基于改进的BM算法在IDS中的实现

摘? 要 入侵检测技术是一种主动保护自己免受攻击的网络安全技术，是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术，作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。 本文首先对入侵检测现状、入侵检测系统组成进行了分析和总结，重点研究了网络入侵检测的核心技术——入侵检测算法。模式匹配算法是基于特征匹配的入侵检测系统中的核心算法，是当前入侵检测设备中普遍应用的算法。模式匹配的效率决定了入侵检测系统的性能。通过对开放源代码的snort中模式匹配技术的改进，提出了一种更快的模式匹配算法，该算法可以加快入侵检测系统的检测速度，提高现有入侵检测系统的检测能力。 关键词：BM算法；入侵检测系统；模式匹配；单模式匹配算法 由于计算机网络自身存在的局限性和信息系统的脆弱性，使得计算机网络系统上的硬件资源，通信资源，软件及信息资源等因为可预见或不可预见的甚至恶意的原因而遭到破坏、更改、泄露或功能失效，使得信息系统处于异常状态，甚至引起系统的崩溃瘫痪，造成巨大的经济损失。在这样的形式下，以保护网络中的信息免受各种攻击为目的的网络安全变得越来越重要，对安全方面的考虑提高到了越来越重要的地位上。 在设计现有防护系统的时候，只可能考虑到已知的安全威胁与有限范围的未知安全威胁。防护技术只能做到尽量阻止攻击企图的得逞或者延缓这个过程，而不能阻止各种攻击事件的发生，这时就需要引入入侵检测手段加以弥补。 入侵检测系统（IDS）就是按照一定的安全策略建立相应的安全辅助措施的保障系统。目前IDS软件的开发方式基本上就是按照这个思路进行的。对IDS的要求是：如果系统遭到攻击，IDS应尽可能的检测到，甚至是实时的检测到入侵攻击，然后采取适当的处理措施。入侵检测系统一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为安全技术其作用在于： (1)识别入侵者； (2)识别入侵行为； (3)检测和监视已成功的安全突破； (4)为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 从这些角度看待安全问题，入侵检测非常必要，它将弥补传统安全保护措施的不足。 从目前入侵检测技术的研究来看，一个重要的环节是对入侵行为特征进行匹配，即规则匹配。规则匹配的过程就是对从网络上捕获的每一条数据报文和预先定义的入侵规则树进行匹配的过程。如果发现存在某条规则匹配这个报文，就表示检测到一个攻击，然后按照规则指定的行为进行处理；如果搜索完所有的规则都没有找到匹配的规则，就表示报文是正常的报文。BM算法和KMP算法是情报学中应用范围最广的一种字符匹配算法，近年来在入侵检测系统中也得到应用，典型的入侵检测系统Snort就采用了BM算法。但由于BM算法自身存在的缺陷，导致在高速网络环境下入侵检测的速度可能跟不上数据包到达速率，进而可能导致丢包现象。本文提出了BM算法的改进算法，充分利用了Badchar函数在匹配过程中起到的移动指针的主导作用，去掉了GoodSuffix函数的烦琐计算，并对Badchar函数进行了一定程度的修改，提高了匹配速度。