試論計算機網絡入侵檢測系統(tǒng)匹配算法

龍瑞

摘要：在網絡迅速發(fā)展環(huán)境下，網絡寬帶數(shù)據(jù)也越來越多，基于此必須要顯著提升網絡入侵檢測系統(tǒng)處理能力，以能夠對大流量網絡環(huán)境下的需求有效滿足。本文在研究過程中，重點分析多模式匹配算法，并探討在計算機網絡入侵檢測系統(tǒng)中的多模式匹配算法應用策略。

關鍵詞：計算機網絡；入侵檢測；匹配算法

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）10-0035-04

開放科學（資源服務）標識碼（OSID）：

在我國信息化進程不斷發(fā)展的過程中，網絡已經在國民經濟各領域中所滲透，計算機系統(tǒng)也從獨立主機發(fā)展成為相互連接、復雜化的開放式系統(tǒng)。在網絡技術不斷發(fā)展的過程中，為社會科教、經濟、管理及文化等方面都注入了全新的活力。但是，在網絡技術為人們帶來便利過程中，還出現(xiàn)了相應的信息安全問題，比如拒絕服務攻擊、黑客入侵、病毒等。尤其是最近幾年，社會發(fā)展要求各用戶能夠相互通信，并且實現(xiàn)資源共享，網絡入侵及攻擊事件不斷增加，軍事機構、企業(yè)及金融機構等相關網絡中均經常受到黑客的襲擊，計算機網絡安全性越來越突出。入侵檢測使用歷史較為悠久，因為計算機網絡受到多因素的影響，容易受到入侵。以此，研究計算機網絡入侵檢測系統(tǒng)匹配算法具有重要的現(xiàn)實意義。

1網絡入侵檢測系統(tǒng)和算法

1.1網絡入侵檢測系統(tǒng)

網絡入侵檢測系統(tǒng)在應用過程中屬于是一種隔離入侵技術，屬于是網絡防火墻外的另一道安全防線。計算機網絡入侵檢測系統(tǒng)結構設計見圖1.

網絡入侵檢測系統(tǒng)的特點主要為安全和時效性高，具有一定的經濟性和可擴展性，組成中有事件分析器、事件發(fā)生器、事件產生器以及響應單元。在應用中結構組成為分析器、存儲系統(tǒng)以及控制臺、傳感器，其中組成中的存儲系統(tǒng)能夠存儲系統(tǒng)運行中的相關數(shù)據(jù)以及入侵攻擊數(shù)據(jù)，控制臺可以有效實現(xiàn)集中管理。

1.2網絡入侵檢測算法

網絡入侵檢測算法在應用中，有助于顯著提升檢測精準性和工作效率，現(xiàn)代網絡入侵檢測算法在應用中主要包括有專家系統(tǒng)、統(tǒng)計、數(shù)據(jù)挖掘、模式匹配以及免疫學等。

各個模式匹配下的入侵檢測在應用中，必須要首先設置完成入侵模式，和當前入侵檢測系統(tǒng)描述方向相比，需要實施入侵行為描述方法存在一定差異，不同產商對描述方法的定義也存在差異，在應用中也就需要用戶依照開發(fā)商實現(xiàn)模式省級。任務執(zhí)行中是采用fpEvalPacket實現(xiàn)當前模式匹配檢測算法， 預處理函數(shù)模塊后，以此調用Detect函數(shù)以及匹配數(shù)據(jù)包內容特征規(guī)則。在研究過程中如果所獲取的數(shù)據(jù)包協(xié)議是Tcp，在執(zhí)行過程中也就需要調用fpEvalHeaderTcp函數(shù)。

傳統(tǒng)模式匹配算法概念是：將n長度文本假設為T[1...n]，m長度模式P在P[1...m]范圍中，同時模式的集合為{Pi}，總長度為M。其中在匹配過程中，如果是單模式匹配也就是在文本T中尋找P；如果是多模式匹配也就是在文本T中實現(xiàn)多模式尋找。隨著入侵特征的增多，其算法也從一開始的單模式逐漸轉化為多模式，其中在實際應用中傳統(tǒng)模式匹配算法有：

其一，AC算法。為多模式匹配經典算法之一，得到了廣泛的應用，在當前研究中可以將其分為兩個方向，其中分別是基于BM跳躍及過濾、基于自動機算法。在應用中是建立在有限狀態(tài)機思想上，一定要實現(xiàn)所有模式預處理后才可以實施模式匹配，也就可以生態(tài)相應的有限狀態(tài)機，繼續(xù)尋找并實現(xiàn)匹配。

其二，BM算法。這一算法的應用也比較廣泛，是單模式匹配算法的經典算法，在這一算法改進應用中出現(xiàn)了多個單模式匹配算法。在實施匹配中需要實現(xiàn)文本的處理，從模式右端開始一一實施字符對比，一旦發(fā)現(xiàn)不匹配，即需模式向右移動，借助于預處理規(guī)定計算值可以得到相應的移動距離。在移動距離計算中是采用壞字符和好后綴規(guī)則計算，也就可以構建出壞字符和好后綴移動表，匹配中查找以上移動表，也就可以在其應用下實現(xiàn)移動距離最大模式移動。BM算法在應用中，對于壞字符異動表的創(chuàng)建時間復雜度為0（m+Σ），好后綴異動表的創(chuàng)建時間復雜度為0（m）。在應用中計算是時間復雜度為0（m*n），即為最壞時間復雜度，但是采用的是跳躍式匹配，因此實際上次即為文本長度的20%-30%次數(shù)。

BM算法作為一種單模式匹配，在應用中性能較佳，但是任何一次實施匹配過程中均需要對其模式進行計算，也就需要較高的預處理費用，同時在多模式匹配中的應用效果不佳，需要多次應用BM算法，因此應用效率偏低【12】。

其三，MWM算法。這一算法為一種改進算法，也就是在當前匹配模式集合特征的應用下，可以一一調用NoBC算法EXBW算法等。這一模式在應用中，存在有大量模式，最小模式長度直接影響算法匹配中的文本字符跳躍距離最大值，例如如果最小模式為1，在應用中采用的也就是hash表及NoBC表。

2網絡入侵檢測系統(tǒng)建構

網絡入侵過程為：首先要對已經匹配到網絡數(shù)據(jù)包中的數(shù)據(jù)以及規(guī)則模塊實施偵查，查看兩者吻合度，并過濾存在的不安全信息。其中在入侵檢測系統(tǒng)中的保護層，能夠有效檢測相應的網絡行為，保護網絡性能，也能夠實現(xiàn)對網絡內外部出現(xiàn)的攻擊起到抵抗作用，從而有效防范錯誤操作。圖2為網絡入侵檢測基本模型的結構。其中時間產生器主要目的就是實現(xiàn)網絡可疑行為的抽取，行為特征模塊實現(xiàn)異常行為特征的記錄，此模塊本身存在一定的自我更新以及學習能力，規(guī)則模塊可以為判斷數(shù)據(jù)的入侵存在性提供條件。

入侵檢測系統(tǒng)成功性進行評價中，其重點就是管理人員是否能夠及時地掌握網絡系統(tǒng)變化，并檢測其出現(xiàn)的異常信息，另外在事故發(fā)生中，分析這一系統(tǒng)是否具備相應安全策略實現(xiàn)全面保護。網絡信息中的數(shù)據(jù)量比較大，也存在一定的復雜性，匹配過程中一定要采用優(yōu)秀模式匹配算法，提高匹配內容精確度以及高效性，保障網絡安全。單模式匹配算法在應用中的針對性較強，但是只可以匹配單一種類網絡攻擊。因此在本次設計過程中選用的是多模式匹配算法，以可以實現(xiàn)入侵檢測系統(tǒng)中多威脅、復雜化網絡環(huán)境入侵檢測需求的滿足。圖3為計算機網絡入侵檢測系統(tǒng)多模式匹配算法。

3計算機網絡入侵檢測系統(tǒng)模式匹配算法特點及其應用

3.1模式匹配算法分析

字符串模式匹配算法為計算機領域中的主要研究內容，其被廣泛應用到語言翻譯、拼寫檢查、數(shù)據(jù)壓縮、搜索引擎等中，都要實現(xiàn)字符串模式的匹配。在入侵檢測中，模式匹配算法可以定義為：指定入侵規(guī)則庫中特點模式字符串P，查找網絡數(shù)據(jù)包，以能夠實現(xiàn)對模式字符串在網絡數(shù)據(jù)包中的存在性進行確定。

網絡入侵檢測包括數(shù)據(jù)包捕獲、預處理及攻擊檢測。網絡入侵檢測就是將網絡數(shù)據(jù)包作為數(shù)據(jù)源，利用直接檢測網絡包，能夠發(fā)現(xiàn)網絡中攻擊的入侵檢測方式。網絡數(shù)控包中檢測供給字符串的時候可以采用數(shù)據(jù)包工資檢測方法，此為入侵檢測消耗的主要過程。在入侵檢測中使用模式匹配算法，需要解決一下問題：

其一，提取模式。提高提取模式的質量，展現(xiàn)入侵信號，不同模式不能出現(xiàn)矛盾。

其二，增加或者刪除模式匹配。想要應用變化較快的攻擊手段，在匹配模式選擇中也需要具備一定的動態(tài)變化能力。

其三，增量匹配。在事件流處理系統(tǒng)具有壓力較大，也就可以應用增量匹配方法提高系統(tǒng)工作效率，或者實施高優(yōu)先級事件的處理，完畢后繼續(xù)展開低優(yōu)先級事件處理。

其四，完全匹配。匹配機制選擇應用中一定要具備實現(xiàn)全部模式匹配的能力。

3.2多模式匹配算法的特點

多模式匹配的主要特點為：

其一，在某時間，匹配的狀態(tài)和匹配符號輸出具有密切關系，傳統(tǒng)狀態(tài)對于輸出并沒有什么影響，也就是能夠滿足以下公式：

在實際使用過程中，匹配信號符號的關聯(lián)性較大，也就是具有大量記憶匹配，一般對此種符號關聯(lián)性能夠通過條件概率及聯(lián)合概率進行說明，匹配模式具有記憶。多模式匹配也就是記憶匹配，而且具有重要的作用。一般來說，在匹配符號具有較強依賴性的時候，那么相應匹配熵就會變小，也就是這個時候和極限熵[H∞]相互接近，此和最終匹配結果具有密切的關系。所以，為了使匹配效率得到進一步的提高，能夠利用多模式匹配算法實現(xiàn)。

3.3基于多模式匹配算法的計算機網絡入侵檢測系統(tǒng)

計算機網絡具有自身的特點，可以通過RAC算法實現(xiàn)。此算法主要思想就是利用預處理中的三個函數(shù)實現(xiàn)，本文利用函數(shù)實現(xiàn)計算機網絡遍歷及匹配。此算法是利用密鑰控制模式的置換檢測，圖4為置換模式的結構。也就是對圖4中的模式樹進行檢測，包括內部節(jié)點是否存在變化。

檢測模式利用以下方式進行實現(xiàn)：首先，利用隨機數(shù)生成器能夠得到256位隨機數(shù)ri，通過實現(xiàn)模式是否實現(xiàn)置換進行有效的控制，不同的輸入方式的種子具有一定的差異，從而能夠得出和其相對應的隨機數(shù)串，隨意選擇隨機數(shù)生成器。另外，假如隨機數(shù)為1，并且其模式相應階數(shù)為0，這個時候對零階概率模式中的0和1符號與概率值相互對應，而且實現(xiàn)交換。假如目前使用1階模式，所以就需要和其相對應的概率值實現(xiàn)交換處理。如果0屬于一個概率模式字符，那么這個時候使0|1、1|0中所對應的概率值實現(xiàn)交換。如果前一個字符屬于1，那么需要交換的概率值就是0|1、1|1的概率值。圖5為模式創(chuàng)建和檢測的過程，以此可以看出來，能夠利用0101100密鑰下實現(xiàn)建模和檢測。

4計算機網絡入侵檢測系統(tǒng)的多模式匹配算法改進

對于多模式匹配算法的滑動距離函數(shù)存在的問題主要有局限性以及指針回溯問題，基于此也就出現(xiàn)了改進多模式匹配算法，即為NBM算法。其中在應用中是在模式串中的第j和字符和文本串中的字符匹配失敗的時候，就要對匹配失敗目前字符是否出現(xiàn)在模式串中進行考慮。如果出現(xiàn)，那么要根據(jù)多模式匹配算法向后劃過一段時間；如果不出現(xiàn)，那么就要對匹配失敗目前字符中下個字符中是否和模式串P[1]一致。如果一致，即為確保P[1]和T[j+1]相互對齊，之后從右到左以此對不同的字符進行對比。如果不相等，就要對下個字符進行全面的考慮。

依照NBM算法實現(xiàn)P=“abdcd”模式串及T=“qoamdebcdabdcd”文本串的匹配過程詳見表1：

5仿真分析

對一個模式匹配算法優(yōu)劣程度進行評價的主要指標就是字符匹配次數(shù)，本節(jié)實現(xiàn)不同模式匹配算法的實驗對比。表2為三種算法在不同模式數(shù)量中的匹配時間統(tǒng)計。

總體來說，能夠以實際的需求對匹配算法進行決定，如果計算資源比較少，那么需求算法的資源消耗也會比較少，所以可以使用多模式算法。如果使用的監(jiān)測需求比較高，那么可以使用改進多模式算法，以此能夠得出短的匹配時間及高匹配效率。

6 結語

入侵檢測系統(tǒng)在計算機網絡中數(shù)據(jù)是一種典型數(shù)據(jù)處理系統(tǒng)，在對大量系統(tǒng)審計數(shù)據(jù)分析檢測下，判定監(jiān)控系統(tǒng)是否受到入侵行為攻擊。在實際檢測中，也就屬于是系統(tǒng)主體行為及事件分類系統(tǒng)，采用大量系統(tǒng)行為區(qū)分系統(tǒng)中的惡意行為，再對此問題進行解決的過程中，就要根據(jù)高效入侵檢測算法實現(xiàn)。當前在應用過程中，入侵檢測系統(tǒng)算法數(shù)量較多，比如統(tǒng)計分析、專家系統(tǒng)、數(shù)據(jù)挖掘、模式匹配及神經網絡等，可結合實際需求合理選擇。

參考文獻：

[1] 馬愷.網絡入侵檢測系統(tǒng)性能研究[J].赤峰學院學報（自然科學版），2018，34（11）：48-51.

[2] 徐慧，方策，劉翔， 等.改進的飛蛾撲火優(yōu)化算法在網絡入侵檢測系統(tǒng)中的應用[J].計算機應用，2018，38（11）：3231-3235，3240.

[3] 沈沛，劉毅.計算機網絡入侵檢測系統(tǒng)匹配算法的研究[J].電腦迷，2017（9）：18.

[4] 張偉，巢翌，甘志強， 等.結合特征分析和Svm優(yōu)化的Web入侵檢測系統(tǒng)[J].計算機仿真，2018，35（5）：406-409，447.

[5] 劉濤.機器學習算法在校園網入侵檢測系統(tǒng)中的應用[J].黑河學院學報，2017，8（9）：215-216.

[6] 欒玉飛，白雅楠，魏鵬.大數(shù)據(jù)環(huán)境下網絡非法入侵檢測系統(tǒng)設計[J].計算機測量與控制，2018，26（1）：194-197.

[7] 于粉娟.基于多模式匹配算法的計算機網絡入侵檢測研究[J].自動化與儀器儀表，2018（5）：159-161.

[8] 莊夏.基于局部參數(shù)模型共享的分布式入侵檢測系統(tǒng)[J].計算機工程與設計，2017，38（11）：2935-2939.

[9] 安尼瓦爾·加馬力，亞森·艾則孜，木尼拉·塔里甫.基于連接數(shù)據(jù)分析和OSELM分類器的網絡入侵檢測系統(tǒng)[J].計算機應用研究，2017，34（12）：3749-3752.

[10] 黃煜坤.基于神經網絡BP算法的網絡入侵檢測系統(tǒng)研究與實現(xiàn)[J].農村經濟與科技，2016，27（22）：293-294.

【通聯(lián)編輯：光文玲】