یعقوب پوررحمن - دانشجوی کارشناسی ارشد، دانشگاه فردوسی مشهد
عباس قایمی بافقی - دانشیار گروه مهندسی کامپیوتر، دانشگاه فردوسی مشهد

سیستم های تشخیص نفوذ مبتنی بر امضا از عبارات باقاعده به منظور توصیف حملات سیستم استفاده میکنند. مصرف بهینه حافظه، سرعت تطبیق بالا و انعطاف پذیری در برابر تغییرات پایگاه داده امضاها، مهمترین پارامترهایی هستند که باید در طراحی یک سیستم تشخیص نفوذ مبتنی بر امضا مورد توجه قرار گیرند. تاکنون پژوهش های قابل توجهی برای تحقق این اهداف بر مبنای ماشین های پایه DFA و NFA صورت پذیرفته است. بااینوجود، غالب این پژوهشها به موضوع انعطاف پذیری توجه نداشته اند. باتوجه به ضرورت انعطاف پذیری یک سیستم تشخیص نفوذ هنگام به روزرسانی پایگاه داده امضاها که در شبکه های امروزی به دفعات رخ میدهد، هدف ما در این مقاله، ارایه یک روش تطبیق امضا بر مبنای روش FREME است که در صورت اضافه شدن الگوهای حمله جدید به پایگاه داده امضاها، قابلیت به روزرسانی سریعی داشته باشد. به بیان دقیق تر هدف اصلی ما اضافه کردن قابلیت ساخت افزایشی به ماشین FREME است. ما این کار را به واسطه بهبود الگوریتم UCP Construction برای ترکیب ماشین های PMDFA خاصی به نام TPMDFA در چارچوب روش FREME انجام داده و آن را بر اساس پارامترهای مذکور با پژوهش های اخیر مورد مقایسه قرار دادهایم. نتایج ارزیابی ها روی مجموعه قوانین مورد بررسی Snort24 و Snort31 و Snort34 و Bro و dotstar0.6.conf_300-0 و cp_homenet_externalnet نشان می دهد که روش پیشنهادی ضمن حفظ کارایی زمان پردازش FREME و تاثیر اندک روی مصرف حافظه آن، زمان ساخت افزایشی روش FREME را به طور میانگین 52%بهبود می بخشد.

سیستم تشخیص نفوذ مبتنی بر امضا، ماشین های حالت متناهی، عبارات باقاعده، انعطاف پذیری، عامل همپوشانی، همپوشانی معنایی