黄云峰

(福建警察学院 a.计算机与信息安全管理系, b.数字福建社会安全大数据研究所，福州 350007)

伴随着计算机网络技术的迅速发展，网络入侵和网络攻击等问题也逐渐增多，大量至关重要的网络安全技术也得到了大规模的使用[1].计算机网络入侵检测技术的使用就是针对网络安全采取的一种有效措施，然而随着计算机网络数据传输速率的不断提升，导致计算机网络入侵系统需要处理的数据也变得很多[2-3].计算机网络入侵检测技术是网络安全目前研究的热点，而模式匹配则是入侵检测技术中对于网络攻击特征数据包的检测技术.在实际的入侵检测系统中，模式匹配在整个检测过程中占用大量时间，因此模式匹配算法的性能直接影响整个入侵检测系统的检测效率[4-5].

研究发现，如果只是简单的计算机网络，那么其安全性是无法得到充分保障的[6].尤其是伴随着电子商务行业的兴起，在线网络支付、网络银行、在线转账等网络贸易业务快速发展，也逐渐暴露出越来越多的网络安全问题，计算机网络除了要具备抵御不同网络的攻击，同时也要对网络信息进行排查检测，彻底排除网络潜在威胁.然而，由于当前有关多模式匹配算法的研究集中于安全性领域，有关多模式匹配下的计算机网络入侵检测的研究相对较少.基于此，结合已有的研究成果，提出了一种计算机网络入侵检测方法，此方法具有较好的多模式匹配性能，能够将其运用到计算机网络安全的检测中.

1 多模式匹配算法的设计

1.1 多模式匹配算法的性质

多模式匹配指的是满足如下要求的匹配：

(1)在某一时刻，匹配状态决定了匹配符号的输出，以前的状态对输出并无任何影响，即满足p(xl=ak|ul=sj,xl-1=ak,ul-1=si,…)=p(xl=ak|ul=sj)，ak∈A(a1,a2,…，aq),si,sj∈s=(s1,s2,…，sj).

(2)匹配状态只由当前输出符号和前一刻匹配状态唯一确定，即

与之相类似的，可对m阶多模式匹配进行定义.

在实际中，匹配所发出的信息符号具有很大的关联性，即存在大量记忆匹配，一般对于这种符号之间的关联性，可以用联合概率、条件概率等进行说明，匹配模式是有记忆的.其中多模式匹配就属于记忆匹配，并且非常重要.通常来讲，当匹配符号之间具有的依赖性越强时，则对应的匹配熵越小.即此时与极限熵H更加接近，而这将直接关系到最终的匹配效果.故此，为了提高匹配效率，使用了多模式匹配算法.

1.2 计算机网络中的多模式匹配算法

图1 模式置换示意图

基于计算机网络所具有的独有特征，提出了RAC算法.该算法的基本思想是在预处理阶段，该算法模型一共有3个函数：无效函数failure、输出函数output和跳转函数goto.本文使用这些函数对计算机网络进行匹配和遍历.该算法是以密钥控制模式是否置换来进行检测的，即判断在如图1所示的模式树中，其内部节点有无发生交换.图1所示表示了具体的置换过程.

检测目标可通过如下方式实现.首先，通过随机数生成器来获得256位的随机数ri，所得到的随机数有可能为1或0.能够以此实现模式是否进行置换的有效控制.输入方式不同所输入的种子是存在差异的，由此来得到与之相对的随机数串.但是随机数生成器的选取是随意的；其次，假如满足ri=1且所使用的模式对应阶数为零，那么此时要求对零阶概率模式中的0、1符号所对应的概率值进行交换.如果目前使用的是1阶模式，那么则需要将与之相对应的概率值进行交换处理，假如0为一个概率模式的字符，此时要求将0|0与1|0所对应的概率值进行交换.如果前一字符为1，那么要求进行交换的概率值为0|1与1|1所对应的概率值，图2所示为整个的实现过程.此外，假如ri=0，则多模式是以正常多模式匹配模式实现的.

以图2为例说明检测过程.如图2所示，反映了0101100密钥下进行建模以及检测的具体过程.

多模式匹配算法的运用，使得匹配效果得到了有效提高，而且整个过程并没有违背语法要求，发生的变化只是模式而已.因此，解码过程的实现与传统解码并没有太大区别，而且需要密钥控制才能够实现对源信息的有效解密.

图2 模式建立及检测过程

2 实验结果及安全性分析

2.1 匹配性能分析

利用本文算法，RAC算法、RAC-BM算法(由AC算法衍生出来的，它是对传统RAC算法进行了性能改进.RAC-BM算法相对于AC算法，实现了跳跃字符匹配.)分别对文本进行了匹配检测，以实现对本文算法性能的对比分析.所使用的测试实例是从thecanterbury corpus中选择的.为了更加清晰直观的观察3种算法匹配所用的时间，实验结果用曲线表示，如图3所示.

从图3可以得出：使用3种算法在匹配时间方面，本文算法和RAC-BM算法比RAC算法耗费的时间要少，伴随着模式的不断变多，RAC算法所匹配时间也越来越多，但本文算法和RAC-BM算法随着模式的变多增长速率却变得更加缓和，并且本文算法比RAC-BM算法耗的时间更少.

2.2 内存性能分析

对比3种算法在内存中的资源消耗，使用曲线图4进行直观描述.在内存资源使用方面，本文算法和RAC-BM算法比RAC算法耗费的内存资源要少，并且从图中观察可知，随着模式的增长，3种算法消耗的内存空间资源也快速增加，但是本文算法要比RAC-BM算法消耗的资源少.

图3 3种算法模式匹配时间曲线图

图4 3种算法模式消耗内存曲线图

2.3 统计分析

PSNR作为一种评价图像的客观标准，它具有局限性，一般是用于最大值信号和背景噪音之间的一个工程项目.PSNR在检测方面具有广泛应用，该值越大，则说明检测的失真性越低；反之，则说明具有的失真越大.当该值取值小于9，则此时的方式将失去其意义.图5表示了当随机检测方法不同时，密钥解码具有不同的PSNR值.结合图6结果能够发现，当实施了检测操作之后，如果遭受了非法拦截，信息被他人所截取，如果所使用的入侵方式与检测并不匹配，那么检测获得的方式是无价值的.

2.4 网络入侵敏感性分析

本文使用NPCR入侵检测来进行测试.因为所测试的对象存在差异，故此在文中对该入侵检测进行了重新界定.要求首先对网络入侵方式进行检测，要求入侵方式有所差异，与之相对的密文依次为C1C2，对于位置i处来讲，与之对应的密文依次表示为C1(i)C2(i)，对数组D(i)进行定义，如果符合C1(i)=C2(i)D(i)=0，此时C1(i)C2(i)决定了该值，如果不满足上述条件，存在D(i)=1.则此时可通过下式对其进行定义

并且针对大小为256×256的灰度方式进行了算法测试.图6为具体结果.分析可得，此时的NPCR将会维持在0.997左右，由此能够表明该算法具有较好的敏感性.

图5 不同随机检测方法得到的PSNR值

图6 改变一个入侵方式的NPCR值

3 结论

基于多模式匹配算法提出了一种计算机网络检测方法，通过多模式匹配算法能够使得匹配效率得到提高.借助这一优点，使得计算机网络具有较好的敏感性，最终实现多模式匹配算法的计算机网络入侵检测以及对符号概率顺序的控制.实验结果表明，与RAC算法相比，本文所提出的算法具有更好的安全性能以及匹配性能，密钥空间很大，而且对于密钥具有很强的敏感性，具有极为广阔的应用前景.

[参 考 文 献]

[1] WURZENBERGER M,SKOPIK F,SETTANNI G,et al.Complex log file synthesis for rapid sandbox-benchmarking of security- and computer network analysis tools[J].Information Systems,2016,60(C):13-33.

[2] REN Z,DENG Z,SUN Z.Cellular automaton modeling of computer network[J].Computer Physics Communications,2012,144(3):243-251.

[3] TIAN X.A knowledge accumulation approach based on bilayer social wiki network for computer-aided process innovation[J].International Journal of Production Research,2015,53(8):2365-2382.

[4] CHIUEH T C,TU C C,WANG Y C.Peregrine:an all-layer-2 container computer network[J].IEEE,2012,34(6):686-693.

[5] DAKIN V I.Computer simulation of network formation in polymers[J].Journal of Applied Polymer Science,2015,70(13):2569-2574.

[6] ZHANG S.A model for evaluating computer network security systems with 2-tuple linguistic information[J].Computers & Mathematics with Applications,2011,62(4):1916-1922.