APP下载

试论计算机网络入侵检测系统匹配算法

2019-05-22龙瑞

电脑知识与技术 2019年10期
关键词:入侵检测计算机网络

龙瑞

摘要:在网络迅速发展环境下,网络宽带数据也越来越多,基于此必须要显著提升网络入侵检测系统处理能力,以能够对大流量网络环境下的需求有效满足。本文在研究过程中,重点分析多模式匹配算法,并探讨在计算机网络入侵检测系统中的多模式匹配算法应用策略。

关键词:计算机网络;入侵检测;匹配算法

中图分类号:TP393 文献标识码:A

文章编号:1009-3044(2019)10-0035-04

开放科学(资源服务)标识码(OSID):

在我国信息化进程不断发展的过程中,网络已经在国民经济各领域中所渗透,计算机系统也从独立主机发展成为相互连接、复杂化的开放式系统。在网络技术不断发展的过程中,为社会科教、经济、管理及文化等方面都注入了全新的活力。但是,在网络技术为人们带来便利过程中,还出现了相应的信息安全问题,比如拒绝服务攻击、黑客入侵、病毒等。尤其是最近几年,社会发展要求各用户能够相互通信,并且实现资源共享,网络入侵及攻击事件不断增加,军事机构、企业及金融机构等相关网络中均经常受到黑客的袭击,计算机网络安全性越来越突出。入侵检测使用历史较为悠久,因为计算机网络受到多因素的影响,容易受到入侵。以此,研究计算机网络入侵检测系统匹配算法具有重要的现实意义。

1网络入侵检测系统和算法

1.1网络入侵检测系统

网络入侵检测系统在应用过程中属于是一种隔离入侵技术,属于是网络防火墙外的另一道安全防线。计算机网络入侵检测系统结构设计见图1.

网络入侵检测系统的特点主要为安全和时效性高,具有一定的经济性和可扩展性,组成中有事件分析器、事件发生器、事件产生器以及响应单元。在应用中结构组成为分析器、存储系统以及控制台、传感器,其中组成中的存储系统能够存储系统运行中的相关数据以及入侵攻击数据,控制台可以有效实现集中管理。

1.2网络入侵检测算法

网络入侵检测算法在应用中,有助于显著提升检测精准性和工作效率,现代网络入侵检测算法在应用中主要包括有专家系统、统计、数据挖掘、模式匹配以及免疫学等。

各个模式匹配下的入侵检测在应用中,必须要首先设置完成入侵模式,和当前入侵检测系统描述方向相比,需要实施入侵行为描述方法存在一定差异,不同产商对描述方法的定义也存在差异,在应用中也就需要用户依照开发商实现模式省级。任务执行中是采用fpEvalPacket实现当前模式匹配检测算法, 预处理函数模块后,以此调用Detect函数以及匹配数据包内容特征规则。在研究过程中如果所获取的数据包协议是Tcp,在执行过程中也就需要调用fpEvalHeaderTcp函数。

传统模式匹配算法概念是:将n长度文本假设为T[1...n],m长度模式P在P[1...m]范围中,同时模式的集合为{Pi},总长度为M。其中在匹配过程中,如果是单模式匹配也就是在文本T中寻找P;如果是多模式匹配也就是在文本T中實现多模式寻找。随着入侵特征的增多,其算法也从一开始的单模式逐渐转化为多模式,其中在实际应用中传统模式匹配算法有:

其一,AC算法。为多模式匹配经典算法之一,得到了广泛的应用,在当前研究中可以将其分为两个方向,其中分别是基于BM跳跃及过滤、基于自动机算法。在应用中是建立在有限状态机思想上,一定要实现所有模式预处理后才可以实施模式匹配,也就可以生态相应的有限状态机,继续寻找并实现匹配。

其二,BM算法。这一算法的应用也比较广泛,是单模式匹配算法的经典算法,在这一算法改进应用中出现了多个单模式匹配算法。在实施匹配中需要实现文本的处理,从模式右端开始一一实施字符对比,一旦发现不匹配,即需模式向右移动,借助于预处理规定计算值可以得到相应的移动距离。在移动距离计算中是采用坏字符和好后缀规则计算,也就可以构建出坏字符和好后缀移动表,匹配中查找以上移动表,也就可以在其应用下实现移动距离最大模式移动。BM算法在应用中,对于坏字符异动表的创建时间复杂度为0(m+Σ),好后缀异动表的创建时间复杂度为0(m)。在应用中计算是时间复杂度为0(m*n),即为最坏时间复杂度,但是采用的是跳跃式匹配,因此实际上次即为文本长度的20%-30%次数。

BM算法作为一种单模式匹配,在应用中性能较佳,但是任何一次实施匹配过程中均需要对其模式进行计算,也就需要较高的预处理费用,同时在多模式匹配中的应用效果不佳,需要多次应用BM算法,因此应用效率偏低【12】。

其三,MWM算法。这一算法为一种改进算法,也就是在当前匹配模式集合特征的应用下,可以一一调用NoBC算法EXBW算法等。这一模式在应用中,存在有大量模式,最小模式长度直接影响算法匹配中的文本字符跳跃距离最大值,例如如果最小模式为1,在应用中采用的也就是hash表及NoBC表。

2网络入侵检测系统建构

网络入侵过程为:首先要对已经匹配到网络数据包中的数据以及规则模块实施侦查,查看两者吻合度,并过滤存在的不安全信息。其中在入侵检测系统中的保护层,能够有效检测相应的网络行为,保护网络性能,也能够实现对网络内外部出现的攻击起到抵抗作用,从而有效防范错误操作。图2为网络入侵检测基本模型的结构。其中时间产生器主要目的就是实现网络可疑行为的抽取,行为特征模块实现异常行为特征的记录,此模块本身存在一定的自我更新以及学习能力,规则模块可以为判断数据的入侵存在性提供条件。

入侵检测系统成功性进行评价中,其重点就是管理人员是否能够及时地掌握网络系统变化,并检测其出现的异常信息,另外在事故发生中,分析这一系统是否具备相应安全策略实现全面保护。网络信息中的数据量比较大,也存在一定的复杂性,匹配过程中一定要采用优秀模式匹配算法,提高匹配内容精确度以及高效性,保障网络安全。单模式匹配算法在应用中的针对性较强,但是只可以匹配单一种类网络攻击。因此在本次设计过程中选用的是多模式匹配算法,以可以实现入侵检测系统中多威胁、复杂化网络环境入侵检测需求的满足。图3为计算机网络入侵检测系统多模式匹配算法。

3计算机网络入侵检测系统模式匹配算法特点及其应用

3.1模式匹配算法分析

字符串模式匹配算法为计算机领域中的主要研究内容,其被广泛应用到语言翻译、拼写检查、数据压缩、搜索引擎等中,都要实现字符串模式的匹配。在入侵检测中,模式匹配算法可以定义为:指定入侵规则库中特点模式字符串P,查找网络数据包,以能够实现对模式字符串在网络数据包中的存在性进行确定。

网络入侵检测包括数据包捕获、预处理及攻击检测。网络入侵检测就是将网络数据包作为数据源,利用直接检测网络包,能够发现网络中攻击的入侵检测方式。网络数控包中检测供给字符串的时候可以采用数据包工资检测方法,此为入侵检测消耗的主要过程。在入侵检测中使用模式匹配算法,需要解决一下问题:

其一,提取模式。提高提取模式的质量,展现入侵信号,不同模式不能出现矛盾。

其二,增加或者删除模式匹配。想要应用变化较快的攻击手段,在匹配模式选择中也需要具备一定的动态变化能力。

其三,增量匹配。在事件流处理系统具有压力较大,也就可以应用增量匹配方法提高系统工作效率,或者实施高优先级事件的处理,完毕后继续展开低优先级事件处理。

其四,完全匹配。匹配机制选择应用中一定要具备实现全部模式匹配的能力。

3.2多模式匹配算法的特点

多模式匹配的主要特点为:

其一,在某时间,匹配的状态和匹配符号输出具有密切关系,传统状态对于输出并没有什么影响,也就是能够满足以下公式:

在实际使用过程中,匹配信号符号的关联性较大,也就是具有大量记忆匹配,一般对此种符号关联性能够通过条件概率及联合概率进行说明,匹配模式具有记忆。多模式匹配也就是记忆匹配,而且具有重要的作用。一般来说,在匹配符号具有较强依赖性的时候,那么相应匹配熵就会变小,也就是这个时候和极限熵[H∞]相互接近,此和最终匹配结果具有密切的关系。所以,为了使匹配效率得到进一步的提高,能够利用多模式匹配算法实现。

3.3基于多模式匹配算法的计算机网络入侵检测系统

计算机网络具有自身的特点,可以通过RAC算法实现。此算法主要思想就是利用预处理中的三个函数实现,本文利用函数实现计算机网络遍历及匹配。此算法是利用密钥控制模式的置换检测,图4为置换模式的结构。也就是对图4中的模式树进行检测,包括内部节点是否存在变化。

检测模式利用以下方式进行实现:首先,利用随机数生成器能够得到256位随机数ri,通过实现模式是否实现置换进行有效的控制,不同的输入方式的种子具有一定的差异,从而能够得出和其相对应的随机数串,随意选择随机数生成器。另外,假如随机数为1,并且其模式相应阶数为0,这个时候对零阶概率模式中的0和1符号与概率值相互对应,而且实现交换。假如目前使用1阶模式,所以就需要和其相对应的概率值实现交换处理。如果0属于一个概率模式字符,那么这个时候使0|1、1|0中所对应的概率值实现交换。如果前一个字符属于1,那么需要交换的概率值就是0|1、1|1的概率值。图5为模式创建和检测的过程,以此可以看出来,能够利用0101100密钥下实现建模和检测。

4计算机网络入侵检测系统的多模式匹配算法改进

对于多模式匹配算法的滑动距离函数存在的问题主要有局限性以及指针回溯问题,基于此也就出现了改进多模式匹配算法,即为NBM算法。其中在应用中是在模式串中的第j和字符和文本串中的字符匹配失败的时候,就要对匹配失败目前字符是否出现在模式串中进行考虑。如果出现,那么要根据多模式匹配算法向后划过一段时间;如果不出现,那么就要对匹配失败目前字符中下个字符中是否和模式串P[1]一致。如果一致,即为确保P[1]和T[j+1]相互对齐,之后从右到左以此对不同的字符进行对比。如果不相等,就要对下个字符进行全面的考虑。

依照NBM算法实现P=“abdcd”模式串及T=“qoamdebcdabdcd”文本串的匹配过程详见表1:

5仿真分析

对一个模式匹配算法优劣程度进行评价的主要指标就是字符匹配次数,本节实现不同模式匹配算法的实验对比。表2为三种算法在不同模式数量中的匹配时间统计。

总体来说,能够以实际的需求对匹配算法进行决定,如果计算资源比较少,那么需求算法的资源消耗也会比较少,所以可以使用多模式算法。如果使用的监测需求比较高,那么可以使用改进多模式算法,以此能够得出短的匹配时间及高匹配效率。

6 结语

入侵检测系统在计算机网络中数据是一种典型数据处理系统,在对大量系统审计数据分析检测下,判定监控系统是否受到入侵行为攻击。在实际检测中,也就属于是系统主体行为及事件分类系统,采用大量系统行为区分系统中的恶意行为,再对此问题进行解决的过程中,就要根据高效入侵检测算法实现。当前在应用过程中,入侵检测系统算法数量较多,比如统计分析、专家系统、数据挖掘、模式匹配及神经网络等,可结合实际需求合理选择。

参考文献:

[1] 马恺.网络入侵检测系统性能研究[J].赤峰学院学报(自然科学版),2018,34(11):48-51.

[2] 徐慧,方策,刘翔, 等.改进的飞蛾扑火优化算法在网络入侵检测系统中的应用[J].计算机应用,2018,38(11):3231-3235,3240.

[3] 沈沛,刘毅.计算机网络入侵检测系统匹配算法的研究[J].电脑迷,2017(9):18.

[4] 张伟,巢翌,甘志强, 等.结合特征分析和Svm优化的Web入侵检测系统[J].计算机仿真,2018,35(5):406-409,447.

[5] 刘涛.机器学习算法在校园网入侵检测系统中的应用[J].黑河学院学报,2017,8(9):215-216.

[6] 欒玉飞,白雅楠,魏鹏.大数据环境下网络非法入侵检测系统设计[J].计算机测量与控制,2018,26(1):194-197.

[7] 于粉娟.基于多模式匹配算法的计算机网络入侵检测研究[J].自动化与仪器仪表,2018(5):159-161.

[8] 庄夏.基于局部参数模型共享的分布式入侵检测系统[J].计算机工程与设计,2017,38(11):2935-2939.

[9] 安尼瓦尔·加马力,亚森·艾则孜,木尼拉·塔里甫.基于连接数据分析和OSELM分类器的网络入侵检测系统[J].计算机应用研究,2017,34(12):3749-3752.

[10] 黄煜坤.基于神经网络BP算法的网络入侵检测系统研究与实现[J].农村经济与科技,2016,27(22):293-294.

【通联编辑:光文玲】

猜你喜欢

入侵检测计算机网络
基于模式匹配的计算机网络入侵防御系统
关于计算机网络存储技术分析
计算机网络信息安全及防护策略
多Agent的创新网络入侵检测方法仿真研究
计算机网络技术的应用探讨
计算机网络维护工作的思考
计算机网络管理技术及其应用