機網絡入侵檢測.

多模式匹配與單模式匹配之間存在許多的相似之處，但是也存在明顯不同的差異。多模式匹配的提出在最開始的時候，是為了解決數目查找的問題，然后在很長的一段時間內，改匹配模型也僅僅知識應用在文獻檢索方面，后來才開始逐漸的應用到其他領域中。但是隨著近幾年來，網絡入侵檢測、生物信息學等眾多問題的深入研究與網絡數字圖書館、網絡信息搜索等逐漸廣泛的應用，所以研究人員需要重新認識多模式匹配問題。

2 多模式匹配算法

基于計算機網絡自身特征，本文提出RAC算法。該算法的基本思想主要是集中在預處理環節，并且RAC算法模型分別包括：函數 output、無效函數failure以及跳轉函數goto三個函數。而本文則主要是通過采用函數來對于計算機網絡開展匹配以及編輯工作。RAC算法是以密鑰控制模式是否置換來開展檢測活動，也就是判斷模式樹中的內部節點有無進行交換。

首先，通過隨機數生成器獲取256位數字ri，并且所獲得的數字既可能是1，也可能會是2，以此來實現模式是否進行置換的控制作用。另外，輸入方式的不同也同樣會導致輸入種子之間出現區別，因此基于此來收獲相對的隨機數串。但是所選取的隨機數生成器自身存在一定的隨意性；其次，假設ri=1能夠滿足，并且所使用的的模式對應階數為零，在此時要求對零階概率模式中的 0、1 符號所對應的概率值之間進行交換。那么如果使用1階模式，將會需要與之相對應的概率值之間產生交換。但如果此時的0是一個概率模式的字符，那么就需要與0 |0 與 1 |0 所相對應的概率值之間進行交換，如果前一個字符是1，所要求交換的概率值就需要是與0 |1 與 1 |1 相對應的概率值。這一實現過程如下圖三所示。另外，如果ri=0，那么多模式則是利用正常多模式匹配模式的方式實現的。例如，如下圖一中的模式建立及檢測過程，良好的反映出了基于0101100 密鑰下開展的建模、檢測等過程。

計算機網絡入侵檢測系統中的多模式匹配算法，可以使匹配效果得到有效的提升，同時這一匹配過程也不會對于語法要求產生違背，并且只有模式才會發生變化。因此，在解碼的過程中與傳統的解碼過程之間差異并不是太大，并且需要利用密鑰控制才能夠解密源信息。

3 常見算法

多模式匹配算法中最典型的是有限自動機的多模式匹配算法，即AC算法。該算法的基本思想在于預處理階段。通過利用AC算法中的函數對于文本進行匹配，以此來尋求匹配文本的位置與所有項。

該算法的產生思路：計算所有深度為1狀態下的失效函數值，然后對于深度為2的狀態進行計算，直到所有的狀態計算結束之后，得到一系列失效函數值。解決過程：對于特定狀態下的失效函數值的計算算法非常簡單。第一，將全部狀態的深度定義為1，此時的狀態s所得的失效函數值為f（s）=0。然后計算所有1＜d狀態下的f值，并進行遞歸迭代計算1=d狀態下的f值。

除此之外，AC-BM算法、AC_SUNDAY算法都是由AC算法所衍生出來的，通過對于傳統的AC算法進行了性能方面的改進所得到的。

4 總結

綜上所述，本文主要是通過采用多模式匹配算法實現了計算機網絡入侵檢測，并對于如入侵檢測基本模型、多模式匹配算法進行了詳細的分析，同時還提出了常見算法。而當前的市面上已經出現許多的入侵檢測系統算法，例如，神經網絡、專家系統、模式匹配、數據挖掘以及統計分析等。