基于特征值的多模式匹配算法及硬件实现的制作方法

专利名称：基于特征值的多模式匹配算法及硬件实现的制作方法
技术领域：
这是一项关于计算机网络安全的发明，可推广到电子资料检索等领域，应用广泛。基于特征值的多模式匹配算法主要用在高速网络入侵检测系统中，完成误用入侵检测系统中的模式匹配过程。通过实验验证，本算法可以满足高速网络误用入侵检测的要求。
背景技术：
入侵检测是对网络或系统进行监视，发现各种攻击的企图、行为或攻击结果，采取相应的响应措施以保护系统资源的机密性、完整性和可用性。入侵检测是一种主动的网络安全防御措施，它不仅可以通过网络监控发现对内部攻击、外部攻击和误操作的实时保护，有效的弥补防火墙的不足，而且还能结合其它网络安全产品，对网络进行全方位的保护，具有主动性和实时性的特点，是防火墙重要的和有益的补充[1]。根据入侵检测系统对数据分析方法的不同，可将其分为两大类异常入侵检测和误用入侵检测。前者是从系统的正常行为特征出发，构建一个系统正常轮廓，然后识别那些造成系统行为异常的入侵活动。后者是从入侵行为的特征出发，建立相关的模式特征库，然后将收集的数据与特征库中的特征规则相比较来判断是否发生入侵行为[2]。
误用入侵检测是当前的主流，根据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％属于基于模式匹配的特征检测产品[3]。误用入侵检测的核心是模式库的组织和模式匹配算法。随着网络速度的迅速提高，模式库的日益增大，误用入侵检测暴露出其致命缺陷检测速率太低。在一个满负荷的100M以太网上，将不得不丢掉30％-75％的网络数据包[4]。这将漏掉对许多可疑数据包的检测，严重影响了系统检测的准确性。在入侵检测系统中，字符串匹配消耗了大量的系统资源(主要是CPU资源)，严重制约着系统检测速率的提高[5]。采用现行匹配算法的入侵检测系统很难在高速网中有效地检测，即使能完成检测也要付出很高的成本代价。
当前常用的匹配算法主要有KMP算法、BM算法、AC算法等。这些算法都有一个共同特点一次性准确匹配，即只需要一次匹配便可判断网络数据包中是否包含模式字符串，但这一过程消耗了大量的系统资源。它们的共同思想是在网络数据包中对模式字符串直接进行匹配，若不匹配则根据某种启发式策略跳过一定量字符后接着匹配。随着检测效率的提高，其算法复杂度也急剧上升，根本无法由硬件来实现。

发明内容
1基于特征值匹配算法的思想在实际网络中，入侵数据包只占网络总流量的极少一部分。系统资源的消耗主要不是在对入侵包的检测，而是在对正常数据包的穷举匹配。针对这一实际情况，本文提出并用硬件实现了基于特征值的匹配算法。
为了表述的方便，先做以下假设设P为模式字符串，长度为m，P中的字符依次记为P1、P2、……、Pm。T为从网络中获取的数据包中的字符串，称为网络字符串，也就是需要进行匹配的文本，长度为n，T中的字符依次记为T1、T2……Tn。网络字符子串{T2、T3、T4…Tm+1}是由子串分组{T1、T2、T3…Tm}在网络字符串中往右平移一个字符而来。不含入侵特征字符串的数据包称为正常数据包，否则称为入侵数据包。
定义1特征值一个字符串经过某种简单运算(易于硬件实现)而得到的一个值，这个值称为该字符串的特征值，用E表示。字符串和特征值是一种多对一的关系，即一个字符串有且仅有一个特征值，而多个字符串以极小概率对应于同一特征值。
基于特征值匹配算法的基本思想是将网络字符串的特征值与等长模式字符串的特征值相比较，若不等则两个字符串肯定不匹配；若相等则两个字符串以极大概率匹配，需要进行第二次匹配确认。简单地说就是采取两次匹配的方法，首先过滤掉大量肯定不匹配的正常网络字符串，接着对可疑网络字符串进行第二次准确匹配。第一次匹配算法要求简单，能由硬件直接实现以减轻CPU的负担，而且要能过滤掉绝大多数正常数据包。首次匹配是关键所在，这里主要详细探讨基于特征值的第一次匹配算法。
设模式字符串P＝{P1、P2、P3……Pm}，长度为m，特征值为E。网络字符串T＝{T1、T2、……Tn}，长度为n。首先求出网络字符串中长为m的子串{T1、T2、…Tm}的特征值，然后与模式字符串特征值E相比较，若相等则进行第二次匹配确认；若不相等，则该网络字符子串肯定和模式字符串不匹配。该网络字符子串往右平移一个字符变成{T2、T3、…Tm+1}，再与模式字符串进行匹配。平移后的网络字符子串特征值可以由平移前的特征值经过简单运算得到，这一过程完全由硬件电路实现。
为了提高系统的并行度，可以采用分组匹配的方法。在网络字符串中匹配长为m的模式字符串时，先把网络字符串分解成 个子串，每个子串的长度为m，然后用硬件同时计算各子串的特征值，把计算得到的特征值与模式字符串的特征值相比较，若相等则进行第二次匹配；否则同时平移一个字符继续匹配，总共只需平移m次便可完成整个匹配计算过程。
2特征值的计算方法网络字符子串特征值的计算方法与模式字符串特征值的计算方法完全一致。其计算方法有多种，但它们应符合以下几点要求1、计算简单，能由硬件电路直接实现，无需CPU干预。
2、能过滤掉大量的正常数据包，也就是说，和同一特征值对应的字符串应较少。
3、平移后的特征值可以由平移前的特征值经过简单运算得出，以减少特征值的计算次数。
定义2位向量在一个字符串中，取每个字符ASCII码相同位上的比特按字符顺序构成的二进制串称为位向量。任何一个长为m的字符串有且仅有8个长为m的位向量。例如字符串“GOOD”中各个字符的ASCII码为{01000111、01001111、01001111、01000100}，取每个字符的最低位构成的位向量为{1110}。该字符串共有8个长为4的位向量，分别是{0000、1111、0000、0000、0110、1111、1110、1110}。根据位向量求出的特征值称为位特征值，用e1标志。8个位特征值组成该字符串的特征值E，E＝[e7、e6、e5、e4、e3、e2、e1、e0]。
定义3过滤率第一次匹配过滤的正常数据量与网络总流量的比值称为过滤率，一般要求第一次匹配的过滤率越高越好。当网络中没有入侵包时，BM等准确匹配算法的过滤率是100％。
2.1异或求值法字符串中各个字符通过异或运算即可得到该字符串的异或特征值。不失一般性地设字符串为{S1、S2、……Sm}，则该字符串的特征值E＝{S1S2S3……Sm}，共8个比特。如模式字符串“CMD”的特征值E＝{CMD}＝{0101 1001}。
按所有代码出现的概率相同计算，则位向量中“1”的个数为奇数和偶数的概率是相同的，即一个位特征值的过滤率50％。各个位特征值之间相互独立，8个位特征值的过滤率为1-(1/2)8＝99.61％。也就是说需要第二次匹配的可疑数据包是总流量的0.39％。实验结果表明其平均过滤率为99.69％。
在匹配过程中，若网络字符子串特的征值与模式字符串的特征值不相等时，网络字符子串需要平移。平移前的网络字符子串特征值与移入和移出的字符异或便可得出平移后的特征值。例如，在字符串“POWER”中匹配模式字符串“PING”时，首先求出子串“POWE”的特征值E1＝[POWE]＝
。它与“PING”的特征值
不匹配，子串往右平移一个字符，变成“OWER”。该子串的特征值由[E1PR]得出，不需要再进行3次异或运算。当匹配长为m模式字符串时，第一次求长为m的网络字符子串特征值需要进行(m-1)次异或运算，以后平移时只需2次异或运算。
硬件实现是采用简单的异或电路，如

图1所示。E中保存着长为m的网络字符子串的特征值，其初始值为0。Dm～D0为移位寄存器，网络字符串依次从Dm输入，经过异或电路便可在寄存器E中得到长为m的网络字符子串特征值。
2.2模3求值法设一位向量为{bm、bm-1、……、b1}，取一适当的正整数r把它变成表达式bmrm-1+bm-2rm-3+……+b1(1)再选取一个恰当的正整数M(通常为大于或等于max(bi)(1≤i≤m)的最小素数)，在模M的剩余类环Zm中，令
e就是该位向量的位特征值.
为了提高过滤率，应使底数r在Zm单位群的阶尽量大。若M为素数，则应使r在Zm*中的阶为(M-1)，即r为循环群Zm*的生成元[6]。对于二进制的位向量，一般选M＝3，r＝2；当选M＝2，r＝2时就是异或求值算法。
当e为串的校验码时，1位错肯定能查出，能查出2位错的概率为

能查出3位或3位以上错的概率为

根据上面校验码定理，在二进制的位向量中，令M＝3，r＝2，模式字符串的长度为m则当m＝1时，位特征值相同而位向量不同的概率为0，其过滤率为100％。
当m＝2时，位特征值相同而位向量不同的概率为

等于1/2，退化为异或运算的过滤能力。
当m≥3时，位特征值相同而位向量不同的概率为

等于1/3。按每个串出现的概率相同计算，一个位特征值能过滤掉2/3的正常数据包。各个位特征值之间相互独立，由8个位特征值组成的字符串特征值的过滤率为1-(1/3)8＝99.985％。需要第二次匹配的可疑数据量仅占总流量的0.015％。
2i(i＞＝0)在模3剩余类环中的值分别是1、2、1、2……，所以在求位特征值e1时，只要把位向量中的各位乘以其对应的权再按模3相加即可。如位向量[111]的位特征值为(1*1+1*2+1*1)mod(3)＝01。当位的权为2时，把该位左移一位，当权为1时不需移位。
为了便于硬件直接实现，首先在每个字符ASCII码的各比特位前加0，把每个字符扩展为16个比特；然后第奇数个字符不动，第偶数个字符左移一位，完成加权处理；接着两个比特一组，按模3相加。
例如，求“CMD”的模3特征值的具体过程如下“CMD”中个字符的ASCII码分别为{0100 0011、0101 0111、0100 1101}，扩展成16位后为

加权移位后(“M”左移一位，“C、D”不变)，2个比特一组，按模3相加得

即字符串“CMD”的特征值为
。
当网络字符子串特征值与模式字符串特征值不相等时，网络字符子串需要平移，进行下一个子串的匹配。平移前的网络字符子串特征值与移入字符的加权扩展值按模3相加，再按模3减去移出字符的加权扩展值便可得到平移后的特征值。按模3减去一个字符的加权扩展值等于按模3加上该字符的加权扩展值的反码。在匹配长为m的模式字符串中，开始求网络字符子串特征值需要(m-1)次模3加法运算，以后只需2次模3加法运算。
当特征值不匹配时，平移奇数次后的网络字符子串特征值是按公式e,i=Σj=1mbjrj---(3)]]>计算得出，需要转换成公式(2)计算的特征值。在模3计算中(Σj=1mbjrj+Σj=1mbjrj-1)=Σj=1mbjrj-1(1+r)=0,]]>所以取平移奇数次后特征值的模3补码便可完成转换。模3补码可以通过交换位特征值中2个比特的位置来实现，
的模3补码是[10]，[10]的模3补码是
，
的模3补码是
。
模3求值硬件电路实现如图2所示。网络字符串经过扩展加权电路后，依次输入移位寄存器Dm～D0中，再经过模3加法电路得到长为m的网络子串特征值，存入寄存器E内。平移偶数次的模3特征值直接经过选择电路输出，平移奇数次的模3特征值先经过模3补码电路求补，再由选择电路输出。
例如，模式字符串“CMD”的特征值E＝
，要匹配的网络字符串是“HELL”。为了使网络字符串和模式字符串加权的顺序一致，将网络字符串从右至左加权、分组，各字母的权分别是
H[E LL]权2121先计算“ELL”的特征值E1＝
，发现和模式特征值E不匹配。网络字符子串左移一位，计算“HEL”的特征值E2。E2＝(E1+“2H”+“~L”)mod(3)＝
，取E2的模3补码为
；然后与模式特征值E再次进行比较，发现不匹配便知在字符串“HELL”中不包含模式串“CMD”，匹配结束。
模数M也可取其他素数，当M＝5时字符串中各字符的加权值变为1、2、4、3、1、2、4、3、……。相应算法的过滤率为1-(1/5)8＝99.99974％，需要进行第二次匹配的数据量仅占总流量的0.00026％。随着M的增大，其过滤率相应也提高，但硬件电路实现也会更困难，成本也会增加。
3基于特征值的多模式匹配算法Aho及Corasick于1975年提出一种基于有限状态自动机的多模式匹配算法(AC算法)，该算法允许同时并行搜索多个字符串。搜索的时间为0(n)，建立自动机的时间与模式字符串的长度成线性关系。现在常用的算法是AC算法和BM算法相结合而形成的AC_BM算法，它是将不同的规则放置在一棵模式树上，然后对这棵模式树采用BM算法进行检索[7]。
基于特征值的多模式匹配算法的思想是将模式库中的规则按其长度分组，在组内再按特征值排序并建立索引，组内特征值相同的规则通过链表的形式链接在同一特征值索引上。通过第一次匹配，找到可疑字符串对应的特征值索引，接着进行第二次准确匹配，将可疑字符串与规则进行比较。
3.1模式库的组织整个模式库构成一个树形结构，模式字符串的长度用L表示(假定Max(L)＝m)。初始化时间与模式库的大小成线性关系。整个模式库的组织如图3所示。特征值的匹配由第一次匹配电路完成，下面的规则匹配由第二次匹配来实现。
3.2多模式特征值计算的硬件实现多模式特征值计算电路主要是计算不同长度网络字符子串的特征值。整个计算过程完全由硬件自主完成，无需CPU干预。
3.2.1异或硬件计算电路为了加快计算速度，采用移位寄存器组和异或电路组同时求出不同长度的网络字符子串特征值。其电路实现如图4所示(为了表达的简便，设规则库中模式字符串的最大长度为7)。
设输入的网络字符串T＝{“abcdefghijklmn”}，依次输入移位寄存器R7～R0，所有寄存器中的初始值都为0。
第一个节拍时，字符‘a’移入D7，经过异或电路后存入R7内。
第二个节拍时，字符‘b’移入D7与R7中的‘a’异或后再存入R7内；字符‘a’移入D6，经过异或电路后存入R6内。
第7个节拍时，D7～D1中保存着“gfedcba”；R7中保存着{gfedcba}的值，R6中保存着{fedcba}的值，其余类推。
第8个节拍时，字符‘a’移入D0再返回来与各特征值异或，清除‘a’字符；此时R7中保存着{hgfedcb}的值，R6中保存着{gfedcb}的值。也就是R7中总是保存着长度为7的网络字符子串特征值，R6中总是保存着长度为6的网络字符子串特征值，其余类推。
每移入一个字符便可同时求出各种长度的网络字符子串异或特征值，再将特征值与模式库中相同长度的模式字符串特征值进行匹配；即R7中的网络字符子串特征值与模式库中L＝7的分支匹配，R6的特征值与模式库中L＝6的分支匹配等等。
3.2.2模3硬件计算电路异或电路的运算速度很快，但它的过滤率不是很高，需要第二次匹配的可疑网络字符串仍然较多。为了适应于更高速网络的要求，应该采用过滤率更高的算法，如模3、模5、模7算法等。
模3算法的硬件电路实现如图5所示。(为了简便，设模式串的最大长度为5，所有寄存器初始值为0)。
输入的字符串首先经过加权扩展，每个字符变成16个比特。然后输入移位寄存器，当到达D0时再经过取非电路返回来与各特征值按模3相加，清除该字符。
例如，输入网络字符串T＝{“abcdef}，各字符的ASCII码为{61F、62F、63F、64F、65F、66F}，扩展移位后为{2802F、1404F、280AF、1420F、2822F、1414F}，依次输入D5～D0。
第一个节拍时，2802F移入D5经过模3加电路存入R5内。
第二个节拍时，1404F移入D5与R5中的2802F分组按模3加后等于0006F，再存入R7内；2802F移入D4，经过模3加电路后存入R4内。
第5个节拍时，D1～D5中保存着{2802F、1404F、280AF、1420F、2822F、1414F}； R5中保存着字符串{abcde}的模3特征值，R6中保存着{abcd}的模3特征值，其余类推。
第8个节拍时，字符’a’的加权扩展值移入D0后取非，再返回来与各特征值按模3加，清除’a’字符；此时R5中保存着{bcdef}按公式(3)计算的模3特征值，经过求补电路得到按公式(2)计算的模3特征值。R4中保存着{bcde}按公式(3)计算的模3特征值，经过求补电路输出按公式(2)计算的模3特征值。其余类推。
以后每过一个节拍便可同时得出各种长度网络字符串的模3特征值，再与模式库中相同长度的模式字符串特征值相匹配。
3.3匹配过程的处理为了提高匹配速度，减少在模式库中搜索特征值的耗时，采用直接地址映射的方法来完成对模式特征值的查找过程。在模式库初始化时，给每一种长度的规则树支分配256字节(或字)的存储空间，并把第一个单元的地址保存在对应的基址寄存器中，表示这一长度模式字符串特征值在内存中的起始地址。每个存储单元中保存着一个指针，该指针指向模式特征值等于其偏移地址的规则。如果没有模式特征值和其偏移地址相等，则指针为空；若有多个规则的特征值和其偏移地址相等，则其它规则依次链接在第一个规则后面，形成一个链表结构。当特征值计算电路得出某一长度的网络字符子串特征值后，直接找到偏移地址为其特征值的存储单元。若该存储单元指针为空，则表明该字符子串在模式库中不匹配；否则和指针指向的规则进行第二次匹配。在Snort规则库中抽出100个规则形成模式库结构，指针非空的存储单元占总存储空间的2.07％，对应于同一存储单元的规则占0.19％，随着模式库的增大，指针非空的存储单元也会增多。
整个匹配电路如图6所示。输入的网络字符串经过多模式特征值计算电路后，得到各种长度子串的特征值。以子串的特征值作为偏移地址，加上与该子串等长的模式串基地址形成一个实际物理地址。若该物理地址存储单元中的指针为空，表明该网络字符子串在模式库中不匹配；若存储单元指针非空，则将网络字符子串与指针指向的规则进行第二次匹配确认。可以看出，从网络字符子串特征值的计算至找到对应长度模式特征值的时间非常短，基本可以忽略。
如果采用模5的方法计算字符串特征值，其过滤率可达99.99974％，需要第二次匹配的数据量非常少，仅占网络总流量的0.00026％。但硬件实现比较复杂，数据在硬件上的延时也会有所增加而成为处理的瓶颈，需要多个硬件电路并行处理来解决。
4对比实验为了测试算法的实际性能，在网络中随机捕获150M数据，模式字符串来自Snort入侵检测系统中的规则库，对基于特征值的多模式匹配算法，统计了程序模拟的执行间、异或硬件实现处理时间和模3硬件实现处理时间。从特征值的计算至找到对应长度模式特征值的时间非常短，算法的耗时主要是在第二次匹配上。
具体时间如表1所示表1处理时间(单位秒)

实验条件500M Intel CPU，256M RAM，Win2000。
表中数据表明，BM算法的处理时间随着模式串的增多而线性增长，比其他算法耗时多很多。AC算法在多模式匹配中非常有效，但仍然无法满足高速网入侵检测的要求。异或硬件实现电路基本可以满足100M网络入侵检测的要求；模3硬件实现电路可以满足1000M网络的入侵检测要求；对更高速网络可以采用模5、模7等硬件电路。
通过图例，可以更清楚地看出不同算法的处理时间。由于BM算法耗时太多，在图中就省去了。具体比较如图7所示。
随着模式库中规则的增多，各种算法的处理时间也都会有所增加，但特征值算法对其不是很敏感。模式库的增大对第一次匹配耗时根本没有影响，仅仅第二次匹配的时间稍有增加。
5结语基于特征值匹配算法的实质是采用二次匹配的思想，完全改变了现行匹配算法的思想。把处理速度的瓶颈转移到由硬件来实现的第一次匹配，过滤掉大量正常数据包，接着对小量可疑数据包进行第二次准确匹配。最好第一次和第二次匹配都由硬件来实现，以减轻系统的负担，提高运行的效率。求特征值的方法有多种，如求和计算或循环冗余计算等，但它们应尽量满足先前给出的求特征值条件。
参考文献[1]张然等，入侵检测技术研究综述，小型微型计算机系统，2003，7(24)1113。
戴云，网络售票系统若干安全问题研究(博士后论文)，西南交通大学，2002，07。
喻非等，入侵检测系统中特征匹配的改进，计算机工程与应用，2003，2932。
奚嘉迪，后浪推前浪-新老IDS技术的比较，http//www.ccw.com.cn/htm/produ/topic/。
张邈等，高效串匹配型入侵检测系统，计算机工程，2003.11，29(19)105。
丘维声，一类检错编码方案，北京大学学报(自然科学版)，2001，37(1)1-5[7]Coit C J，Staniford S，McAlerney J.Towards faster pattern matching for intrusion detection or exceeding thespeed of snort[C].InDARPA Infromation Surcicability Conference and Exposition，200具体实施方式
本算法主要是采用两次匹配的方法和硬件实现来减轻系统CPU的负担，使误用入侵检测系统能在高速网络中有效地运行。整个匹配电路可以做成插件形式，插在系统主板的PCI插槽内，也可以集成在网卡或其它电路板上。第一次匹配中特征值的计算过程由移位寄存器组、异或电路组(或模3计算电路组)和寄存器组共同完成。其中移位寄存器组直接接收高速网卡传来的数据包，经过异或电路组(或模3计算电路组)计算出不同长度的网络字符子串的特征值，然后保存在寄存器组中。当一套计算电路无法满足要求时，可以由多套计算电路同时并行处理。规则模式库通过初始化处理后保存在EEPROM中，直接和计算电路相连，以避免模式库的频繁初始化处理和数据传输延迟。当模式库需要更新时再往EEPROM中添加规则。第二次匹配过程可以由CPU承担，也可由硬件比较电路实现。当完成整个匹配过程后发现入侵数据包时，将数据包和其对应的规则代码一起移交给系统进行进一步的分析和报警处理。
为了进一步提高处理速度，该算法可以与协议解析方法配合使用。将不同协议类型的网络数据包分配给不同的模式匹配电路处理，各匹配电路的EEPROM中保存着对应协议类型的匹配规则。这一过程牵涉到负载均衡的问题，但它能有效地提高处理速度，而且便于系统的下一步处理。
权利要求
1.基于特征值的多模式匹配算法及硬件实现，采用两次匹配的方法第一次匹配过滤掉大量正常的数据包，第二次对可疑数据包进行进一步的匹配确认；第一次匹配完全由硬件实现，第二次匹配可以由硬件实现也可由CPU承担。
2.根据权利要求1所述的基于特征值的多模式匹配算法及硬件实现，其特征是多模式特征值计算电路是由移位寄存器组、异或计算电路组或模3、模5等计算电路组和特征值寄存器组构成；各种长度字符串的特征值由多模式计算电路同时计算得出，不需要CPU干预。
3.根据权利要求1所述的基于特征值的多模式匹配算法及硬件实现，其特征是将模式库中的模式字符串按其长度分组，给每一种长度的模式串分配256字节(或字)的存储空间，并把第一个单元的地址保存在对应的基址寄存器中，表示这一长度模式字符串特征值在内存中的起始地址；每个存储单元中保存着一个指针，该指针指向模式特征值等于其偏移地址的模式字符串；如果没有模式字符串特征值和其偏移地址相等，则指针为空；若有多个模式串特征值和其偏移地址相等，则其它模式串依次链接在第一个模式串后面，形成一个链表结构。
4.根据权利要求1所述的基于特征值的多模式匹配算法及硬件实现，其特征是特征值的匹配过程是采用直接地址映射的方法，字符串经过多模式特征值计算电路后得到其特征值，以字符串特征值作为偏移地址，加上与该字符串等长的模式字符串基地址形成一个实际物理地址；若该物理地址存储单元中的指针为空，则字符串在模式库中不匹配；否则将字符串与指针指向的模式串进行第二次匹配确认。
全文摘要
本文提出并用硬件实现了基于特征值的多模式匹配算法。字符串特征值是由异或电路或模3、模5等硬件电路直接计算得出(如图1、2、4、5所示)，无需CPU干预。匹配过程是先按模式字符串的长度和模式字符串的特征值把模式库组织成树形结构(如图3所示)，然后采用地址直接映射的方法，来完成对模式特征值的搜索匹配过程(如图6所示)。基于特征值匹配算法的实质是采用两次匹配的思想，第一次匹配过滤掉大量正常的数据包，第二次对可疑数据包进行进一步的匹配确认。第一次匹配完全由硬件实现，第二次匹配可以由硬件实现也可由CPU承担。当由CPU处理时，需要第二次匹配确认的数据量不到网络总流量的0.4％，甚至更低。通过实验验证，本算法可以满足高速网络误用入侵检测的要求。
文档编号H04L9/28GK1691581SQ20041002314
公开日2005年11月2日 申请日期2004年4月26日 优先权日2004年4月26日
发明者彭诗力 申请人:彭诗力