文档介绍：博博博士士士学学学位位位论论论文文文
面向网络入侵检测的串匹配算法优化
RESEARCH ON INTRUSION
DETECTION SYSTEM ORIENTATED
STRING MATCHING OPTIMIZATION
杨杨杨天天天龙龙龙
哈哈哈尔尔尔滨滨滨工工工业业业大大大学学学
2014 年年年 3 月月月
国内图书分类号：TM309 学校代码：10213
国际图书分类号： 密级：公开
工工工学学学博博博士士士学学学位位位论论论文文文
面向网络入侵检测的串匹配算法优化
博 士 研 究 生：杨天龙
导 师：张宏莉
申 请 学 位：工学博士
学 科：计算机科学与技术
所 在 单 位：计算机科学与技术学院
答 辩 日 期：2014 年 3 月
授予学位单位：哈尔滨工业大学
Classified Index: TM309
:
Dissertation for the Doctoral Degree in Engineering
RESEARCH ON INTRUSION
DETECTION SYSTEM ORIENTATED
STRING MATCHING OPTIMIZATION
Candidate: Yang Tianlong
Supervisor: Prof. Zhang Hongli
Academic Degree Applied for: Doctor of Engineering
Specialty: Computer Science and Technology
Affiliation: School of Computer Science and Technology
Date of Defence: Mar., 2014
Degree-Conferring-Institution: Harbin Institute of Technology
摘 要
摘 要
互联网已经成为人们日常生活中不可或缺的一个部分。伴随而来的是日趋
猖獗的网络犯罪对网络节点上主机的信息安全的威胁。出于不同的目的，网络
使用者可以利用一定的技术或者社会手段，非法进入个人主机、盗取个人账户
密码甚至是对网站进行协作攻击。建立一个坚固的预防、阻断网络犯罪的安全
体系至关重要。入侵检测系统就是网络安全体系中不可或缺的重要组组成部
分，其主要处理对象就是来自网络的数据包。入侵检测系统会对网络数据包和
已知的数据库进行比对，根据已掌握的数据将数据包中的信息归类为入侵行为
或者安全行为。针对入侵检测系统监测到的入侵行为，还可以将这些入侵告警
进行分析进一步挖掘告警之间的逻辑联系，揭示隐含的攻击过程用于定位攻击
源或者为后续检测提供知识储备。为了确保能有效地提取网络数据包中的信息
需要高效的串匹配算法提供技术支持。然而随着网络技术的发展，各种新的攻
击类型也层出不穷，这也使得串匹配自动机需要维护的特征集的规模越来越
大，直接降低了入侵检测系统的性能。
基于这样的背景，本文的研究目标是构造支持大规模特征集合的串匹配算
法，并且能够找到对现有串匹配算法进行速度提升的方法。具体地，本文着重
从以下几个方面、不同层次对串匹配的优化方法进行了深入的研究：
(1)特征集规模过大导致匹配自动机无法正常构建限制了入侵检测系统能
够识别的有害信息的数量。本文特别针对大特征集文本匹配问题，提出一种混
合匹配自动机模型。该模型旨在通过长度对特征进行分类，构造更加紧凑的匹
配自动机。通过将具有不同长度范围的特征分布到不同的自动机中，可以采用
不同的方式对