文 / 李猛，鄆城中醫(yī)醫(yī)院

隨著網(wǎng)絡(luò)信息化的發(fā)展，網(wǎng)絡(luò)中涌入的信息量迅速上升，這無(wú)疑是給網(wǎng)絡(luò)管理系統(tǒng)的安全造成了極大的隱患。尤其是近幾年以來(lái)社會(huì)的快速發(fā)展，網(wǎng)絡(luò)交易十分頻繁。入侵檢測(cè)與被動(dòng)防御的殺毒軟件不同，網(wǎng)絡(luò)管理系統(tǒng)中的軟件測(cè)試將入網(wǎng)信息、系統(tǒng)規(guī)則庫(kù)內(nèi)所欲先設(shè)定好的模板進(jìn)行匹配與比較，以此來(lái)對(duì)于不安全的信息進(jìn)行過濾。但是因?yàn)樾枰挪樗械娜刖W(wǎng)信息，所以耗時(shí)較長(zhǎng)，資源消耗大，甚至還會(huì)影響到網(wǎng)絡(luò)性能，所以需要更為有效的匹配風(fēng)啊，在提高網(wǎng)絡(luò)入侵檢測(cè)效率的同時(shí)，能夠保障安全。

1 網(wǎng)絡(luò)入侵檢測(cè)基本模型

網(wǎng)絡(luò)入侵檢測(cè)過程：偵查匹配進(jìn)入到網(wǎng)絡(luò)中的所有數(shù)據(jù)包，對(duì)于圖個(gè)數(shù)據(jù)與規(guī)則模板是否存在吻合情況進(jìn)行分析，并過濾掉不安全信息。入侵檢測(cè)系統(tǒng)是防火墻后的一個(gè)保護(hù)層，能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)行為，從而起到保護(hù)網(wǎng)絡(luò)性能，抵御網(wǎng)絡(luò)內(nèi)部、外部的不定時(shí)攻擊的作用。

事件產(chǎn)生器主要是用于抽取網(wǎng)絡(luò)中的可疑行為：行為特征模塊則是用于記錄系統(tǒng)中的各種異常行為與行為特征，并且該模塊具有自動(dòng)更新、自我學(xué)習(xí)能力；規(guī)則模塊的目的是為了給數(shù)據(jù)是否存在入侵的判斷提供參考作用。

而對(duì)于入侵檢測(cè)系統(tǒng)的成功與否進(jìn)行評(píng)判的標(biāo)準(zhǔn)主要是看管理人員是否可以及時(shí)獲取網(wǎng)絡(luò)系統(tǒng)中的相關(guān)變化和異常信息，如果出現(xiàn)意外，是否可以及時(shí)產(chǎn)生良好的保護(hù)。而由于網(wǎng)絡(luò)本身就具有復(fù)雜性的特點(diǎn)，所以對(duì)于入侵檢測(cè)也具有較高的要求，如何在最短的時(shí)間內(nèi)排出、過濾所有的數(shù)據(jù)信息，需要掌握良好的模式匹配算法，同時(shí)還需對(duì)網(wǎng)絡(luò)中的不安全因素開展匹配，使其能夠產(chǎn)生抵御，而單一模式雖然也只可以匹配網(wǎng)絡(luò)中的某一種攻擊，但在當(dāng)前的復(fù)雜網(wǎng)絡(luò)環(huán)境下，隨著不斷提升地信息數(shù)據(jù)保護(hù)的重要程度、網(wǎng)絡(luò)信息的規(guī)模，網(wǎng)絡(luò)的入侵急需實(shí)現(xiàn)多種模式匹配算法?；诖耍疚奶岢隽艘环N多模式匹配算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè).

多模式匹配與單模式匹配之間存在許多的相似之處，但是也存在明顯不同的差異。多模式匹配的提出在最開始的時(shí)候，是為了解決數(shù)目查找的問題，然后在很長(zhǎng)的一段時(shí)間內(nèi)，改匹配模型也僅僅知識(shí)應(yīng)用在文獻(xiàn)檢索方面，后來(lái)才開始逐漸的應(yīng)用到其他領(lǐng)域中。但是隨著近幾年來(lái)，網(wǎng)絡(luò)入侵檢測(cè)、生物信息學(xué)等眾多問題的深入研究與網(wǎng)絡(luò)數(shù)字圖書館、網(wǎng)絡(luò)信息搜索等逐漸廣泛的應(yīng)用，所以研究人員需要重新認(rèn)識(shí)多模式匹配問題。

2 多模式匹配算法

基于計(jì)算機(jī)網(wǎng)絡(luò)自身特征，本文提出RAC算法。該算法的基本思想主要是集中在預(yù)處理環(huán)節(jié)，并且RAC算法模型分別包括：函數(shù) output、無(wú)效函數(shù)failure以及跳轉(zhuǎn)函數(shù)goto三個(gè)函數(shù)。而本文則主要是通過采用函數(shù)來(lái)對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)開展匹配以及編輯工作。RAC算法是以密鑰控制模式是否置換來(lái)開展檢測(cè)活動(dòng)，也就是判斷模式樹中的內(nèi)部節(jié)點(diǎn)有無(wú)進(jìn)行交換。

首先，通過隨機(jī)數(shù)生成器獲取256位數(shù)字ri，并且所獲得的數(shù)字既可能是1，也可能會(huì)是2，以此來(lái)實(shí)現(xiàn)模式是否進(jìn)行置換的控制作用。另外，輸入方式的不同也同樣會(huì)導(dǎo)致輸入種子之間出現(xiàn)區(qū)別，因此基于此來(lái)收獲相對(duì)的隨機(jī)數(shù)串。但是所選取的隨機(jī)數(shù)生成器自身存在一定的隨意性；其次，假設(shè)ri=1能夠滿足，并且所使用的的模式對(duì)應(yīng)階數(shù)為零，在此時(shí)要求對(duì)零階概率模式中的 0、1 符號(hào)所對(duì)應(yīng)的概率值之間進(jìn)行交換。那么如果使用1階模式，將會(huì)需要與之相對(duì)應(yīng)的概率值之間產(chǎn)生交換。但如果此時(shí)的0是一個(gè)概率模式的字符，那么就需要與0 |0 與 1 |0 所相對(duì)應(yīng)的概率值之間進(jìn)行交換，如果前一個(gè)字符是1，所要求交換的概率值就需要是與0 |1 與 1 |1 相對(duì)應(yīng)的概率值。這一實(shí)現(xiàn)過程如下圖三所示。另外，如果ri=0，那么多模式則是利用正常多模式匹配模式的方式實(shí)現(xiàn)的。例如，如下圖一中的模式建立及檢測(cè)過程，良好的反映出了基于0101100 密鑰下開展的建模、檢測(cè)等過程。

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的多模式匹配算法，可以使匹配效果得到有效的提升，同時(shí)這一匹配過程也不會(huì)對(duì)于語(yǔ)法要求產(chǎn)生違背，并且只有模式才會(huì)發(fā)生變化。因此，在解碼的過程中與傳統(tǒng)的解碼過程之間差異并不是太大，并且需要利用密鑰控制才能夠解密源信息。

3 常見算法

多模式匹配算法中最典型的是有限自動(dòng)機(jī)的多模式匹配算法，即AC算法。該算法的基本思想在于預(yù)處理階段。通過利用AC算法中的函數(shù)對(duì)于文本進(jìn)行匹配，以此來(lái)尋求匹配文本的位置與所有項(xiàng)。

該算法的產(chǎn)生思路：計(jì)算所有深度為1狀態(tài)下的失效函數(shù)值，然后對(duì)于深度為2的狀態(tài)進(jìn)行計(jì)算，直到所有的狀態(tài)計(jì)算結(jié)束之后，得到一系列失效函數(shù)值。解決過程：對(duì)于特定狀態(tài)下的失效函數(shù)值的計(jì)算算法非常簡(jiǎn)單。第一，將全部狀態(tài)的深度定義為1，此時(shí)的狀態(tài)s所得的失效函數(shù)值為f（s）=0。然后計(jì)算所有1＜d狀態(tài)下的f值，并進(jìn)行遞歸迭代計(jì)算1=d狀態(tài)下的f值。

除此之外，AC-BM算法、AC_SUNDAY算法都是由AC算法所衍生出來(lái)的，通過對(duì)于傳統(tǒng)的AC算法進(jìn)行了性能方面的改進(jìn)所得到的。

4 總結(jié)

綜上所述，本文主要是通過采用多模式匹配算法實(shí)現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)，并對(duì)于如入侵檢測(cè)基本模型、多模式匹配算法進(jìn)行了詳細(xì)的分析，同時(shí)還提出了常見算法。而當(dāng)前的市面上已經(jīng)出現(xiàn)許多的入侵檢測(cè)系統(tǒng)算法，例如，神經(jīng)網(wǎng)絡(luò)、專家系統(tǒng)、模式匹配、數(shù)據(jù)挖掘以及統(tǒng)計(jì)分析等。