入侵检测系统中的多模式精确匹配算法WDawgMatch

经典的多模式匹配算法如AC、BM,并不满足NIDS对报文负载中攻击特征串检测时做在线乱序流匹配的需求。著名的多模式精确匹配算法DawgMatch弥补了上述算法无法在扫描的同时获得分片摘要信息的缺点,因此在网络入侵检测系统(NIDS)的在线检测中得到普遍应用。尽管基于DAWA自动机使得DawgMatch可通过二元索引来提高空间使用效率,但它的匹配性能尚不能达到高速报文入侵检测线速匹配的要求。本文提出了新算法WDawgMatch,它牺牲预处理时间,引入加权边消除了DawgMatch匹配回溯现象,提升了匹配速度。性能分析和实验结果表明,WDawgMatch降低了原算法的最坏时间复杂度,缩小了与AC算法的差距,完全满足NIDS线速匹配的要求。