基于改进正则表达式规则分组的内网行为审计方案

Audit scheme for intranet behavior based on improved regular expression rule grouping

下载PDF

导出

摘要针对网络安全审计中对应用层协议审计能力不足的问题,提出一种基于改进正则表达式（RE）规则分组的内网行为审计方案。首先,通过正则表达式对需审计的协议进行描述,并设置相关参数,使内网中出现频率高和审计中相对重要的协议状态在正则表达式描述集中取得高优先级;然后,在正则表达式交互值小的前提下,尽可能地将高优先级协议状态表达式构建到相同自动机分组中以生成审计引擎;最后,根据审计需求,改变相关参数,实现对内网行为的安全审计。实验结果显示,所提出的自动机构建算法在转化时的状态数缩减为经典非确定有限状态自动机（NFA）转化算法Thompson的10%～20%,检测时的吞吐量约为传统自动机分组引擎的8到12倍;所提审计方案能够满足对应用层协议进行安全审计的需求,具有较高的准确性和效率。 In view of the insufficient ability of application layer protocol audit, an intranet behavior audit scheme based on improved Regular Expression （RE） rule grouping was proposed. First, the protocol needed to be audited was described by regular expression, and the relevant parameters were set, so that the states of high frequency protocols and the relative importance protocols of the audit in the intranet had the high priority in the RE set. Then, under the premise of the small interaction value of the regular expression, the high priority protocol state expression was built into the same automaton group to generate the audit engine as much as possible. At last, according to the audit requirements, the relevant parameters were changed to achieve security audit of the intranet behavior. Experimental results showed that, compared with the classic Nondeterministie Finite Automaton （NFA） algorithm named Thompson, the state number of the transformation of the proposed automata construction algorithm was reduced to 10% to 20%, and the throughput became 8 to 12 times as much as the throughput of the traditional automata grouping engine in detection. The proposed audit scheme can satisfy the demand of the application layer protocol in safety audit with high accuracy and efficiency.

作者俞艺涵付钰吴晓平

机构地区海军工程大学信息安全系

出处《计算机应用》 CSCD 北大核心 2016年第8期2241-2245,共5页 journal of Computer Applications

基金国家自然科学基金资助项目(61100042) 湖北省自然科学基金资助项目(2015CFC867) 信息保障技术国防重点实验室基金资助项目(KJ-13-111)~~

关键词正则表达式协议状态安全审计自动机分组需求选择 regular expression protocol state security audit automaton grouping demand choice

分类号 TP309.7 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献11

1付钰,李洪成,吴晓平,王甲生.基于大数据分析的APT攻击检测研究综述[J].通信学报,2015,36(11):1-14. 被引量：79
2CHEN P, DESMET L, HUYGENS C. A study on advanced persis- tent threats [ C]// CMS 2014: Proceedings of the 15th IFIP TC 6/ TC 11 International Conference on Communications and Multimedia Security, LNCS 8735. Berlin: Springer-Verlag, 2014:63-72.
3VIRVILIS N, GRITZALIS D A. The big four -- what we did wrong in advanced persistent threat detection? [ C]//ARES '13: Proceed- ings of the 2013 International Conference on Availability, Reliability and Security. Washington, DC: IEEE Computer Society, 2013: 248 - 254.
4YANG G, TIAN Z, DUAN W. The prevent of advanced persistent threat [ J]. Journal of Chemical and Pharmaceutical Research, 2014, 6(7) : 572 -576.
5XIA Q. Log-based network security audit system research and design [J]. Advanced Materials Research, 2010, 129-131:1426 - 1431.
6LU T, LIU P. Multi-Agent network security audit system based on information entropy [ C]// SWS 2010: Proceedings of the 2010 IEEE 2nd Symposium on Web Society. Piscataway: IEEE, 2010: 367 -371.
7HUANG X, HUENG X, QUAN P. Research on firewall system for colffidential network [ J]. Advanced Materials Research, 2012, 434-440:4279-4283.
8张树壮,罗浩,方滨兴.面向网络安全的正则表达式匹配技术[J].软件学报,2011,22(8):1838-1854. 被引量：28
9YU F, CHEN Z F, DIAO Y L, et al. Fast and memory-efficient regular expression matching for deep packet inspection [ C ]// ANCS '06: Proceedings of the 2006 IEEE/ACM Symposium on Architectures for Networking and Communications Systems. New York: ACM, 2006: 93- 102.
10蔡良伟,程璐,李军,李霞.基于遗传算法的正则表达式规则分组优化[J].深圳大学学报（理工版）,2015,32(3):281-289. 被引量：4

二级参考文献159

1李跃,翟立东,王宏霞,时金桥.一种基于社交网络的移动僵尸网络研究[J].计算机研究与发展,2012,49(S2):1-8. 被引量：10
2李阳,王晓岩,王昆,沙瀛.基于社交网络的安全关系研究[J].计算机研究与发展,2012,49(S2):124-130. 被引量：10
3杨欢,张玉清,胡予濮,刘奇旭.基于权限频繁模式挖掘算法的Android恶意应用检测方法[J].通信学报,2013,34(S1):106-115. 被引量：47
4穆祥昆,王劲松,薛羽丰,黄玮.基于活跃熵的网络异常流量检测方法[J].通信学报,2013,34(S2):51-57. 被引量：20
5金晶,苏勇.一种改进的自适应遗传算法[J].计算机工程与应用,2005,41(18):64-69. 被引量：81
6穆成坡,黄厚宽,田盛丰,林友芳,秦远辉.基于模糊综合评判的入侵检测报警信息处理[J].计算机研究与发展,2005,42(10):1679-1685. 被引量：49
7曹京,谭建龙,刘萍,郭莉.布尔表达式匹配问题研究[J].计算机应用研究,2007,24(9):70-72. 被引量：5
8Application Layer Packet Classifier for Linux [ Z]. http://www. ipp2p. org.
9IPP2P[ Z ]. http: //www. ipp2p. org.
10Snort Network Intrusion Detection System [Z]. http://www.snort.org.

共引文献119

1李磊.移动互联网业务识别方法研究[J].移动通信,2012(S1):128-132. 被引量：3
2张运明,王勇军.基于正则表达式的协议行为审计技术研究[J].现代电子技术,2010,33(19):97-100.
3台祥广,郑康锋,黄玮,李忠献,杨义先.基于网络处理器的流量过滤及均衡系统的设计与实现[J].信息工程大学学报,2010,11(5):590-594.
4李相迎,姚秀娟,孟新.CCSDS-TM传输帧识别技术[J].北京邮电大学学报,2011,34(4):43-46.
5林冬茂.基于“写”操作的Web安全防护系统的研究[J].浙江工业大学学报,2012,40(2):201-204. 被引量：2
6程元斌.正则表达式的动态集合扩展与实现[J].计算机系统应用,2012,21(10):201-203.
7张宏武.基于分布式高校网站站群管理系统的设计与实现[J].科教文汇,2013(25):112-112. 被引量：2
8王功聪,王景中,王宝成.基于数据包内容的网络异常行为分析方法研究[J].信息网络安全,2013(12):58-61. 被引量：7
9康海燕,祈鑫,魏美荣.中小型网站智能安全检测研究[J].信息网络安全,2014(1):61-64. 被引量：1
10曹建业,董永吉,冶晓隆,龚莉萍.基于NetFlow的流量统计系统的设计与实现[J].计算机工程与设计,2014,35(2):381-385. 被引量：7

1赵仲孟,饶芳艳,沈钧毅.状态监测技术的研究[J].计算机科学,2002,29(3):67-68. 被引量：1
2张杨.基于嵌入式Linux系统中网络通信研究与实现[J].辽宁大学学报（自然科学版）,2012,39(1):58-60.
3张大兴.TCP/IP协议异常状态转换及其安全性分析[J].计算机工程与设计,2005,26(6):1441-1443. 被引量：4
4朱立才,杨寿保,宋舜宏.Netfilter/iptables防火墙性能优化方案与实现[J].计算机工程与应用,2006,42(15):117-120. 被引量：8
5韩江洪,潘晓明,魏振春,刘小平,孙安.基于树型有限自动机的DES规则匹配算法研究[J].系统仿真学报,2010,22(8):1842-1845. 被引量：1
6田里.NIDS中正则表达式匹配电路的改进与优化[J].计算机工程,2010,36(3):136-138. 被引量：1
7李慧君,江民斌,熊鹏.基于协议分析的网络攻击分类方法的研究[J].南昌水专学报,2004,23(4):66-70. 被引量：1
8许博,陈鸣,孙瑞锦.FIFS:一种基于流序列的分组流识别方法[J].解放军理工大学学报（自然科学版）,2010,11(6):628-633.
9项巧莲,于艳华,李之棠.一种基于协议分析的入侵检测系统[J].中南民族大学学报（自然科学版）,2005,24(3):60-63.
10凌奥.关于DB2数据库的审计模型研究[J].信息通信,2015,28(6):19-20.

计算机应用

2016年第8期

浏览历史

内容加载中请稍等...

基于改进正则表达式规则分组的内网行为审计方案

参考文献11

二级参考文献159

共引文献119

相关作者

相关机构

相关主题

浏览历史