試論計算機網絡入侵檢測系統匹配算法

龍瑞

摘要：在網絡迅速發展環境下，網絡寬帶數據也越來越多，基于此必須要顯著提升網絡入侵檢測系統處理能力，以能夠對大流量網絡環境下的需求有效滿足。本文在研究過程中，重點分析多模式匹配算法，并探討在計算機網絡入侵檢測系統中的多模式匹配算法應用策略。

關鍵詞：計算機網絡；入侵檢測；匹配算法

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）10-0035-04

開放科學（資源服務）標識碼（OSID）：

在我國信息化進程不斷發展的過程中，網絡已經在國民經濟各領域中所滲透，計算機系統也從獨立主機發展成為相互連接、復雜化的開放式系統。在網絡技術不斷發展的過程中，為社會科教、經濟、管理及文化等方面都注入了全新的活力。但是，在網絡技術為人們帶來便利過程中，還出現了相應的信息安全問題，比如拒絕服務攻擊、黑客入侵、病毒等。尤其是最近幾年，社會發展要求各用戶能夠相互通信，并且實現資源共享，網絡入侵及攻擊事件不斷增加，軍事機構、企業及金融機構等相關網絡中均經常受到黑客的襲擊，計算機網絡安全性越來越突出。入侵檢測使用歷史較為悠久，因為計算機網絡受到多因素的影響，容易受到入侵。以此，研究計算機網絡入侵檢測系統匹配算法具有重要的現實意義。

1網絡入侵檢測系統和算法

1.1網絡入侵檢測系統

網絡入侵檢測系統在應用過程中屬于是一種隔離入侵技術，屬于是網絡防火墻外的另一道安全防線。計算機網絡入侵檢測系統結構設計見圖1.

網絡入侵檢測系統的特點主要為安全和時效性高，具有一定的經濟性和可擴展性，組成中有事件分析器、事件發生器、事件產生器以及響應單元。在應用中結構組成為分析器、存儲系統以及控制臺、傳感器，其中組成中的存儲系統能夠存儲系統運行中的相關數據以及入侵攻擊數據，控制臺可以有效實現集中管理。

1.2網絡入侵檢測算法

網絡入侵檢測算法在應用中，有助于顯著提升檢測精準性和工作效率，現代網絡入侵檢測算法在應用中主要包括有專家系統、統計、數據挖掘、模式匹配以及免疫學等。

各個模式匹配下的入侵檢測在應用中，必須要首先設置完成入侵模式，和當前入侵檢測系統描述方向相比，需要實施入侵行為描述方法存在一定差異，不同產商對描述方法的定義也存在差異，在應用中也就需要用戶依照開發商實現模式省級。任務執行中是采用fpEvalPacket實現當前模式匹配檢測算法， 預處理函數模塊后，以此調用Detect函數以及匹配數據包內容特征規則。在研究過程中如果所獲取的數據包協議是Tcp，在執行過程中也就需要調用fpEvalHeaderTcp函數。

傳統模式匹配算法概念是：將n長度文本假設為T[1...n]，m長度模式P在P[1...m]范圍中，同時模式的集合為{Pi}，總長度為M。其中在匹配過程中，如果是單模式匹配也就是在文本T中尋找P；如果是多模式匹配也就是在文本T中實現多模式尋找。隨著入侵特征的增多，其算法也從一開始的單模式逐漸轉化為多模式，其中在實際應用中傳統模式匹配算法有：

其一，AC算法。為多模式匹配經典算法之一，得到了廣泛的應用，在當前研究中可以將其分為兩個方向，其中分別是基于BM跳躍及過濾、基于自動機算法。在應用中是建立在有限狀態機思想上，一定要實現所有模式預處理后才可以實施模式匹配，也就可以生態相應的有限狀態機，繼續尋找并實現匹配。

其二，BM算法。這一算法的應用也比較廣泛，是單模式匹配算法的經典算法，在這一算法改進應用中出現了多個單模式匹配算法。在實施匹配中需要實現文本的處理，從模式右端開始一一實施字符對比，一旦發現不匹配，即需模式向右移動，借助于預處理規定計算值可以得到相應的移動距離。在移動距離計算中是采用壞字符和好后綴規則計算，也就可以構建出壞字符和好后綴移動表，匹配中查找以上移動表，也就可以在其應用下實現移動距離最大模式移動。BM算法在應用中，對于壞字符異動表的創建時間復雜度為0（m+Σ），好后綴異動表的創建時間復雜度為0（m）。在應用中計算是時間復雜度為0（m*n），即為最壞時間復雜度，但是采用的是跳躍式匹配，因此實際上次即為文本長度的20%-30%次數。

BM算法作為一種單模式匹配，在應用中性能較佳，但是任何一次實施匹配過程中均需要對其模式進行計算，也就需要較高的預處理費用，同時在多模式匹配中的應用效果不佳，需要多次應用BM算法，因此應用效率偏低【12】。

其三，MWM算法。這一算法為一種改進算法，也就是在當前匹配模式集合特征的應用下，可以一一調用NoBC算法EXBW算法等。這一模式在應用中，存在有大量模式，最小模式長度直接影響算法匹配中的文本字符跳躍距離最大值，例如如果最小模式為1，在應用中采用的也就是hash表及NoBC表。

2網絡入侵檢測系統建構

網絡入侵過程為：首先要對已經匹配到網絡數據包中的數據以及規則模塊實施偵查，查看兩者吻合度，并過濾存在的不安全信息。其中在入侵檢測系統中的保護層，能夠有效檢測相應的網絡行為，保護網絡性能，也能夠實現對網絡內外部出現的攻擊起到抵抗作用，從而有效防范錯誤操作。圖2為網絡入侵檢測基本模型的結構。其中時間產生器主要目的就是實現網絡可疑行為的抽取，行為特征模塊實現異常行為特征的記錄，此模塊本身存在一定的自我更新以及學習能力，規則模塊可以為判斷數據的入侵存在性提供條件。

入侵檢測系統成功性進行評價中，其重點就是管理人員是否能夠及時地掌握網絡系統變化，并檢測其出現的異常信息，另外在事故發生中，分析這一系統是否具備相應安全策略實現全面保護。網絡信息中的數據量比較大，也存在一定的復雜性，匹配過程中一定要采用優秀模式匹配算法，提高匹配內容精確度以及高效性，保障網絡安全。單模式匹配算法在應用中的針對性較強，但是只可以匹配單一種類網絡攻擊。因此在本次設計過程中選用的是多模式匹配算法，以可以實現入侵檢測系統中多威脅、復雜化網絡環境入侵檢測需求的滿足。圖3為計算機網絡入侵檢測系統多模式匹配算法。

3計算機網絡入侵檢測系統模式匹配算法特點及其應用

3.1模式匹配算法分析

字符串模式匹配算法為計算機領域中的主要研究內容，其被廣泛應用到語言翻譯、拼寫檢查、數據壓縮、搜索引擎等中，都要實現字符串模式的匹配。在入侵檢測中，模式匹配算法可以定義為：指定入侵規則庫中特點模式字符串P，查找網絡數據包，以能夠實現對模式字符串在網絡數據包中的存在性進行確定。

網絡入侵檢測包括數據包捕獲、預處理及攻擊檢測。網絡入侵檢測就是將網絡數據包作為數據源，利用直接檢測網絡包，能夠發現網絡中攻擊的入侵檢測方式。網絡數控包中檢測供給字符串的時候可以采用數據包工資檢測方法，此為入侵檢測消耗的主要過程。在入侵檢測中使用模式匹配算法，需要解決一下問題：

其一，提取模式。提高提取模式的質量，展現入侵信號，不同模式不能出現矛盾。

其二，增加或者刪除模式匹配。想要應用變化較快的攻擊手段，在匹配模式選擇中也需要具備一定的動態變化能力。

其三，增量匹配。在事件流處理系統具有壓力較大，也就可以應用增量匹配方法提高系統工作效率，或者實施高優先級事件的處理，完畢后繼續展開低優先級事件處理。

其四，完全匹配。匹配機制選擇應用中一定要具備實現全部模式匹配的能力。

3.2多模式匹配算法的特點

多模式匹配的主要特點為：

其一，在某時間，匹配的狀態和匹配符號輸出具有密切關系，傳統狀態對于輸出并沒有什么影響，也就是能夠滿足以下公式：

在實際使用過程中，匹配信號符號的關聯性較大，也就是具有大量記憶匹配，一般對此種符號關聯性能夠通過條件概率及聯合概率進行說明，匹配模式具有記憶。多模式匹配也就是記憶匹配，而且具有重要的作用。一般來說，在匹配符號具有較強依賴性的時候，那么相應匹配熵就會變小，也就是這個時候和極限熵[H∞]相互接近，此和最終匹配結果具有密切的關系。所以，為了使匹配效率得到進一步的提高，能夠利用多模式匹配算法實現。

3.3基于多模式匹配算法的計算機網絡入侵檢測系統

計算機網絡具有自身的特點，可以通過RAC算法實現。此算法主要思想就是利用預處理中的三個函數實現，本文利用函數實現計算機網絡遍歷及匹配。此算法是利用密鑰控制模式的置換檢測，圖4為置換模式的結構。也就是對圖4中的模式樹進行檢測，包括內部節點是否存在變化。

檢測模式利用以下方式進行實現：首先，利用隨機數生成器能夠得到256位隨機數ri，通過實現模式是否實現置換進行有效的控制，不同的輸入方式的種子具有一定的差異，從而能夠得出和其相對應的隨機數串，隨意選擇隨機數生成器。另外，假如隨機數為1，并且其模式相應階數為0，這個時候對零階概率模式中的0和1符號與概率值相互對應，而且實現交換。假如目前使用1階模式，所以就需要和其相對應的概率值實現交換處理。如果0屬于一個概率模式字符，那么這個時候使0|1、1|0中所對應的概率值實現交換。如果前一個字符屬于1，那么需要交換的概率值就是0|1、1|1的概率值。圖5為模式創建和檢測的過程，以此可以看出來，能夠利用0101100密鑰下實現建模和檢測。

4計算機網絡入侵檢測系統的多模式匹配算法改進

對于多模式匹配算法的滑動距離函數存在的問題主要有局限性以及指針回溯問題，基于此也就出現了改進多模式匹配算法，即為NBM算法。其中在應用中是在模式串中的第j和字符和文本串中的字符匹配失敗的時候，就要對匹配失敗目前字符是否出現在模式串中進行考慮。如果出現，那么要根據多模式匹配算法向后劃過一段時間；如果不出現，那么就要對匹配失敗目前字符中下個字符中是否和模式串P[1]一致。如果一致，即為確保P[1]和T[j+1]相互對齊，之后從右到左以此對不同的字符進行對比。如果不相等，就要對下個字符進行全面的考慮。

依照NBM算法實現P=“abdcd”模式串及T=“qoamdebcdabdcd”文本串的匹配過程詳見表1：

5仿真分析

對一個模式匹配算法優劣程度進行評價的主要指標就是字符匹配次數，本節實現不同模式匹配算法的實驗對比。表2為三種算法在不同模式數量中的匹配時間統計。

總體來說，能夠以實際的需求對匹配算法進行決定，如果計算資源比較少，那么需求算法的資源消耗也會比較少，所以可以使用多模式算法。如果使用的監測需求比較高，那么可以使用改進多模式算法，以此能夠得出短的匹配時間及高匹配效率。

6 結語

入侵檢測系統在計算機網絡中數據是一種典型數據處理系統，在對大量系統審計數據分析檢測下，判定監控系統是否受到入侵行為攻擊。在實際檢測中，也就屬于是系統主體行為及事件分類系統，采用大量系統行為區分系統中的惡意行為，再對此問題進行解決的過程中，就要根據高效入侵檢測算法實現。當前在應用過程中，入侵檢測系統算法數量較多，比如統計分析、專家系統、數據挖掘、模式匹配及神經網絡等，可結合實際需求合理選擇。

參考文獻：

[1] 馬愷.網絡入侵檢測系統性能研究[J].赤峰學院學報（自然科學版），2018，34（11）：48-51.

[2] 徐慧，方策，劉翔， 等.改進的飛蛾撲火優化算法在網絡入侵檢測系統中的應用[J].計算機應用，2018，38（11）：3231-3235，3240.

[3] 沈沛，劉毅.計算機網絡入侵檢測系統匹配算法的研究[J].電腦迷，2017（9）：18.

[4] 張偉，巢翌，甘志強， 等.結合特征分析和Svm優化的Web入侵檢測系統[J].計算機仿真，2018，35（5）：406-409，447.

[5] 劉濤.機器學習算法在校園網入侵檢測系統中的應用[J].黑河學院學報，2017，8（9）：215-216.

[6] 欒玉飛，白雅楠，魏鵬.大數據環境下網絡非法入侵檢測系統設計[J].計算機測量與控制，2018，26（1）：194-197.

[7] 于粉娟.基于多模式匹配算法的計算機網絡入侵檢測研究[J].自動化與儀器儀表，2018（5）：159-161.

[8] 莊夏.基于局部參數模型共享的分布式入侵檢測系統[J].計算機工程與設計，2017，38（11）：2935-2939.

[9] 安尼瓦爾·加馬力，亞森·艾則孜，木尼拉·塔里甫.基于連接數據分析和OSELM分類器的網絡入侵檢測系統[J].計算機應用研究，2017，34（12）：3749-3752.

[10] 黃煜坤.基于神經網絡BP算法的網絡入侵檢測系統研究與實現[J].農村經濟與科技，2016，27（22）：293-294.

【通聯編輯：光文玲】