一種應(yīng)用于入侵檢測系統(tǒng)的ac算法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種AC算法��,尤其涉及一種應(yīng)用于入侵檢測系統(tǒng)的AC算法���。
【背景技術(shù)】
[0002]入侵檢測作為主要的網(wǎng)絡(luò)安全技術(shù)被人們進行了大量的研宄����,獲得了長足的發(fā)展���。但是現(xiàn)今的入侵檢測技術(shù)遠(yuǎn)非完美�,仍有巨大的進步空間���。隨著近幾年來Internet的飛速發(fā)展����,網(wǎng)絡(luò)干線基本都采用光纖作為傳輸設(shè)備����,導(dǎo)致網(wǎng)絡(luò)帶寬較以前有顯著提高����,網(wǎng)絡(luò)速度也越來越快�����,這就要求入侵檢測系統(tǒng)提高檢測效率�����。同時�����,隨著攻擊方法的不斷翻新��,入侵檢測系統(tǒng)難以做到檢測出所有的攻擊�,從而使得入侵檢測系統(tǒng)出現(xiàn)大量的誤報和漏報行為�����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明主要提供一種應(yīng)用于入侵檢測系統(tǒng)的AC算法��,解決入侵檢測的檢測效率低及檢測準(zhǔn)確性差等問題�����。
[0004]為了實現(xiàn)本發(fā)明的目的,本發(fā)明提供一種應(yīng)用于入侵檢測系統(tǒng)的AC算法�����,其預(yù)處理步驟為:
(1)按基本AC算法的方法構(gòu)造有限狀態(tài)自動機����,將有限自動機用二維數(shù)組存儲;
(2)壓縮有限狀態(tài)自動機存儲數(shù)組的全O列���,之后查詢數(shù)組中的全O列�,記錄全O列的位置信息���,刪除數(shù)組中所有的全O列�����;
優(yōu)選的�,所述算法的匹配步驟為:
(1)從待匹配文本T中新讀取一個字符CHAR;
(2)在未用字符表中查找新讀入的字符����,如果在其中找到CHAR��,就置當(dāng)前狀態(tài)currentstate為0���,流程轉(zhuǎn)至(I ),否則繼續(xù)下面的操作����;
(3)將CHAR減去未用字符表中ASCII碼小于CHAR的字符的數(shù)量;
(4)根據(jù)輸出函數(shù)判斷是否有匹配存在�����;
(5)如果文本讀取完畢就退出�����,否則返回(I)���。
[0005]優(yōu)選的,預(yù)處理步驟(3)中其壓縮步驟為:
(1)遍歷數(shù)組的行����,根據(jù)設(shè)定的閾值將行分段,記錄各段的元素��;
(2)計算各段的長度以及起始位置;
(3)按sparse-bandsformat格式將各行數(shù)據(jù)分別存儲在不同的一維組中����,并令一指針數(shù)組指向它們。
[0006]優(yōu)選的����,在預(yù)處理步驟(2)刪除數(shù)組中所有O列后,需要對數(shù)組的各行采用sparse-bands format 格式進行壓縮�����。
[0007]優(yōu)選的��,在AC算法匹配步驟3之后需要將3的計算結(jié)果根據(jù)sparse-bandsformat格式的定義查找到對應(yīng)的狀態(tài)�����,并將其置為current state�����。
[0008]優(yōu)選的����,在進行匹配步驟之前需要設(shè)待匹配的文本串為 text ο
[0009]有益效果:本發(fā)明提供一種應(yīng)用于入侵檢測系統(tǒng)的AC算法����,改進的AC算法與其它AC算法相比�����,空間開銷最小�����,改進AC算法占用的存儲空間為1027.01MB�����,而其他AC算法占用的存儲空間為635.13MB��,比前者少占用存儲空間391.88MB��,性能提升38.2%�����。同時��,改進AC算法比占用1327.96MB的基本AC算法性能提升52.2%��,比占用688.89MB的基于sparse-bands format存儲格式的改進AC算法性能提升7.8%���,該算法的設(shè)計是成功的�。
【附圖說明】
[0010]圖1:算法匹配過程流程圖��。
[0011]圖2:模式集合P對應(yīng)的DFA圖�����。
[0012]圖3:DFA存儲數(shù)組�。
【具體實施方式】
[0013]下面結(jié)合附圖和【具體實施方式】對本發(fā)明做進一步詳細(xì)說明。
[0014]本發(fā)明提供一種應(yīng)用于入侵檢測系統(tǒng)的AC算法�,其預(yù)處理步驟為:
(1)按基本AC算法的方法構(gòu)造有限狀態(tài)自動機,將有限自動機用二維數(shù)組存儲����;
(2)壓縮有限狀態(tài)自動機存儲數(shù)組的全O列,之后查詢數(shù)組中的全O列�,記錄全O列的位置信息,刪除數(shù)組中所有的全O列��;
所述算法的匹配步驟為:
(1)從待匹配文本T中新讀取一個字符CHAR;
(2)在未用字符表中查找新讀入的字符��,如果在其中找到CHAR�����,就置當(dāng)前狀態(tài)currentstate為0,流程轉(zhuǎn)至(I )�����,否則繼續(xù)下面的操作�����;
(3)將CHAR減去未用字符表中ASCII碼小于CHAR的字符的數(shù)量�����;
(4)根據(jù)輸出函數(shù)判斷是否有匹配存在��;
(5)如果文本讀取完畢就退出���,否則返回(I)�����。
[0015]其中,預(yù)處理步驟(3)中其壓縮步驟為:
(1)遍歷數(shù)組的行���,根據(jù)設(shè)定的閾值將行分段���,記錄各段的元素��;
(2)計算各段的長度以及起始位置�����;
(3)按sparse-bandsformat格式將各行數(shù)據(jù)分別存儲在不同的一維組中�����,并令一指針數(shù)組指向它們�����,在預(yù)處理步驟(2)刪除數(shù)組中所有O列后����,需要對數(shù)組的各行采用sparse-bands format格式進行壓縮��,在AC算法匹配步驟3之后需要將3的計算結(jié)果根據(jù)sparse-bands format格式的定義查找到對應(yīng)的狀態(tài)���,并將其置為current state��,在進行匹配步驟之前需要設(shè)待匹配的文本串為text���。
[0016]為了能形象地表述AC算法的預(yù)處理過程和匹配過程����,舉一個例子進行說明�����。設(shè)模式集合為P= {he, she, his, hers, herb, shank}���,在預(yù)處理階段�,首先按照基本AC算法的方法構(gòu)建模式集合P對應(yīng)的有限狀態(tài)自動機��,該有限狀態(tài)自動機如圖2所示����,存儲該有限狀態(tài)自動機的二維數(shù)組如圖3所示,可以看到該數(shù)組存在大量的O元素����,查詢數(shù)組中的全O列�����,并將它們對應(yīng)的字符存入未用字符表中。然后���,根據(jù)雙重壓縮AC算法執(zhí)行全O列的刪除����,之后再按照sparse-bands format格式對數(shù)組的各行進行壓縮����,最終得模式集合P對應(yīng)的的有限狀態(tài)自動機存儲格式。
[0017]完成預(yù)處理后就可以利用壓縮后的有限狀態(tài)自動機進行字符串匹配了�。匹配過程為:
(1)讀入字符CHAR=u,u在未用字符表中�����,置currentstate為O ;
(2)讀入字符CHAR=h���,它不在未用字符表中�,經(jīng)查未用字符表中ASCII碼小于h的字符數(shù)量為101個���;
(3)‘h’ -101=3 ��;
(4)根據(jù)sparse-bandsformat存儲格式�,計算“3”對應(yīng)Ptr_0 (3)=1,因此置current state 為 I ����;
(5)讀入字符CHAR=e,它不在未用字符表中����,經(jīng)查未用字符表中ASCII碼小于e的字符數(shù)量為99個;
(6)‘e’ -99=2 �;
(7)根據(jù)sparse-bandsformat存儲格式計算“2”對應(yīng)Ptr_l (2)=2,因此置currentstate 為 2 �����;
(8)在輸出函數(shù)中查詢到有模式“he”發(fā)生匹配�,將該匹配信息輸出。
[0018]本發(fā)明提供一種應(yīng)用于入侵檢測系統(tǒng)的AC算法���,改進的AC算法與其它AC算法相比��,空間開銷最小����,改進AC算法占用的存儲空間為1027.01MB,而其他AC算法占用的存儲空間為635.13MB����,比前者少占用存儲空間391.88MB�,性能提升38.2%。同時����,改進AC算法比占用1327.96MB的基本AC算法性能提升52.2%,比占用688.89MB的基于sparse-bandsformat存儲格式的改進AC算法性能提升7.8%�����,該算法的設(shè)計是成功的��。
[0019]由技術(shù)常識可知��,本發(fā)明可以通過其它的不脫離其精神實質(zhì)或必要特征的實施方案來實現(xiàn)�。因此,上述公開的實施方案����,就各方面而言����,都只是舉例說明���,并不是僅有的�����。所有在本發(fā)明范圍內(nèi)或在等同于本發(fā)明的范圍內(nèi)的改變均被本發(fā)明包含���。
【主權(quán)項】
1.一種應(yīng)用于入侵檢測系統(tǒng)的AC算法,其特征在于�����,其預(yù)處理步驟為: (1)按基本AC算法的方法構(gòu)造有限狀態(tài)自動機�����,將有限自動機用二 維數(shù)組存儲���; (2)壓縮有限狀態(tài)自動機存儲數(shù)組的全O列���,之后查詢數(shù)組中的全O列���,記錄全O列的位置信息,刪除數(shù)組中所有的全O列�����。
2.根據(jù)權(quán)利要求1所述的一種應(yīng)用于入侵檢測系統(tǒng)的AC算法��,其特征在于�����,所述算法的匹配步驟為: (1)從待匹配文本T中新讀取一個字符CHAR; (2)在未用字符表中查找新讀入的字符�,如果在其中找到CHAR��,就置當(dāng)前狀態(tài)currentstate為O�����,流程轉(zhuǎn)至(I )�����,否則繼續(xù)下面的操作�; (3)將CHAR減去未用字符表中ASCII碼小于CHAR的字符的數(shù)量���; (4)根據(jù)輸出函數(shù)判斷是否有匹配存在; (5)如果文本讀取完畢就退出����,否則返回(I)。
3.根據(jù)權(quán)利要求1所述的一種應(yīng)用于入侵檢測系統(tǒng)的AC算法����,其特征在于,預(yù)處理步驟(3)中其壓縮步驟為: (1)遍歷數(shù)組的行����,根據(jù)設(shè)定的閾值將行分段,記錄各段的元素�; (2)計算各段的長度以及起始位置; (3)按sparse-bandsformat格式將各行數(shù)據(jù)分別存儲在不同的一維組中����,并令一指針數(shù)組指向它們。
4.根據(jù)權(quán)利要求1所述的一種應(yīng)用于入侵檢測系統(tǒng)的AC算法�,其特征在于,在預(yù)處理步驟(2)刪除數(shù)組中所有O列后�,需要對數(shù)組的各行采用sparse-bands format格式進行壓縮。
5.根據(jù)權(quán)利要求1所述的一種應(yīng)用于入侵檢測系統(tǒng)的AC算法,其特征在于�,在AC算法匹配步驟3之后需要將3的計算結(jié)果根據(jù)sparse-bands format格式的定義查找到對應(yīng)的狀態(tài),并將其置為current state��。
6.根據(jù)權(quán)利要求1所述的一種應(yīng)用于入侵檢測系統(tǒng)的AC算法�����,其特征在于���,在進行匹配步驟之前需要設(shè)待匹配的文本串為text�����。
【專利摘要】本發(fā)明提供一種應(yīng)用于入侵檢測系統(tǒng)的AC算法����,改進的AC算法與其它AC算法相比�����,空間開銷最小�����,改進AC算法占用的存儲空間為1027.01MB��,而其他AC算法占用的存儲空間為635.13MB�,比前者少占用存儲空間391.88MB,性能提升38.2%���。同時�����,改進AC算法比占用1327.96MB的基本AC算法性能提升52.2%��,比占用688.89MB的基于sparse-bands format存儲格式的改進AC算法性能提升7.8%�,該算法的設(shè)計是成功的�。
【IPC分類】H04L29-06
【公開號】CN104869110
【申請?zhí)枴緾N201510091101
【發(fā)明人】肖守柏
【申請人】江西科技學(xué)院
【公開日】2015年8月26日
【申請日】2015年3月1日