黃云峰

(福建警察學(xué)院 a.計算機與信息安全管理系, b.數(shù)字福建社會安全大數(shù)據(jù)研究所，福州 350007)

伴隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊等問題也逐漸增多，大量至關(guān)重要的網(wǎng)絡(luò)安全技術(shù)也得到了大規(guī)模的使用[1].計算機網(wǎng)絡(luò)入侵檢測技術(shù)的使用就是針對網(wǎng)絡(luò)安全采取的一種有效措施，然而隨著計算機網(wǎng)絡(luò)數(shù)據(jù)傳輸速率的不斷提升，導(dǎo)致計算機網(wǎng)絡(luò)入侵系統(tǒng)需要處理的數(shù)據(jù)也變得很多[2-3].計算機網(wǎng)絡(luò)入侵檢測技術(shù)是網(wǎng)絡(luò)安全目前研究的熱點，而模式匹配則是入侵檢測技術(shù)中對于網(wǎng)絡(luò)攻擊特征數(shù)據(jù)包的檢測技術(shù).在實際的入侵檢測系統(tǒng)中，模式匹配在整個檢測過程中占用大量時間，因此模式匹配算法的性能直接影響整個入侵檢測系統(tǒng)的檢測效率[4-5].

研究發(fā)現(xiàn)，如果只是簡單的計算機網(wǎng)絡(luò)，那么其安全性是無法得到充分保障的[6].尤其是伴隨著電子商務(wù)行業(yè)的興起，在線網(wǎng)絡(luò)支付、網(wǎng)絡(luò)銀行、在線轉(zhuǎn)賬等網(wǎng)絡(luò)貿(mào)易業(yè)務(wù)快速發(fā)展，也逐漸暴露出越來越多的網(wǎng)絡(luò)安全問題，計算機網(wǎng)絡(luò)除了要具備抵御不同網(wǎng)絡(luò)的攻擊，同時也要對網(wǎng)絡(luò)信息進行排查檢測，徹底排除網(wǎng)絡(luò)潛在威脅.然而，由于當(dāng)前有關(guān)多模式匹配算法的研究集中于安全性領(lǐng)域，有關(guān)多模式匹配下的計算機網(wǎng)絡(luò)入侵檢測的研究相對較少.基于此，結(jié)合已有的研究成果，提出了一種計算機網(wǎng)絡(luò)入侵檢測方法，此方法具有較好的多模式匹配性能，能夠?qū)⑵溥\用到計算機網(wǎng)絡(luò)安全的檢測中.

1 多模式匹配算法的設(shè)計

1.1 多模式匹配算法的性質(zhì)

多模式匹配指的是滿足如下要求的匹配：

(1)在某一時刻，匹配狀態(tài)決定了匹配符號的輸出，以前的狀態(tài)對輸出并無任何影響，即滿足p(xl=ak|ul=sj,xl-1=ak,ul-1=si,…)=p(xl=ak|ul=sj)，ak∈A(a1,a2,…，aq),si,sj∈s=(s1,s2,…，sj).

(2)匹配狀態(tài)只由當(dāng)前輸出符號和前一刻匹配狀態(tài)唯一確定，即

與之相類似的，可對m階多模式匹配進行定義.

在實際中，匹配所發(fā)出的信息符號具有很大的關(guān)聯(lián)性，即存在大量記憶匹配，一般對于這種符號之間的關(guān)聯(lián)性，可以用聯(lián)合概率、條件概率等進行說明，匹配模式是有記憶的.其中多模式匹配就屬于記憶匹配，并且非常重要.通常來講，當(dāng)匹配符號之間具有的依賴性越強時，則對應(yīng)的匹配熵越小.即此時與極限熵H更加接近，而這將直接關(guān)系到最終的匹配效果.故此，為了提高匹配效率，使用了多模式匹配算法.

1.2 計算機網(wǎng)絡(luò)中的多模式匹配算法

圖1 模式置換示意圖

基于計算機網(wǎng)絡(luò)所具有的獨有特征，提出了RAC算法.該算法的基本思想是在預(yù)處理階段，該算法模型一共有3個函數(shù)：無效函數(shù)failure、輸出函數(shù)output和跳轉(zhuǎn)函數(shù)goto.本文使用這些函數(shù)對計算機網(wǎng)絡(luò)進行匹配和遍歷.該算法是以密鑰控制模式是否置換來進行檢測的，即判斷在如圖1所示的模式樹中，其內(nèi)部節(jié)點有無發(fā)生交換.圖1所示表示了具體的置換過程.

檢測目標(biāo)可通過如下方式實現(xiàn).首先，通過隨機數(shù)生成器來獲得256位的隨機數(shù)ri，所得到的隨機數(shù)有可能為1或0.能夠以此實現(xiàn)模式是否進行置換的有效控制.輸入方式不同所輸入的種子是存在差異的，由此來得到與之相對的隨機數(shù)串.但是隨機數(shù)生成器的選取是隨意的；其次，假如滿足ri=1且所使用的模式對應(yīng)階數(shù)為零，那么此時要求對零階概率模式中的0、1符號所對應(yīng)的概率值進行交換.如果目前使用的是1階模式，那么則需要將與之相對應(yīng)的概率值進行交換處理，假如0為一個概率模式的字符，此時要求將0|0與1|0所對應(yīng)的概率值進行交換.如果前一字符為1，那么要求進行交換的概率值為0|1與1|1所對應(yīng)的概率值，圖2所示為整個的實現(xiàn)過程.此外，假如ri=0，則多模式是以正常多模式匹配模式實現(xiàn)的.

以圖2為例說明檢測過程.如圖2所示，反映了0101100密鑰下進行建模以及檢測的具體過程.

多模式匹配算法的運用，使得匹配效果得到了有效提高，而且整個過程并沒有違背語法要求，發(fā)生的變化只是模式而已.因此，解碼過程的實現(xiàn)與傳統(tǒng)解碼并沒有太大區(qū)別，而且需要密鑰控制才能夠?qū)崿F(xiàn)對源信息的有效解密.

圖2 模式建立及檢測過程

2 實驗結(jié)果及安全性分析

2.1 匹配性能分析

利用本文算法，RAC算法、RAC-BM算法(由AC算法衍生出來的，它是對傳統(tǒng)RAC算法進行了性能改進.RAC-BM算法相對于AC算法，實現(xiàn)了跳躍字符匹配.)分別對文本進行了匹配檢測，以實現(xiàn)對本文算法性能的對比分析.所使用的測試實例是從thecanterbury corpus中選擇的.為了更加清晰直觀的觀察3種算法匹配所用的時間，實驗結(jié)果用曲線表示，如圖3所示.

從圖3可以得出：使用3種算法在匹配時間方面，本文算法和RAC-BM算法比RAC算法耗費的時間要少，伴隨著模式的不斷變多，RAC算法所匹配時間也越來越多，但本文算法和RAC-BM算法隨著模式的變多增長速率卻變得更加緩和，并且本文算法比RAC-BM算法耗的時間更少.

2.2 內(nèi)存性能分析

對比3種算法在內(nèi)存中的資源消耗，使用曲線圖4進行直觀描述.在內(nèi)存資源使用方面，本文算法和RAC-BM算法比RAC算法耗費的內(nèi)存資源要少，并且從圖中觀察可知，隨著模式的增長，3種算法消耗的內(nèi)存空間資源也快速增加，但是本文算法要比RAC-BM算法消耗的資源少.

圖3 3種算法模式匹配時間曲線圖

圖4 3種算法模式消耗內(nèi)存曲線圖

2.3 統(tǒng)計分析

PSNR作為一種評價圖像的客觀標(biāo)準(zhǔn)，它具有局限性，一般是用于最大值信號和背景噪音之間的一個工程項目.PSNR在檢測方面具有廣泛應(yīng)用，該值越大，則說明檢測的失真性越低；反之，則說明具有的失真越大.當(dāng)該值取值小于9，則此時的方式將失去其意義.圖5表示了當(dāng)隨機檢測方法不同時，密鑰解碼具有不同的PSNR值.結(jié)合圖6結(jié)果能夠發(fā)現(xiàn)，當(dāng)實施了檢測操作之后，如果遭受了非法攔截，信息被他人所截取，如果所使用的入侵方式與檢測并不匹配，那么檢測獲得的方式是無價值的.

2.4 網(wǎng)絡(luò)入侵敏感性分析

本文使用NPCR入侵檢測來進行測試.因為所測試的對象存在差異，故此在文中對該入侵檢測進行了重新界定.要求首先對網(wǎng)絡(luò)入侵方式進行檢測，要求入侵方式有所差異，與之相對的密文依次為C1C2，對于位置i處來講，與之對應(yīng)的密文依次表示為C1(i)C2(i)，對數(shù)組D(i)進行定義，如果符合C1(i)=C2(i)D(i)=0，此時C1(i)C2(i)決定了該值，如果不滿足上述條件，存在D(i)=1.則此時可通過下式對其進行定義

并且針對大小為256×256的灰度方式進行了算法測試.圖6為具體結(jié)果.分析可得，此時的NPCR將會維持在0.997左右，由此能夠表明該算法具有較好的敏感性.

圖5 不同隨機檢測方法得到的PSNR值

圖6 改變一個入侵方式的NPCR值

3 結(jié)論

基于多模式匹配算法提出了一種計算機網(wǎng)絡(luò)檢測方法，通過多模式匹配算法能夠使得匹配效率得到提高.借助這一優(yōu)點，使得計算機網(wǎng)絡(luò)具有較好的敏感性，最終實現(xiàn)多模式匹配算法的計算機網(wǎng)絡(luò)入侵檢測以及對符號概率順序的控制.實驗結(jié)果表明，與RAC算法相比，本文所提出的算法具有更好的安全性能以及匹配性能，密鑰空間很大，而且對于密鑰具有很強的敏感性，具有極為廣闊的應(yīng)用前景.

[參 考 文 獻]

[1] WURZENBERGER M,SKOPIK F,SETTANNI G,et al.Complex log file synthesis for rapid sandbox-benchmarking of security- and computer network analysis tools[J].Information Systems,2016,60(C):13-33.

[2] REN Z,DENG Z,SUN Z.Cellular automaton modeling of computer network[J].Computer Physics Communications,2012,144(3):243-251.

[3] TIAN X.A knowledge accumulation approach based on bilayer social wiki network for computer-aided process innovation[J].International Journal of Production Research,2015,53(8):2365-2382.

[4] CHIUEH T C,TU C C,WANG Y C.Peregrine:an all-layer-2 container computer network[J].IEEE,2012,34(6):686-693.

[5] DAKIN V I.Computer simulation of network formation in polymers[J].Journal of Applied Polymer Science,2015,70(13):2569-2574.

[6] ZHANG S.A model for evaluating computer network security systems with 2-tuple linguistic information[J].Computers & Mathematics with Applications,2011,62(4):1916-1922.