用于网络入侵检测系统的快速匹配方法技术方案

本文提出一个创新的、不同的模式匹配方法：我们把数据包的有效载荷划分成多个固定长度的块，逐个地对每一块执行模式匹配。对于每一个块仅需要较少数量的比较，这是基于这样一个事实：网络入侵检测系统中正常的数据流几乎不与任何病毒签名相匹配，而且我们需要比较的大部分密钥都很短。对多个密钥的并行检查加快了处理速度，减少指令间数据相关性。对于非固定长度的正则表达式密钥，我们的算法被用作一个哈希表来尽可能避免对大部分数据包的进一步检查。我们的算法只需要少量的内存来存储经常使用的数据，这些数据存储在高速缓存(Cache)中，因此CPU绝大部分时间并不需要访问主内存。内存访问延迟的时间通常是数百倍于CPU时钟周期，由于需要很少的内存访问，我们的算法加快了模式匹配的速度。

【技术实现步骤摘要】

【技术保护点】
１．一种基于Ｓｎｏｒｔ网络入侵检测系统的快速字符串匹配方法，其中，把数据包的有效负荷划分成多个相同大小的块，每一块的长度是Ｌ字节，而且需要３个长度为Ｌ－比特的窗来记录暂时的结果。用来记录正在被检查的块的结果的窗被称为ＣＷ，用来记录前一个块所产生的结果的窗称为ＰＷ，用来记录由当前块产生并用于下一个块匹配的结果的窗被称作ＮＷ，该方法包括以下步骤：（１）对于第一个块，将这三个窗中的比特全部设定成０，并且将一个计数器“ＣＮＴ”初始化为Ｌ；（２）如果ＣＮＴ是Ｌ，将当前块与密钥的第一个字符的Ｌ个副本进行ＮＸＯＲ（异或非）运算，并将该Ｌ－比特的结果存储至ＣＷ中；如果不是，将当前块与密钥的下一个字符的Ｌ个副本进行ＮＸＯＲ运算，随后与ＣＷ进行ＡＮＤ运算，并将结果存储至ＣＷ；（３）如果这是密钥中的最后一个字符，且新的ＣＷ不是０，则就找到了匹配；如果不是，则进入第四步；（４）如果ＰＷ和ＣＷ都是０，则将｛ＣＷ，ＮＷ｝向右移ＣＮＴ个比特，然后将ＮＷ复制至ＰＷ，设置ＣＮＴ为Ｌ并移动至下一个块并进行至步骤２以进行进一步的检查；（５）如果ＰＷ全部是０，且ＣＷ除了最低有效比特之外也全是０，则将｛ＣＷ，ＮＷ｝向右移ＣＮＴ个比特，然后将ＮＷ复制至ＰＷ，将ＣＮＴ设置成Ｌ并移动至下一个块并进行至步骤２以进行进一步的检查；（６）如果ＰＷ不是０，或者ＣＷ不是０或１，则将｛ＰＷ，ＣＷ，ＮＷ｝向右移１个比特，并将ＣＮＴ数减１；（７）回到步骤２。...

【技术特征摘要】

【专利技术属性】
技术研发人员：张萌萌，
申请(专利权)人：北方工业大学，
类型：发明
国别省市：11