[發(fā)明專利]可提高入侵檢測系統(tǒng)檢測速率和效率的多模匹配方法有效
| 申請?zhí)枺?/td> | 200710017920.4 | 申請日: | 2007-05-23 |
| 公開(公告)號: | CN101060411A | 公開(公告)日: | 2007-10-24 |
| 發(fā)明(設計)人: | 劉濤;白亮;王二鵬;張永斌;趙衛(wèi)棟;靳衛(wèi)恒 | 申請(專利權)人: | 西安交大捷普網(wǎng)絡科技有限公司 |
| 主分類號: | H04L9/36 | 分類號: | H04L9/36;H04L12/56 |
| 代理公司: | 西安新思維專利商標事務所有限公司 | 代理人: | 黃秦芳 |
| 地址: | 710075陜西省西安*** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 提高 入侵 檢測 系統(tǒng) 速率 效率 匹配 方法 | ||
所屬技術領域:
本發(fā)明涉及網(wǎng)絡入侵檢測(NIDS)技術領域,具體涉及一種可提高入侵檢 測系統(tǒng)檢測速率和效率的多模匹配方法。
背景技術:
近年來隨著高速網(wǎng)絡技術的相繼出現(xiàn),網(wǎng)絡速度的提高對入侵檢測的數(shù)據(jù) 采集、分析引擎、響應機制3個環(huán)節(jié)都提出了挑戰(zhàn),任何一個環(huán)節(jié)的速度趕不 上網(wǎng)絡速度,都不能實現(xiàn)實時保護網(wǎng)絡安全。大部分現(xiàn)有的NIDS只有幾十兆 的檢測速度,隨著百兆、千兆網(wǎng)絡的大量應用,NIDS的處理速度成為影響入 侵檢測系統(tǒng)應用的瓶頸。在NIDS中,截獲網(wǎng)絡的每一個數(shù)據(jù)包,分析、匹配 其中是否具有某種攻擊的特征,需要花費大量的時間和系統(tǒng)資源。隨著網(wǎng)絡帶 寬逐漸增加,要求檢測系統(tǒng)需要增強單位時間內捕獲的數(shù)據(jù)包量并且對數(shù)據(jù)包 的處理速度也要大幅提升,否則就會有大量網(wǎng)絡數(shù)據(jù)包丟失,從而極大地影響 網(wǎng)絡NIDS的檢測能力。根據(jù)網(wǎng)絡NIDS的工作模式,必須監(jiān)聽流經共享網(wǎng)段 內的所有數(shù)據(jù)包,然后對每一個數(shù)據(jù)包進行模式匹配運算。如果NIDS的檢測 速度跟不上網(wǎng)絡數(shù)據(jù)的傳輸速度,那么檢測系統(tǒng)就會漏掉其中的部分數(shù)據(jù)包, 從而導致漏報,使系統(tǒng)的準確性和有效性受到影響。模式匹配是NIDS所使用 的基于攻擊特征的網(wǎng)絡數(shù)據(jù)包檢測技術,它的分析速度快、誤報率小等優(yōu)點是 其他分析方法不可比擬的,在很多的商業(yè)入侵檢測產品和研究項目中,例如 Dragon、Bro、Snort都采用了模式匹配算法。然而隨著各種入侵攻擊手法不斷 增加,進行模式匹配所需的特征庫也越來越大,導致在采用相同硬件資源和模 式匹配算法的情況,系統(tǒng)對數(shù)據(jù)包處理速度的下降。因此對于高速網(wǎng)絡,提高 入侵檢測系統(tǒng)檢測速率和效率是目前入侵檢測系統(tǒng)迫切需要解決的主要問題。
現(xiàn)有技術中已經提出了一種BM算法,算法的特點是考慮到在匹配比較過 程中,不少情形是前面的許多字符都匹配而最后的若干個字符不匹配,這時若 采取從左到右的方式掃描將浪費許多時間,因此,改為自右至左的方式掃描模 式和正文,這樣一旦發(fā)現(xiàn)當正文中出現(xiàn)模式中沒有的字符時就可以將模式、正 文大幅度地“滑過”一段距離。但由于該算法是對單模式的重復執(zhí)行,它只能 提高單條規(guī)則匹配的效率,無法提高整個規(guī)則集匹配的效率,即當規(guī)則數(shù)線性 增長的時候,匹配效率線性下降。因此現(xiàn)有技術存在的問題是:當入侵檢測規(guī) 則集數(shù)量龐大時,其匹配效率非常低。
發(fā)明內容:
本發(fā)明要提供一種可提高入侵檢測系統(tǒng)檢測速率和效率的多模匹配方法, 以克服現(xiàn)有技術存在的當入侵檢測規(guī)則集數(shù)量龐大時,其匹配效率非常低的技 術問題。
本發(fā)明的技術方案是:一種可提高入侵檢測系統(tǒng)檢測速率和效率的多模匹 配方法,包括下述步驟,
(1)預處理模式集合:
移動表(SHIFT?table)的建立:在構造移動表時,需要考慮字符串B的比較, B的取值應該是logc2M
M為所有模式總的大小,M=k*m(m為模式集的最小長度,k為模式的個 數(shù)),
c為字母表的大小;
移動表為每個可能的大小為B的字符串都包含一個入口,那么它的大小應 為|∑|B;(∑為固定字符集)
后綴表(SUFFIX?table)的建立:當移動值為0時,要將文本后綴的B個字 符子串和模式集中的一些模式后綴匹配;使用哈希技術來最小化需要進行比較 的模式數(shù)量,使用構建移動表時所計算的B個字符的整數(shù)哈希值作為另一表的 索引,該表被稱為后綴表SUFFIX,后綴表的第i個入口SUFFIX[i],包含一個 索引指向最后B個字符的哈希值為i的模式列表,模式列表記為 PATTERN_LIST;
(2)掃描搜索。
上述步驟(1)中,當移動值為0時,還引入了另一張表,稱為前綴表PREFIX, PREFIX[i]包含了所有模式頭A個字符前綴的哈希值。
上述步驟(2)掃描搜索的具體步驟是:
①計算文本當前被掃描的B個字符的哈希值h;
②檢查SHIFT[h]的值:如果>0,移動文本并轉到步驟(1);否則,轉到步 驟(3);
③計算文本前綴的哈希值(從當前的位置向左m個字符開始),稱為 text_prefix;
④檢查每一個滿足SUFFIX[h]≤p<SUFFIX[h+1]的索引p,滿足轉到步驟 2.5,不滿足轉到結束;
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西安交大捷普網(wǎng)絡科技有限公司,未經西安交大捷普網(wǎng)絡科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/200710017920.4/2.html,轉載請聲明來源鉆瓜專利網(wǎng)。
