基于改進(jìn)正則表達(dá)式規(guī)則分組的內(nèi)網(wǎng)行為審計(jì)方案

俞藝涵　付鈺　吳曉平

摘要：針對(duì)網(wǎng)絡(luò)安全審計(jì)中對(duì)應(yīng)用層協(xié)議審計(jì)能力不足的問題，提出一種基于改進(jìn)正則表達(dá)式（RE）規(guī)則分組的內(nèi)網(wǎng)行為審計(jì)方案。首先，通過正則表達(dá)式對(duì)需審計(jì)的協(xié)議進(jìn)行描述，并設(shè)置相關(guān)參數(shù)，使內(nèi)網(wǎng)中出現(xiàn)頻率高和審計(jì)中相對(duì)重要的協(xié)議狀態(tài)在正則表達(dá)式描述集中取得高優(yōu)先級(jí)；然后，在正則表達(dá)式交互值小的前提下，盡可能地將高優(yōu)先級(jí)協(xié)議狀態(tài)表達(dá)式構(gòu)建到相同自動(dòng)機(jī)分組中以生成審計(jì)引擎；最后，根據(jù)審計(jì)需求，改變相關(guān)參數(shù)，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)行為的安全審計(jì)。實(shí)驗(yàn)結(jié)果顯示，所提出的自動(dòng)機(jī)構(gòu)建算法在轉(zhuǎn)化時(shí)的狀態(tài)數(shù)縮減為經(jīng)典非確定有限狀態(tài)自動(dòng)機(jī)（NFA）轉(zhuǎn)化算法Thompson的10%～20%，檢測時(shí)的吞吐量約為傳統(tǒng)自動(dòng)機(jī)分組引擎的8到12倍；所提審計(jì)方案能夠滿足對(duì)應(yīng)用層協(xié)議進(jìn)行安全審計(jì)的需求，具有較高的準(zhǔn)確性和效率。

關(guān)鍵詞：正則表達(dá)式；協(xié)議狀態(tài)；安全審計(jì)；自動(dòng)機(jī)分組；需求選擇

中圖分類號(hào)：TP309.7

文獻(xiàn)標(biāo)志碼：A

0引言

隨著網(wǎng)絡(luò)時(shí)代的到來，信息化進(jìn)程不斷加速，計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)信息安全也越來越受到人們的關(guān)注。相對(duì)于外部網(wǎng)絡(luò)而言，計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)具有更強(qiáng)的私密性和可操作性，許多政府部門、大型公司等機(jī)構(gòu)都建有自己的內(nèi)部網(wǎng)絡(luò)。在內(nèi)部網(wǎng)絡(luò)中，用戶可以根據(jù)自身需求制定相關(guān)的規(guī)則來達(dá)到內(nèi)網(wǎng)信息一定的需求，如軍用內(nèi)網(wǎng)中，用戶通過加密技術(shù)來保證內(nèi)部通信的私密性。同時(shí)，由于內(nèi)部網(wǎng)絡(luò)中所包含的信息往往存在巨大的價(jià)值（如商業(yè)機(jī)密），內(nèi)部網(wǎng)絡(luò)受到了越來越多的安全威脅。

在大規(guī)模網(wǎng)絡(luò)環(huán)境下，攻擊者的攻擊手段日趨復(fù)雜，多種網(wǎng)絡(luò)攻擊行為在寬時(shí)間域上交互實(shí)施，單一的入侵檢測技術(shù)已不能滿足防護(hù)需求。特別是近年來，具有應(yīng)用技術(shù)手段高超、潛伏時(shí)間長、目的明確等特點(diǎn)的高級(jí)持續(xù)性威脅（Advanced Persistent Threat， APT）[1]的活動(dòng)越來越頻繁，其針對(duì)內(nèi)網(wǎng)的攻擊往往運(yùn)用多種攻擊方式在多個(gè)層面上進(jìn)行，且不僅單一通過網(wǎng)絡(luò)攻擊技術(shù)對(duì)內(nèi)網(wǎng)實(shí)施入侵，還往往運(yùn)用社會(huì)工程學(xué)等知識(shí)來實(shí)施攻擊[2-4]。所以，內(nèi)網(wǎng)的網(wǎng)絡(luò)安全防護(hù)措施在應(yīng)對(duì)傳統(tǒng)網(wǎng)絡(luò)攻擊技術(shù)的同時(shí)，還需要對(duì)內(nèi)部人員和內(nèi)部操作行為進(jìn)行審計(jì)。

針對(duì)網(wǎng)絡(luò)安全審計(jì)技術(shù)的研究國內(nèi)外起步都比較晚，且由于網(wǎng)絡(luò)應(yīng)用發(fā)展的日新月異，當(dāng)前并不存在一套通用的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，現(xiàn)有的網(wǎng)絡(luò)安全審計(jì)產(chǎn)品往往是為滿足某個(gè)特定的安全審計(jì)需求而設(shè)計(jì)的。分析研究國外的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)（如NitroViewLogCaster）以及國內(nèi)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)（如TOPSECAuditor）可以發(fā)現(xiàn)，現(xiàn)有的網(wǎng)絡(luò)安全審計(jì)產(chǎn)品對(duì)于網(wǎng)絡(luò)應(yīng)用層協(xié)議的審計(jì)能力有限，大大影響了其審計(jì)效果。

文獻(xiàn)[5]提出了一種通過采集內(nèi)網(wǎng)監(jiān)控日志信息、受控終端日志信息和受控終端配置及操作信息，進(jìn)行關(guān)鍵詞匹配建立索引信息來進(jìn)行安全審計(jì)的方案。該方案充分利用了內(nèi)網(wǎng)采集日志信息的便利性，對(duì)相關(guān)數(shù)據(jù)進(jìn)行了收集與分析，通過對(duì)比驗(yàn)證來對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)進(jìn)行審計(jì)。該方案的優(yōu)點(diǎn)在于其數(shù)據(jù)源合理，能夠充分反映出內(nèi)網(wǎng)網(wǎng)絡(luò)狀態(tài)，但其數(shù)據(jù)的采集與處理過程過于復(fù)雜，效率不高。

文獻(xiàn)[6]提出了一種基于改進(jìn)信息熵的攻擊檢測算法，并由此設(shè)計(jì)了一種多Agent網(wǎng)絡(luò)安全審計(jì)模型。該模型有效地提高了網(wǎng)絡(luò)安全審計(jì)的效率與日志分析的智能性，但是其數(shù)據(jù)來源為簡單的網(wǎng)絡(luò)數(shù)據(jù)流，并不能擺脫數(shù)據(jù)流統(tǒng)計(jì)特性所帶來的局限性。

文獻(xiàn)[7]提出了一種基于人工神經(jīng)網(wǎng)絡(luò)和規(guī)則匹配相結(jié)合的安全審計(jì)方案，其將系統(tǒng)部署在網(wǎng)絡(luò)的進(jìn)出口，旨在通過對(duì)網(wǎng)絡(luò)進(jìn)出口處的數(shù)據(jù)交換模式進(jìn)行審計(jì)，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)入侵的準(zhǔn)確檢測。然而，其審計(jì)的重點(diǎn)只停留在了數(shù)據(jù)流表層，并沒有對(duì)數(shù)據(jù)流的深層內(nèi)涵進(jìn)行審計(jì)，存在一定的安全隱患。

為了解決目前網(wǎng)絡(luò)安全審計(jì)中存在對(duì)網(wǎng)絡(luò)應(yīng)用層協(xié)議審計(jì)能力有限的問題，本文提出了一種基于改進(jìn)正則表達(dá)式（Regular Expression，RE）規(guī)則分組的內(nèi)網(wǎng)行為審計(jì)方案，其主要特點(diǎn)在于：采用了將應(yīng)用層協(xié)議行為與正則表達(dá)式自動(dòng)機(jī)構(gòu)建分組結(jié)合的思想，提出了一種基于協(xié)議行為加權(quán)分組（Weighted Grouping of Protocol Behavior，WGPB）的自動(dòng)機(jī)構(gòu)建方法，將網(wǎng)絡(luò)中出現(xiàn)頻率高和相對(duì)重要的應(yīng)用層協(xié)議行為構(gòu)建到相同的自動(dòng)機(jī)中，并賦予其高的優(yōu)先級(jí)，合理地將技術(shù)描述與應(yīng)用層協(xié)議的實(shí)際情況結(jié)合起來，在技術(shù)層面緩解了自動(dòng)機(jī)存儲(chǔ)空間膨脹問題的同時(shí)更具有可靠性；提出了一種基于需求選擇（Demand Choice，DC）的安全審計(jì)策略，將審計(jì)對(duì)象的重要程度與審計(jì)策略結(jié)合起來，提供了一種可選擇的安全審計(jì)方式，在審計(jì)策略層面提高了審計(jì)效率。

1相關(guān)知識(shí)

正則表達(dá)式是使用單個(gè)字符串來描述、匹配一系列符號(hào)某個(gè)句法規(guī)則的字符串，具有很強(qiáng)的描述能力。對(duì)正則表達(dá)式的匹配需要使用有窮自動(dòng)機(jī)來完成，有窮自動(dòng)機(jī)分為非確定有限狀態(tài)自動(dòng)機(jī)（Nondeterministic Finite Automaton， NFA）和確定有限狀態(tài)自動(dòng)機(jī)（Deterministic Finite Automaton， DFA），NFA和 DFA在實(shí)際應(yīng)用中有不同的優(yōu)點(diǎn)和缺點(diǎn)[8-9]。

NFA的優(yōu)點(diǎn)是其狀態(tài)轉(zhuǎn)移空間復(fù)雜度比較低，因?yàn)镹FA的狀態(tài)數(shù)目與正則表達(dá)式的長度成線性關(guān)系。然而在處理每一個(gè)字符時(shí)，由于必須逐個(gè)處理活動(dòng)狀態(tài)集合中的多個(gè)狀態(tài)，因此匹配效率非常低；若將多條規(guī)則編譯到同一個(gè)NFA中，雖然可以在處理過程中同時(shí)匹配所有正則表達(dá)式的公共前綴，但在實(shí)際應(yīng)用中卻會(huì)形成更大數(shù)量的活動(dòng)狀態(tài)集合，處理一個(gè)字符的時(shí)間復(fù)雜度和將每個(gè)正則表達(dá)式編譯成單獨(dú)一個(gè)NFA的時(shí)間復(fù)雜度相同。

相比之下，雖然DFA處理一個(gè)字符只需要訪問一個(gè)狀態(tài)，但若將每條正則表達(dá)式編譯成單獨(dú)的DFA，其狀態(tài)轉(zhuǎn)移時(shí)間復(fù)雜度同樣將隨著規(guī)則數(shù)目的增多而增大；而將所有的正則表達(dá)式編譯成一個(gè)混合DFA時(shí)，則會(huì)導(dǎo)致其空間需求大大增加，以當(dāng)前的硬件條件將無法滿足如此大的內(nèi)存需求。使用不同的方法和策略進(jìn)行匹配時(shí)所需要的狀態(tài)轉(zhuǎn)移空間復(fù)雜度和處理一個(gè)字符的狀態(tài)轉(zhuǎn)移時(shí)間復(fù)雜度見表1。

由表1可知，將多條正則表達(dá)式構(gòu)建到同一個(gè)DFA中的狀態(tài)轉(zhuǎn)移時(shí)空復(fù)雜度最優(yōu)；但將多條正則表達(dá)式構(gòu)建到同一DFA中，存在因?yàn)檎齽t表達(dá)式的交互而使?fàn)顟B(tài)數(shù)急劇增多的情況，從而造成存儲(chǔ)空間不足的問題[10]。如正則表達(dá)式“ab+c”和“b（a|c）k”，它們單獨(dú)構(gòu)建DFA的狀態(tài)轉(zhuǎn)移圖如圖1所示，將它們合并構(gòu)建到一個(gè)DFA中的狀態(tài)轉(zhuǎn)移圖如圖2所示。

可以看出相比于單獨(dú)構(gòu)建DFA自動(dòng)機(jī)，兩個(gè)表達(dá)式在構(gòu)建到同一個(gè)DFA自動(dòng)機(jī)時(shí)將造成因交互而帶來的狀態(tài)數(shù)增加。

對(duì)正則表達(dá)式進(jìn)行規(guī)則分組是解決這一問題的一種有效的辦法。

目前對(duì)正則表達(dá)式進(jìn)行規(guī)則分組的一般方法[11-12]是：

1）通過計(jì)算判斷正則表達(dá)式直接是否存在引起“膨脹”的交互；

2）以每一個(gè)正則表達(dá)式為頂點(diǎn)，用一條邊連接相應(yīng)的兩個(gè)頂點(diǎn)，構(gòu)建關(guān)系圖；

3）設(shè)定分組閾值；

4）以最小相關(guān)原則的次序?qū)⒄齽t表達(dá)式加入DFA中，直到達(dá)到閾值；

5）創(chuàng)建新的分組重復(fù)4），直到所有正則表達(dá)式都被分配完畢。

通過這樣的規(guī)則分組，大大降低了兩個(gè)正則表達(dá)式之間交互的可能性，緩解了將正則表達(dá)式編譯到DFA中所帶來的存儲(chǔ)空間不足問題。但是，這樣簡單的分組將會(huì)由于DFA數(shù)量的增多而使匹配效率降低，若分為S組，效率降為原來的1/S。

另一方面，雖然應(yīng)用層協(xié)議的種類十分繁雜，但在實(shí)際網(wǎng)絡(luò)數(shù)據(jù)流中不同應(yīng)用層協(xié)議的使用頻率有很大的差異。我國2014年核心網(wǎng)絡(luò)協(xié)議分布統(tǒng)計(jì)如表2所示。

特別是針對(duì)一些有特定功能的內(nèi)網(wǎng)，往往會(huì)出現(xiàn)某些協(xié)議在數(shù)據(jù)流中頻繁出現(xiàn)而某些協(xié)議卻幾乎不出現(xiàn)的情況。

同時(shí)，對(duì)于相同一個(gè)應(yīng)用層協(xié)議來說，其在實(shí)現(xiàn)其協(xié)議功能的全過程中存在多個(gè)狀態(tài)，不同的狀態(tài)所對(duì)應(yīng)的正則表達(dá)式描述也不一樣。在安全審計(jì)中，并不需要用正則表達(dá)式將整個(gè)協(xié)議描述出來，只需將有審計(jì)價(jià)值的協(xié)議狀態(tài)描述出來。如對(duì)TNS（Transparent Network Substrate）協(xié)議進(jìn)行描述的正則表達(dá)式[12]中，通過“.*SERVICE_NAME=（[a-zA-Z0-9_＼.]+）”可以找出服務(wù)名；通過“（alter[]+database）[]+（close）.*$”可以判斷用戶關(guān)閉數(shù)據(jù)庫的行為；通過“＼＼x00＼＼x00（？：＼＼x01|＼＼x00）（.{1，2}）（select.+？）（＼＼x01+？）（＼＼x00+？）”可以判斷用戶做了哪些查詢操作；通過“（select） （.+？） from （[a-zA-Z0-9_＼.]+）（ ）？（where）？.*$”可以判斷用戶對(duì)哪些數(shù)據(jù)表進(jìn)行了操作。

2基于WGPB的自動(dòng)機(jī)構(gòu)建

若根據(jù)簡單規(guī)則分組所構(gòu)建的DFA在匹配過程中將根據(jù)線性時(shí)序?qū)Ψ纸M進(jìn)行順序匹配，最壞情況下（高頻出現(xiàn)的協(xié)議對(duì)應(yīng)的正則表達(dá)式被構(gòu)建到DFA分組的末端）將造成匹配效率十分低下?；谏鲜鼍W(wǎng)絡(luò)流量中應(yīng)用層協(xié)議所存在的頻率與狀態(tài)特征，本文提出了構(gòu)建一種基于WGPB的自動(dòng)機(jī)結(jié)構(gòu)來應(yīng)對(duì)將描述協(xié)議的正則表達(dá)式構(gòu)成DFA帶來的存儲(chǔ)空間不足的問題，以及協(xié)議行為在網(wǎng)絡(luò)中出現(xiàn)頻率不均衡的問題。具體步驟如下：

步驟1建立描述協(xié)議的正則表達(dá)式集合R，包括內(nèi)網(wǎng)中所有應(yīng)用層協(xié)議的正則表達(dá)式。集合R中的元素為Rfi（f、i屬于正整數(shù)）。其中： f代表表達(dá)式Rfi所描述的協(xié)議出現(xiàn)頻率在所有協(xié)議中的排序，若有10個(gè)協(xié)議，則出現(xiàn)頻率最高的f=1，出現(xiàn)頻率最低的f=10；i代表表達(dá)式Ρfι所描述的協(xié)議行為狀態(tài)在該協(xié)議所有狀態(tài)中的重要程度，若該協(xié)議有10個(gè)行為狀態(tài)，則最為重要的i=1，反之i=10。

3基于DC的安全審計(jì)方案

對(duì)于內(nèi)網(wǎng)的安全審計(jì)方而言，根據(jù)內(nèi)網(wǎng)的實(shí)際情況制定合適的安全審計(jì)策略能大幅提高審計(jì)的效率。本文提出了一種基于DC的安全審計(jì)方案，旨在利用對(duì)于內(nèi)網(wǎng)應(yīng)用層協(xié)議的充分可知性，分析內(nèi)網(wǎng)的安全需求；利用對(duì)于內(nèi)網(wǎng)應(yīng)用層協(xié)議出現(xiàn)頻率的可統(tǒng)計(jì)性，對(duì)協(xié)議的正則表達(dá)式描述集進(jìn)行排序；利用對(duì)于同一應(yīng)用層協(xié)議的狀態(tài)可分性，依據(jù)審計(jì)需求對(duì)同一協(xié)議的不同狀態(tài)的正則表達(dá)式描述集進(jìn)行排序；通過改變和設(shè)定相關(guān)參數(shù)，實(shí)現(xiàn)對(duì)于內(nèi)網(wǎng)的選擇性審計(jì)。具體審計(jì)過程如圖3所示。

審計(jì)數(shù)據(jù)生成模塊：利用數(shù)據(jù)抓包軟件對(duì)內(nèi)網(wǎng)數(shù)據(jù)流進(jìn)行數(shù)據(jù)采集；通過相應(yīng)的固定規(guī)則對(duì)數(shù)據(jù)流進(jìn)行底層協(xié)議的解析；生成審計(jì)數(shù)據(jù)以報(bào)文流的形式作為輸入發(fā)送給審計(jì)引擎。

審計(jì)引擎生成模塊：內(nèi)網(wǎng)審計(jì)方通過對(duì)內(nèi)網(wǎng)應(yīng)用層協(xié)議頻率進(jìn)行統(tǒng)計(jì)和對(duì)每個(gè)應(yīng)用層協(xié)議的不同狀態(tài)進(jìn)行需求分析來確定R集中元素f、i的值；在參數(shù)設(shè)定模塊中，根據(jù)需求設(shè)定適當(dāng)?shù)腄、F，并設(shè)定審計(jì)閾值Q；根據(jù)D、F將內(nèi)網(wǎng)中協(xié)議的正則表達(dá)式描述集進(jìn)行基于行為狀態(tài)加權(quán)分組的自動(dòng)機(jī)構(gòu)建；由審計(jì)閾值Q控制審計(jì)引擎中所生效的自動(dòng)機(jī)分組數(shù)對(duì)審計(jì)數(shù)據(jù)進(jìn)行匹配，最終輸出審計(jì)結(jié)果。

審計(jì)方審計(jì)需求的可選擇性在于：

1）可以根據(jù)審計(jì)內(nèi)容需求設(shè)置f、i的值。如對(duì)于協(xié)議A，審計(jì)方希望重點(diǎn)對(duì)其進(jìn)行審計(jì)，則可將其對(duì)應(yīng)的正則表達(dá)式描述集的下標(biāo)f設(shè)為1，取得協(xié)議A對(duì)于其他協(xié)議的優(yōu)先；同時(shí)，若審計(jì)方認(rèn)為協(xié)議A中的某個(gè)狀態(tài)值得著重審計(jì)，則可將其對(duì)應(yīng)的正則表達(dá)式描述集的下標(biāo)i設(shè)為1，取得在協(xié)議A中該狀態(tài)對(duì)于其他狀態(tài)的優(yōu)先。在第二章的基于協(xié)議行為狀態(tài)加權(quán)分組的自動(dòng)機(jī)構(gòu)建過程中，采取的是協(xié)議頻率先導(dǎo)的原則，即在分組時(shí)f的優(yōu)先級(jí)大于i。根據(jù)實(shí)際審計(jì)需求，對(duì)于特定的協(xié)議可以采取協(xié)議狀態(tài)先導(dǎo)的原則，即在分組時(shí)i的優(yōu)先級(jí)大于f。

2）可以根據(jù)審計(jì)效率需求設(shè)置D、Q的值。D為自動(dòng)機(jī)分組中各個(gè)表達(dá)式集的交互程度閾值， Q為審計(jì)引擎中所生效的自動(dòng)機(jī)分組數(shù)閾值。D的值越低，每一分組中正則表達(dá)式交互程度越低，其DFA狀態(tài)數(shù)的增長就越?。坏獶的值過低不利于分組中正則表達(dá)式數(shù)量的增加，即達(dá)不到閾值F便構(gòu)建新的分組，使分組數(shù)M增多。

分組數(shù)M越大，則匹配效率越低，Q值的設(shè)定一方面將緩解由于M過大帶來的匹配效率降低；另一方面，由于自動(dòng)機(jī)分組之間存在優(yōu)先級(jí)關(guān)系，審計(jì)方可以通過Q值來選擇審計(jì)的范圍。但Q值越小，審計(jì)的命中率則越低。如審計(jì)方對(duì)于內(nèi)網(wǎng)的安全審計(jì)只針對(duì)某些特定協(xié)議，則可將D、Q值降低，將審計(jì)集中在高優(yōu)先級(jí)。

4評(píng)估與分析

首先分析構(gòu)建基于WGPB的自動(dòng)機(jī)性能，通過模擬內(nèi)網(wǎng)數(shù)據(jù)流對(duì)HTTP等幾個(gè)常用協(xié)議進(jìn)行編譯，與經(jīng)典NFA轉(zhuǎn)化算法Thompson[13]進(jìn)行對(duì)比，比較Thompson算法與WGPB算法在構(gòu)建自動(dòng)機(jī)時(shí)的狀態(tài)數(shù)，結(jié)果如圖4所示。從圖4可以看出，在編譯HTTP等協(xié)議時(shí)，采用基于WGPB的自動(dòng)機(jī)構(gòu)建方法相比Thompson算法將狀態(tài)數(shù)分別降低了85.50%、82.70%、54.80%、75.20%和79.30%。

同時(shí)，采用頻率差分的HTTP、DNS（Domain Name System）、QQ、SMTP（Simple Mail Transfer Protocol）四個(gè)協(xié)議模擬內(nèi)網(wǎng)實(shí)際數(shù)據(jù)流（100MB，共356189個(gè)報(bào)文），其中HTTP所占頻率最大，接下來依次為DNS、QQ和SMTP，對(duì)基于簡單分組的自動(dòng)機(jī)引擎與基于WGPB的自動(dòng)機(jī)引擎進(jìn)行匹配效率對(duì)比，結(jié)果如圖5所示。從圖5可以看出，基于WGPB的自動(dòng)機(jī)引擎在性能上相比 基于簡單分組的自動(dòng)機(jī)引擎具有明顯優(yōu)勢，吞吐量有顯著提高。

最后，將HTTP協(xié)議的訪問目的地址、QQ協(xié)議的通信時(shí)間戳、TNS協(xié)議的數(shù)據(jù)庫關(guān)閉這三個(gè)協(xié)議的三個(gè)行為狀態(tài)設(shè)為審計(jì)優(yōu)先級(jí)，審計(jì)命中率如表3。

表3的測試結(jié)果表明，構(gòu)建基于WGPB的自動(dòng)機(jī)能夠大幅度緩解將多個(gè)正則表達(dá)式編譯到相應(yīng)DFA中所帶來的狀態(tài)數(shù)急劇增加的情況，相比Thompson構(gòu)造算法具有明顯優(yōu)勢。特別是在實(shí)際網(wǎng)絡(luò)中各協(xié)議出現(xiàn)頻率不均衡的情況下，基于WGPB自動(dòng)機(jī)匹配的吞吐量相比基于普通分組自動(dòng)機(jī)的匹配吞吐量具有很大的優(yōu)勢，呈現(xiàn)出對(duì)于數(shù)據(jù)流中出現(xiàn)頻率越高的協(xié)議匹配速度越快的特點(diǎn)。在此基礎(chǔ)上提出的基于DC的內(nèi)網(wǎng)安全審計(jì)方案在高效的同時(shí)也具有極高的準(zhǔn)確性。

5結(jié)語

本文提出的基于改進(jìn)RE規(guī)則分組的內(nèi)網(wǎng)安全審計(jì)方案，針對(duì)的是內(nèi)網(wǎng)中應(yīng)用層協(xié)議的安全審計(jì)。通過基于WGPB的自動(dòng)機(jī)構(gòu)建對(duì)有窮自動(dòng)機(jī)DFA進(jìn)行結(jié)構(gòu)改進(jìn)，并提出基于DC的內(nèi)網(wǎng)安全審計(jì)方案，做到了根據(jù)內(nèi)網(wǎng)的實(shí)際安全需求對(duì)內(nèi)網(wǎng)行為的安全審計(jì)，達(dá)到了預(yù)期效果。然而，在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境與多種高新網(wǎng)絡(luò)攻擊手段威脅下，單一的安全防護(hù)技術(shù)不能滿足防護(hù)需求，將本文提出的安全審計(jì)方案與入侵檢測等安全防護(hù)技術(shù)相結(jié)合對(duì)內(nèi)網(wǎng)進(jìn)行成體系的安全防護(hù)是下一步需要做的工作。

參考文獻(xiàn)：

[1]付鈺，李洪成，吳曉平，等.基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J].通信學(xué)報(bào)，2015，36（11）：1-14. （FU Y， LI H C， WU X P， et al. Detecting APT attacks： a survey from the perspective of big data analysis[J]. Journal on Communications， 2015， 36（11）： 1-14.）

[2]CHEN P， DESMET L， HUYGENS C. A study on advanced persistent threats [C]// CMS 2014： Proceedings of the 15th IFIP TC 6/TC 11 International Conference on Communications and Multimedia Security， LNCS 8735. Berlin： Springer-Verlag， 2014： 63-72.

[3]VIRVILIS N， GRITZALIS D A. The big four — what we did wrong in advanced persistent threat detection？ [C]// ARES 13： Proceedings of the 2013 International Conference on Availability， Reliability and Security. Washington， DC： IEEE Computer Society， 2013： 248-254.

[4]YANG G， TIAN Z， DUAN W. The prevent of advanced persistent threat [J]. Journal of Chemical and Pharmaceutical Research， 2014， 6（7）： 572-576.

http：//jocpr.com/vol6-iss7-2014/JCPR-2014-6-7-572-576.pdf

[5]XIA Q. Log-based network security audit system research and design [J]. Advanced Materials Research， 2010， 129-131： 1426-1431.

http：//xueshu.baidu.com/s？wd=paperuri%3A%28eda56fad603f84741f0a01c931f5ca56%29&filter=sc_long_sign&tn=SE_xueshusource_2kduw22v&sc_vurl=http%3A%2F%2Fwww.scientific.net%2FAMR.129-131.1426&ie=utf-8&sc_us=2224052801561460832

[6]L T， LIU P. Multi-Agent network security audit system based on information entropy [C]// SWS 2010： Proceedings of the 2010 IEEE 2nd Symposium on Web Society. Piscataway： IEEE， 2010： 367-371

[7]HUANG X， HUENG X， QUAN P. Research on firewall system for confidential network [J]. Advanced Materials Research， 2012， 434-440： 4279-4283.

http：//xueshu.baidu.com/s？wd=paperuri%3A%28acbe264444054dcd5c37b8ed816b2b83%29&filter=sc_long_sign&tn=SE_xueshusource_2kduw22v&sc_vurl=http%3A%2F%2Fwww.scientific.net%2FAMR.433-440.4279&ie=utf-8&sc_us=2535543053782017323

[8]張樹壯，羅浩，方濱興.面向網(wǎng)絡(luò)安全的正則表達(dá)式匹配技術(shù)[J].軟件學(xué)報(bào)，2011，22（8）：1838-1854. （ZHANG S Z， LUO H， FANG B X. Regular expressions matching for network security[J].Journal of Software， 2011， 22（8）： 1838-1854.）

[9]邵妍.正則表達(dá)式匹配算法并行化技術(shù)研究[D].北京：北京郵電大學(xué)，2013：15-18. （SHAO Y. Parallelization technology of regular expression matching algorithms [D]. Beijing： Beijing University of Posts and Telecommunications， 2013： 15-18.）

[10]YU F， CHEN Z F， DIAO Y L， et al. Fast and memory-efficient regular expression matching for deep packet inspection [C]// ANCS 06： Proceedings of the 2006 IEEE/ACM Symposium on Architectures for Networking and Communications Systems. New York： ACM， 2006： 93-102.

[11]蔡良偉，程璐，李軍，等.基于遺傳算法的正則表達(dá)式規(guī)則分組優(yōu)化[J].深圳大學(xué)學(xué)報(bào)（理工版），2015，32（3）：281-289. （CAI L W， CHENG L， LI J， et al. Regular expression grouping optimization based on genetic algorithm[J]. Journal of Shenzhen University （Science and Engineering）， 2015， 32（3）： 281-289.）

[12]張運(yùn)明.協(xié)議行為審計(jì)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].長沙：國防科學(xué)技術(shù)大學(xué)，2010： 11-13. （ZHANG Y M. The research and implementation of the key technology of protocol behavior audit [D]. Changsha： National University of Defense Technology， 2010： 11-13.）

[13]陳曙暉，蘇金樹.基于內(nèi)容分析的協(xié)議識(shí)別研究[J].國防科技大學(xué)學(xué)報(bào)，2008，30（4）：82-87. （CHEN S H， SU J S. Protocol identification research based on content analysis [J]. Journal of National University of Defense Technology， 2008， 30（4）： 82-87.）