freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

基于關(guān)系數(shù)據(jù)流模型的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(編輯修改稿)

2025-07-19 15:05 本頁面
 

【文章內(nèi)容簡(jiǎn)介】 t,” IDENTIFY”) AND bytetest(content,100)3. 過濾型多持續(xù)查詢優(yōu)化網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所注冊(cè)的持續(xù)查詢基本上均為過濾型查詢(Filter),即對(duì)由網(wǎng)絡(luò)包生成的關(guān)系表中某些字段的選擇操作。這些字段類型包括字符型、整型等。我們分別針對(duì)不同字段類型設(shè)計(jì)過濾型多持續(xù)查詢優(yōu)化算法。. 字符字段的多串匹配優(yōu)化字符串匹配是包的規(guī)則檢測(cè)中最耗時(shí)的一個(gè)操作,很大程度上決定了檢測(cè)引擎的性能。[4]和Aho-Corasick[4]多串匹配算法,比以前的算法性能有了大幅提高。在我們的系統(tǒng)中,采用了一種新的高效多串匹配算法SBOM[6],試驗(yàn)表明,這種算法同樣能取得較高的性能。. 整數(shù)字段的模式匹配優(yōu)化 Snort規(guī)則中,除了content選項(xiàng)是對(duì)網(wǎng)絡(luò)包載荷部分進(jìn)行關(guān)鍵詞模式匹配,還有相當(dāng)數(shù)量的包頭協(xié)議字段的數(shù)值匹配。如源、目的端口、ttl值等。一種直觀而簡(jiǎn)單的處理方式是對(duì)每一個(gè)到來的數(shù)據(jù)包,先順次執(zhí)行一條規(guī)則中各個(gè)字段的數(shù)值比較,再順次執(zhí)行多條規(guī)則。這種處理方式有幾個(gè)弊端:n 時(shí)間復(fù)雜度是O(n),n為總規(guī)則數(shù)目,即比較次數(shù)與規(guī)則條數(shù)成正比。處理時(shí)間隨著規(guī)則數(shù)目的增加而線性增長(zhǎng)。當(dāng)前的snort包含2300多條規(guī)則,其中不含content字段的包異常檢測(cè)有相當(dāng)數(shù)量。日益增多的網(wǎng)絡(luò)攻擊使得規(guī)則數(shù)目仍在增長(zhǎng)。如此大量的規(guī)則數(shù)導(dǎo)致的匹配引擎性能下降已經(jīng)是一個(gè)不得不考慮的問題。n 針對(duì)各個(gè)屬性域上的判斷,規(guī)則與規(guī)則之間存在冗余??紤]下面兩條規(guī)則片斷:Rule1: SourcePort=200。 DestPort=23。ttl=3。…Rule2: 80=SourcePort6000。 DestPort!=8080。ttl=5?!璕ule3: SourcePort=80。DestPort=23。ttl=3。…若某個(gè)包的SourcePort字段為60,如果第一條規(guī)則不滿足必然不滿足第二條規(guī)則,因此不用再進(jìn)行第二次比較??梢婍槾螆?zhí)行各條規(guī)則的判斷導(dǎo)致產(chǎn)生多余的比較。所以,針對(duì)上述兩個(gè)弊端,我們提出新的數(shù)值型模式匹配算法,充分利用大量注冊(cè)查詢能夠事先知道的優(yōu)勢(shì),將其進(jìn)行預(yù)編譯,形成有效的內(nèi)部數(shù)據(jù)結(jié)構(gòu)(一個(gè)DFA Deterministic finite automaton,或者說是一棵匹配樹),使得匹配時(shí)間不由規(guī)則數(shù)目線性決定,并減少不必要的比較,從而緩解規(guī)則數(shù)目大,網(wǎng)絡(luò)流速高,導(dǎo)致檢測(cè)引擎效率降低的困難。. 問題形式化給定一個(gè)關(guān)系,關(guān)系是一個(gè)屬性的(attribute)集合:a1, a2…。每一個(gè)屬性有它特定的值域范圍aj ∈,每一個(gè)謂詞對(duì)應(yīng)于一個(gè)屬性的判斷。 i 206。 {1,2 m} : Ri = 其中,Pij有如下形式 Pij :Dj 174。 Boolean如果某個(gè)規(guī)則中對(duì)于某個(gè)屬性域沒有限制,則認(rèn)為這條規(guī)則對(duì)于這個(gè)屬性域的取值限制是此屬性域上的所有值。首先任意確定一個(gè)屬性順序a1,a2…an,則每一個(gè)元組就成為此順序的屬性值域上的序列,且序列的長(zhǎng)度是n。每條規(guī)則都可以轉(zhuǎn)化成一個(gè)順次對(duì)每個(gè)屬性值判斷的謂詞的合取范式,可以看成一個(gè)非確定有限自動(dòng)機(jī)(NFSA)。我們對(duì)每一條規(guī)則都進(jìn)行形式化規(guī)范,這樣使其精確地由n個(gè)條件序列組成。其中的第i個(gè)條件就是作用于第i個(gè)屬性域上的謂詞。如果對(duì)第i個(gè)屬性域沒有限制,則認(rèn)為它可以取所在值域上的所有值,在自動(dòng)機(jī)中以TRUE代替。從而,每條規(guī)則都轉(zhuǎn)化為一條匹配路徑,如圖4。同樣的處理辦法,對(duì)于每一條規(guī)則都進(jìn)行規(guī)范化,都成為n個(gè)比較步驟。將所有的規(guī)則首尾并列連接起來,就形成一個(gè)對(duì)應(yīng)于所有規(guī)則的非確定自動(dòng)機(jī)。如果將其轉(zhuǎn)化為一個(gè)確定性自動(dòng)機(jī),則對(duì)于每一個(gè)元組,走一遍自動(dòng)機(jī),順次對(duì)每一個(gè)屬性域上的值進(jìn)行比較,走完n步之后,可以找出這條屬性滿足的所有規(guī)則。這種算法的關(guān)鍵是將這個(gè)NSFA轉(zhuǎn)化為DSFA。傳統(tǒng)的字符串匹配中的自動(dòng)機(jī)轉(zhuǎn)化方法不能直接應(yīng)用到此情況中。首先,每個(gè)屬性的值域是不確定的,而且可能不是有限域,如值域?yàn)檎麄€(gè)整數(shù)域。而字符串匹配中自動(dòng)機(jī)的值域就是26個(gè)字母,是確定的有限的。另外,不同屬性的值域可能不同,不像字符串自動(dòng)機(jī)中,每一步匹配的值域都是字母集合域。所以,針對(duì)規(guī)則匹配的自動(dòng)機(jī)轉(zhuǎn)化,需要解決的問題是對(duì)于每個(gè)不同的屬性,如何確定每個(gè)屬性域上的值域,以及如何將原始值轉(zhuǎn)化為新的屬性域上的新值。當(dāng)前我們僅考慮所有字段都是整數(shù)域的情況(對(duì)于非整數(shù)域數(shù)值,我們經(jīng)過預(yù)轉(zhuǎn)換將其映射到整數(shù)域)。對(duì)于整數(shù)域上所有值不可窮盡枚舉的問題,我們通過生成新字母表的方法解決。下面講述具體算法。 P1 P2 TRUE Pn 圖3匹配路徑. 算法概述n 生成新值域?qū)?yīng)于某一個(gè)屬性,通過下面所述的轉(zhuǎn)換方式,根據(jù)所有規(guī)則在此屬性上的取值,為此屬性域構(gòu)造新的值域。這個(gè)值域是一個(gè)整數(shù)集合,它的勢(shì)是有限的。這樣我們就為每一個(gè)屬性分別構(gòu)造了類似于字符集合的有限的屬性域,從而可以運(yùn)用自動(dòng)機(jī)思想來進(jìn)行匹配。設(shè)有m條規(guī)則,對(duì)應(yīng)于某個(gè)屬性i的值域構(gòu)造方法如下:對(duì)于整數(shù)域上的每一個(gè)取值范圍,都可以統(tǒng)一用左關(guān)右開的值域來表示。設(shè)置最大值MaxNum與最小值MinNum,這個(gè)值取得足夠大(?。亩性M的真實(shí)取值都不會(huì)超過這個(gè)范圍。如對(duì)于端口號(hào),設(shè)置MinNum=0,MaxNum=65535。則對(duì)于a1=m,可以表示為a1∈[m,m+1);對(duì)于a1m,可以表示為a1∈[MinNum,m); 對(duì)于a1m,可以表示為a1∈[m+1,MaxNum); 對(duì)于na1m,可以表示為a1∈[n+1,m);類似的,可以這種統(tǒng)一的方式表示出a1在整數(shù)域上的所有范圍。讀入所有規(guī)則中相應(yīng)屬性上的所有取值。設(shè)有m+1個(gè)不同的取值,這樣,整個(gè)整
點(diǎn)擊復(fù)制文檔內(nèi)容
化學(xué)相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1