69、网络入侵检测与容错控制技术解析

网络入侵检测与容错控制技术解析

1. MPM 架构在网络入侵检测与预防系统中的应用

1.1 MPM 架构原理

MPM（Multilevel Pattern Matching，多级模式匹配）架构在网络入侵检测与预防系统中具有重要作用。在其移位级别（shift level），每个周期会将 sh 个字符向左移位，每个字符的宽度为 WoC 。周期时间由 MPM 的频率 FrequencyMPM 决定。从比较窗口的角度来看，宽度为 w 的比较窗口中只能放置 w - sh + 1 个字母，这意味着在 MPM 中可匹配的模式最大长度为 w - sh + 1 个字符。

临时结果级别（Temporary result level）用于临时存储比较级别的结果。寄存器的每个阶段可以保存 sh 个字符的比较结果， dpTL 个阶段则可以保存 dpTL × sh 个字符的结果。基于这两个级别，对于 MPM 中的 Pn ，需要满足以下条件：
[ (1) \max_{TL} (w - sh + dpTL \times sh) \geq l ]
这个公式给出了实现给定模式集的 MPM 的限制条件，即比较字符的最大宽度应不小于模式集的长度，否则某些较长的模式将无法匹配。

1.2 模式集编译器

模式集编译器是一种软件，它可以将给定的模式集转换为适合 MP