論入侵檢測系統(tǒng)的研究與改進

論入侵檢測系統(tǒng)的研究與改進

　　1 BM算法研究

　　1977年Boyer和Moore提出了一種全新的算法,即BM算法。它的特點在于匹配過程中,模式從左向右移動,但字符比較卻從右向左進行。其基本算法思想是:(1)匹配從右至左進行。(2)若匹配失敗發(fā)生在Pi≠Ti且Ti不出現(xiàn)在模式P中,則將模式右移直到Pi位于匹配失敗位置T的右邊第一位(即Ti 1位),若Ti在P中有若干地方出現(xiàn),則選擇j=max{k|Pk=Ti}即通過Skip函數(shù)計算文本字符Ti失配時模式向右移動的距離,也稱壞字符啟發(fā)。(3)若模式后面k位與文本T中一致的部分有一部分在P中其他地方出現(xiàn),則可以將P向右移動,直接使這部分對齊,且要求這一部分盡可能大,Shift函數(shù)通過對已經匹配部分的考查決定模式向右移動的距離,也稱好后綴啟發(fā)。

　　實例分析:

　　第1次匹配:

　　Example

　　here is a simple example

　　第2次匹配(壞字符啟發(fā)):

　　Example

　　here is a simple example

　　第3次匹配(壞字符啟發(fā)):

　　Example

　　here is a simple example

　　第4次匹配(好后綴啟發(fā)):

　　Example

　　here is a simple example

　　第5次匹配(壞字符啟發(fā)):

　　Example

　　here is a simple example

　　BM算法預處理時間復雜度為O(m s),空間復雜度為O(s),s是與P, T相關的有限字符集長度,搜索階段時間復雜度為O(mn)。最壞情況下要進行3n次比較,最好情況下的時間復雜度為O(n/m)。

　　2 改進BM匹配算法研究

　　2.1 改進的意義

　　綜合分析會發(fā)現(xiàn)雖然BM算法考慮較全面,但它使用了兩個數(shù)組,預處理時間開銷較大,于是在BM算法基礎上我們對其進行了簡化,使得算法更簡單、高效,提出了一種改進的BM算法。通過實驗表明改進的模式匹配算法能減少比較次數(shù),有效地提高了匹配效率。

　　2.2 改進的原理

　　在BM算法匹配過程中,常出現(xiàn)模式的一部分后綴與文本匹配,而模式的前綴卻不匹配,在這種情況下,就進行了一些不必要的比較。因此在BMGJ算法中,我們在對模式串與文本字符串進行匹配時采用從模式兩端向中間位置交替的匹配順序,模式匹配先從模式最右端Pm開始進行。若Pm匹配不成功,則通過Skip函數(shù)計算出模式向右移動的距離,這與BM算法中壞字符啟發(fā)思想相同;若Pm匹配成功,則比較模式P1與文本中相應的字符。若P1匹配不成功,則考查文本中與模式中Pm下一個字符對齊的字符,若該字符不出現(xiàn)在模式中,則模式可以向右移動m 1個位置,若該字符出現(xiàn)在模式中,則計算其Skip函數(shù),然后將模式向右移動相應的長度;若P1匹配成功,則按上述方法依次對Pm-1,P2,Pm-2,P3,…進行匹配,依此類推,直到匹配過程完成。實例分析:

　　第1次匹配:

　　Example

　　here is a simple example

　　第2次匹配:

　　Example

　　here is a simple example

　　第3次匹配(傳統(tǒng)BM算法匹配中,此遍比較需要從右端比較5次才可以找到一個壞字符,但對于改進后的算法,只比較兩次就可以找到一個壞字符):

　　Example

　　here is a simple example

　　第4次匹配:

　　Example

　　here is a simple example

　　第5次匹配:

　　Example

　　here is a simple example

　　在上例中,我們可以看出用傳統(tǒng)的BM算法匹配共進行了4次移動15次比較,用改進的BM算法匹配共進行了4次移動12次比較,匹配次數(shù)減少。

　　改進后的BM算法的預處理時間復雜度為O(m s),空間復雜度為O(s),搜索階段時間復雜度為O(mn)。該算法在比較右端字符失配時采用BM壞字符啟發(fā)的思想,在比較了左端字符失配時采用對文本中與模式最右端對齊的下一個字符進行考查的方法,使得大多數(shù)情況下具有比BM算法更大的右移長度,從而有更好的平均性能。

　　2.3 改進的實驗分析

　　我們所做的實驗軟件環(huán)境主要是:采用的操作系統(tǒng)是MicroSoft Windows XP Professional(Service Pack2),使用JBuilder2006編譯工具,所用JDK為jdk1.6。

　　為了對各算法的性能進行比較次數(shù)和比較用時的測試,我們隨機地選取了一段純英文自然語T文本和模式串P,在同一臺計算機上用不同算法進行3萬、5萬、10萬次循環(huán)匹配,分別統(tǒng)計各算法循環(huán)匹配所進行的.字符比較次數(shù)和總消耗的時間。

　　文本串:T=One day one pig went to a bar and the bar tender asked what can I get for you today and the pig said five beers. He drank up all the beer and then he asked were the bathroom was the bar tender said straight down the hall to the left. Then three more pigs came in and the bar tender asked what can I get you today.

　　模式串:P= I get you today.

　　測試結果下表1所示:

　　經過多次匹配實驗,結果顯示改進后的BM算法進行模式匹配時字符比較次數(shù)、匹配時間均少于原BM算法,匹配效率有所提高。

　　3 結語

　　隨著網絡規(guī)模的不斷擴大和入侵手段的不斷更新,對入侵檢測也提出了更高的要求。目前,BM算法還是入侵檢測系統(tǒng)中主要使用的模式匹配方法,而它本身存在的一些問題使其還是有改進的余地,本文對其進行了改進,并且通過實驗結果分析得出改進以后在匹配效率的提高。以后我們還可以在檢測引擎中結合其他智能化的檢測方法,如協(xié)議分析、神經網絡、遺傳算法等,這將是我們下一步研究的重點。

　　參考文獻

　　[1]?谷曉鋼,江榮安,趙銘偉.Snort的高效規(guī)則匹配算法[J].計算機工程,2006,(18).

　　[2]?唐正軍.入侵檢測技術導論(第一版)[M].北京:機械工業(yè)出版社,2004.

　　[3]?邊肇祺,閻平凡,楊存榮.模式識別(第一版)[M].北京:清華大學出版社,1988.

　　[4]?郭軍,笹尾勤.入侵檢測中模式匹配算法的FPGA實現(xiàn)[J].科技創(chuàng)新導報,2007,(14).

【論入侵檢測系統(tǒng)的研究與改進】相關文章：

1.論外來植物入侵和防制入侵方法

2.系統(tǒng)論研究方法品讀《藝術哲學》

3.論析車輛工程專業(yè)教學知識管理系統(tǒng)研究與構建

4.論水利施工管理中的安全風險與改進建議

5.淺談關于計算機網絡入侵報警系統(tǒng)技術的研究

6.論電子機械制動系統(tǒng)的設計和研究

7.Web的入侵防御系統(tǒng)的設計分享

8.論網絡教學中課件系統(tǒng)的設計與實現(xiàn)