融合多模式匹配算法的计算机网络入侵检测

何春华

摘要：为了更好的提高计算机网络入侵检测系统的质量，我们可以融合多种模式的匹配算法，并通过对网络入侵检测模式进行详细分析，提出了融合多模式匹配算法的计算机网络入侵检测。本文主要研究了多种模式的常见匹配算法，根据常见算法对计算机检测性能进行了分析，并依据存在的不足对网络入侵检测提出了合理的改进方案。

关键词：网络入侵检测；计算机；多模式匹配算法

随着我国科技技术的不断改进，现如今网络信息技术已经取得了飞速发展。网络信息化的管理也给广大的网络工作者带来了新挑战。尤其是当今的电子商务技术，例如：网上支付、网络银行等网上交易发展迅速。网络技术的发展给社会带来的不仅仅的快捷方便，随之而来的还有网络安全问题。因此，计算机网络入侵系统必须要做到网络环境的安全，除了要科学抵御网络攻击，还应主动对网络不良信息进行检测，最终彻底排除影响网络安全的潜在因素。

1多模式匹配算法的计算机网络入侵检测概述

1.1多模式匹配算法定义。多模式匹配算法的定义主要解释为：给定任意一个长度为L的模式串pat[1：f]和长度为c的text[1：c]，其中1

1.2网络入侵检测定义。计算机中巩固加强网络安全，防范危害网络安全因素的工作就是网络入侵检测。网络入侵检测主要采取排查过滤的方式主动清除威胁网络安全环境的因素，并提高网络的稳定性。它主要对所有经过网络的相关数据进行匹配和检测，并分析这些网络数据是否与规定模板相吻合，然后经过一系列匹配工作删选可能影響网络安全的信息。因此，网络信息安全除了由防火墙的拦截外，网络入侵检测可以称得上是互联网信息的第二道保护墙。

2常见的匹配算法

计算机网络入侵检测中，匹配信息数据的常用算法就是有限自动机的多模式匹配算法，俗称AC算法。该匹配算法主要在网络数据预处理阶段，以下具体解释AC算法的结算思路：

①首先介绍AC自动机算法的模型，主要包含三个函数：输出函数（output）、失效函数（failure）、转向函数（goto）。本次研究主要利用这三种函数对网络信息进行匹配，从而寻找匹配文本的相对于位置和数据。本文利用这些函数对文本进行匹配，然后寻求匹配文本的位置和所有项。

②Ac算法产生的思路：计算全部深度为1的失效函数值，然后逐步计算深度为2、3、4……的状态等等，一直到得出全部失效函数值。

③AC算法的解决过程：首先将所有状态的深度定义为s状态，所得失效函数值就表示为.f（s）=0；其次对所有1

3 ACBM算法的实现

3.1Aho-Corasick（AC）算法。AC算法的思路是：在对信息数据的预处理阶段以及有限状态的自动机算法建立以上三个函数，由此构造一个树型有限状态自动机AC算法。AC算法的预处理时间复杂度为o（m），但AC算法对文本窜匹配过程没有跳跃情况，因此无法跳过没用的比较。AC算法是的自动机算法是以空间转时间的算法，当计算模式集中较大时会导致内存膨胀问题的出现，所以，AC算法存在的问题还不足以成为最佳算法。

3.2AC-BM算法。Aho-Corasick-Boyer-Moore即AC-BM算法，它是一种结合了AC算法的同时还匹配BM算法以及多模式特点的跳跃式算法。AC-BM算法的优点就是能充分利用模式有大量相同前缀的情况下还能减少数据字符的比较，并加快检测和匹配速度。在进行计算过程中，AC-BM算法使用了BM算法的两个优点，即：坏字符移动规则以及好后缀移动规则。这种多模式的匹配算法还应注意在计算时每次移动的距离要在范围之内，避免漏点情况。利用AC-BM算法进行入侵检测，使计算机数据存在很多相同前缀字符的字符串，因此，这种计算方式很有优势。

3.3AC-BM算法的改进。改进AC-BM匹配算法的实现过程具体如下：

①预处理阶段：在AC-BM模式匹配算法的预处理阶段时，可以将计算模式集中成模式树，其原理与AC算法大致相同。

②改进初始位置和匹配方向：AC-BM算法在匹配计算式，可以改进模式树的初始位置和匹配方向。具体使模式树最短模式的右端与待测文本右端对齐，同时文本字符T[n=minlen]从左向右开始对齐。计算时如果发生失配情况，可以将模式树文本右端向左移动。

③首字符位置失配时的跳跃规则改进：在进行AC-BM模式匹配算法时，如果出现首字符位置失配的情况，例如文本Text和模式树对齐时，Text第一个字符匹配不上模式树中任意的第一个字符。另外，单模式匹配中BMH算法主要是以文本和模式对齐处的文本字符T[i]来计算偏移量，可以采用跳跃思维结合多模式匹配算法，然后将匹配的首字符和前一字符作为字串决定模式树偏移量，具体为：P=T[I-1]T[i]。其中如果P再次出现时，可以将模式树向左移动，然后使P在模式集中对齐。

4网络入侵检测改进方案

Snort是一款开源的网络入侵防御系统（IPS），可以实时分析和记录网络数据包，也可以通过执行协议分析、内容搜索和匹配，从而发现各种网络攻击和可疑的探测。要想改进网络入侵检测，就利用Snort检测引擎的匹配算法。因此，可以在初始规则连表上，对快速规则匹配的数据结构进行重新构造。其具体构造流程分为：构造规则树、进行多模式匹配这两个步骤。以上论述的AC-BM算法就是增加了多模式树的数据结构，所以很大程度上提高了计算机的检测效率。这种算法最大优点就是能将所有内容规则中的选项提取出来，然会对其它选项分开检测。这种检测方法不仅能将统一规则所检测的数据能归集成一种类型，还能限制检测的规则数，如此就可以考虑采用Snort限定检测规则数的方式。使用Snort检测引擎能大大减少检测的规则树，从而提高检测效率。

另一方面，针对内容检测时必须注重规则数量和检测速度。根据BM算法的原理，在检测时模式树的检测推移速度取决于“坏字符”和“好后缀”的移动长度。同时，在模式树中出现短模式会极大影响算法的实施。因此，必须先缩小检测范围，才能避免由于规则数量过多影响的内容检测工作。

总结：本文主要研究了多模式匹配算法的计算机网络入侵检测，同时研究了多种模式的匹配算法以及对网络入侵检测的改进提出了相应的对策。通过观察对比AC算法以及AC-BM算法，可以发现在进行计算机网络入侵检测时，使用多种模式的匹配算法能更好的实现检测目的，从而维护网络环境安全。