网络安全:一种入侵检测模式算法新技术

最近，金星公司在IDS/IPS产品中成功开发并实现了一种高效的自适应模式匹配VAPM方法。该方法根据网络攻击的指纹(模式)特征和协议变量的特征，自动选择一种能使其性能的模式匹配算法，从而达到IDS/IPS的性能。
IDS/IPS作为网络安全防护的重要手段，通常部署在关键网络内部或网络边界入口处。它实时捕获网络内外的报文数据流，进行综合分析，发现可能的入侵行为，并做出实时响应(报警或阻断)。模式匹配算法作为一种快速搜索攻击特征的方法，是实现基于攻击特征的误用检测的核心技术，其运行效率直接影响整个产品(系统)的检测性能。
主流IDS/IPS产品基于攻击特征的误用检测方法包括以下两类模式匹配算法:
1)基于有限状态自动机的字符串匹配方法。比如ACBM算法，它结合了AC算法中有限状态机的字符串匹配思想和BM算法中文本比较窗口快速跳转的思想。直接影响ACBM算法效率的因素有两个，即基于BM算法的比较窗速度和有限状态机树的存储空。当模式数增加时，理论上ACBM算法的速度应该缓慢下降。但由于ACBM算法需要大量内存来存储有限状态机树，无法充分利用CPU缓存技术，导致实际运行时效率较差。
2)直接快速扫描文本，通过文本子串特征筛选出可能的模式集(或排除不可能的模式)，然后精确匹配可能的模式。比如WM算法，通过快速哈希表和宽字符BM跳转思想实现快速多模式匹配。直接影响WM算法效率的因素有两个，即哈希表的检索性能和BM跳转思想中宽字符大小的选择，其中哈希表的检索性能直接受哈希表的平衡性和子链的搜索速度的影响。共有前缀的模式越多，哈希表的平衡性越差，子链的搜索速度越慢。BM跳转时选择的宽字符越大，比较窗口推进越快，但所需内存空会呈指数级增长，导致算法运行效率差。
通过对各种主流模式匹配算法的深入研究，发现各种模式匹配算法的搜索性能非常依赖于模式集的特征，并不存在所有模式集中的模式匹配算法。因此，如果能够根据模式的特征自适应地选择模式匹配算法，那么IDS/IPS产品中的检测引擎的性能将会得到显著提高。
目前主流IDS/IPS产品中模式匹配算法的选择存在两个问题:
1)匹配算法的选择没有考虑网络攻击的特点；
2)匹配算法类型比较单一，没有达到安全产品的整体性能。
VAPM方法基于对模式匹配算法和网络攻击特征的大量分析、深入研究和全面测试，利用多种模式匹配算法的特点和优势，系统自动选择合适的模式匹配算法，保证了系统的稳定性，使选择的模式匹配算法高效。该方法可广泛应用于IDS/IPS等所有需要快速搜索模式(关键词)的网络安全产品中。
VAPM方法包括两个工作阶段，即自适应阶段和模式匹配阶段。其中，在自适应阶段，对模式的特征进行统计分析，根据分析结果选择模式匹配算法；在模式匹配阶段，统一调用接口为外部调用模块提供快速模式匹配服务。
VAPM有以下两个优点:
1)VAPM充分利用了几种模式匹配算法的性能优势，根据攻击和协议变量的特点灵活选择合适的模式匹配算法，并在匹配速度和存储空方面实现。
2)在VAPM中，模式特征分析、算法选择和模式匹配算法的数据库具有高度的灵活性和可扩展性。
目前VAPM方法已经申请了国家专利，并成功应用于启明星辰IDS/IPS产品中。测试结果表明，使用VAPM方法，现有IDS/IPS引擎的内存占用减少了19.7%，搜索速度提高了23.3%。这样，具有VAPM功能的IDS/IPS系统可以更好地满足用户的安全和性能需求。近日，在CCID组织的“2006年中国市场主流IDS产品测试”中，摩天NS2200的性能指标达到了64字节包2G线速的水平，取得了中国市场的最高地位。