AC算法BM算法

第36卷 第6期 2014-06(上) 【15】一种改进的单模式匹配算法Improved single pattern matching algorithm张玉新，李成海，白瑞阳ZHANG Yu-xin, LI Cheng-hai, BAI Rui-yang（空军工程大学 防空反导学院，西安 710051）摘 要：模式匹配算法在病毒特征码检测、入侵检测、生物信息等诸多领域有着广泛的应用，如何提高匹配的效率是制约模式匹配算法的决定因素，本文通过分析传统的模式匹配算法提出一种改进的单模式匹配算法，通过对比分析和验证，该算法提高了匹配效率。

关键词：模式匹配；BM算法；BMH算法中图分类号：TP393.08 文献标识码：A 文章编号：1009-0134(2014)06(上)-0015-03Doi：10.3969/j.issn.1009-0134.2014.06(上).04收稿日期：2014-03-08基金项目：国家自然科学（61272486）作者简介：张玉新（1990 -），男，甘肃民乐人，硕士研究生，研究方向为网络信息安全。

0 引言网络已成为人们生活、学习、生产等诸多领域不可缺少的一部分，但是由于诸多的因素造成了网络安全问题的频发，在网络高速化的时代，如何从大量数据中提取特定的信息，显得十分重要。

模式匹配就是给定字符串T 和S ，其中字符串T 称为正文，字符串S 称为模式，要求在正文T 中找到模式S 是否出现。

模式匹配可以分为单模式匹配和多模式匹配，其中单模匹配有著名的BF 算法、BM 算法、BMH 算法、KMP 算法，文献[1]提出的快速单模式匹配算法(FSBM)充分利用已匹配的后缀和字符串后一位字符的信息,已达到在每一次跳跃中跳跃尽量大的距离，文献[2]利用模式字符串中存在重复字符串来获得最大的移动距离。

多模匹配有AC 算法，AC-BM 算法，文献[3,4]也提出了相关的一些改进。

其中Snort2.9中应用的就是单模匹配和多模匹配算法。

AC经典多模式匹配算法多模式匹配AC算法（Aho and Corasick），BM、Wu-Manber算法，WM 由BM派生，不过AC与它们无染，是另外一种匹配思路。

1.Step1:将由patterns组成的集合（要同时匹配多个patterns嘛）构成一个有限状态自动机。

Step2:将要匹配的text作为自动机输入，输出含有哪些patterns及patterns在全文中位置。

自动机的执行动作由三个部分组成：（1）一个goto function（2）一个failure function（3）一个output function我们先通过一个具体实例来了解一下这三个部分，及该自动机的运作方式。

先有个大概印象，后面会具体讲解。

patterns集合{he,she,his,hers}，我们要在”ushers”中查找并匹配。

(1)goto functioni123456789f(i)000120303（发现没？貌似i和f(i)有相同前缀哦^_^）(2)failure functioni output(i)2{he}5{she,he}7{his}9{hers}(3)output function首先我们从状态0开始，接收匹配字符串的第一个字符u，在goto（简称goto function）中可以看到回到状态0，接着第二个字符s，发现转到状态3，在output中查找一下output(3)为空字符串，说明没有匹配到patterns。

继续匹配h，转到状态4，查找output发现仍然没有匹配，继续字符e，状态转到了5，查找output，发现output(5)匹配了两个字符串she和he，并输出在整个字符串中的位置。

然后接着匹配r，但发现g(5,r)=fail，这时候我们需要查找failure，发现f(5)=2，所以就转到状态2，并接着匹配r，状态转移到了8，接着匹配s，状态转移到了9，查看output，并输出output(9):hers，记录下匹配位置。

模式匹配算法在入侵检测中的应用作者：冉占军姚全珠王晓峰邹又姣来源：《现代电子技术》2009年第02期摘要：仅依靠传统的被动防御技术已经不能满足如今的网络安全需要，基于模式匹配的入侵检测系统正成为研究和应用的热点，模式匹配效率的高低决定了这类入侵检测系统的性能。

全面综述了应用于入侵检测系统的经典的模式匹配算法，包括单模式匹配算法中的KMP 算法、BM算法、RK算法和多模式匹配算法中的AC算法、AC－BM算法，并对各种算法的执行效率进行了总结。

通过分析算法的思想，提出了未来此类算法的研究方向。

关键词：入侵检测；KMP算法；BM算法；RK算法；AC算法；AC－BM算法中图分类号：TP301文献标识码：B文章编号：1004 373X(2009)02 063 05Application of Pattern Matching Algorithm in Intrusion Detection TechniqueRAN Zhanjun1,YAO Quanzhu2,WANG Xiaofeng1,ZOU Youjiao1(1.Xi′an University of Technology,Xi′an,710054,China;2.College of Computer Science and Engineering,Xi′an Unversity of Technology,Xi′an,710048,China)Abstract：Relying solely on traditional passive defense technology has been unable to meet today′s network security needs,IDS based on pattern－matching is becoming a hotspot of research and application,the efficiency of pattern matching determines the performance of this kind of IDS.A survey of the intrusion detection system classic pattern matching algorithm is given in thispaper,including single pattern matching algorithm:KMP algorithm,BM algorithm,RK algorithm and multi－pattern matching algorithm －AC algorithm,AC－BM algorithm.Meanwhile,the efficiency of various algorithms is summarized.Through analysis of algorithms,future research directions of this kind of algorithm are advanced.Keywords：intrusion detection;KMP algorithm;BM algorithm;RK algorithm;AC algorithm;AC －BM algorithm0 引言随着网络技术的发展，各种基于网络的应用层出不穷。

AC算法BM算法AC算法（Aho-Corasick Algorithm）AC算法是一种字符串算法，通常用于在一段文本中查询多个模式串的出现情况。

它是由Alfred V. Aho和Margaret J. Corasick于1975年提出的，并以他们的名字命名。

AC算法的原理是构建一个有限状态机（FSM），该状态机能够同时处理多个模式串的匹配。

该算法具有高效的时间和空间复杂度，并且能够在一次扫描内找到所有模式串的匹配位置。

下面将介绍AC算法的详细步骤：1. 构建Trie树（前缀树）：根据给定的模式串集合，构建一个Trie树。

Trie树是一种特殊的字典树，它能够实现快速的字符串匹配。

Trie树的根节点为一个空节点，每个节点都有多个子节点，每个子节点都代表一个字符。

从根节点到叶子节点的路径上的所有字符组成一个模式串。

2. 构建失败指针（Fail Pointer）：在Trie树中，每个节点的失败指针指向它的最长后缀节点，该后缀节点也是Trie树的节点。

如果一个节点的当前字符在其最长后缀节点的子节点中不存在，则将失败指针指向最长后缀节点的失败指针指向的节点。

如果没有最长后缀节点，则将失败指针指向根节点。

3. 在文本中匹配模式串：从文本的第一个字符开始，按照Trie树的路径进行匹配。

如果在一些节点匹配失败，则通过失败指针转移到下一个节点进行匹配，直到匹配成功或到达文本的末尾。

当匹配成功时，可以通过沿着失败指针回溯，找到其他可能的匹配位置。

4.输出匹配结果：对于每个文本字符，记录匹配的模式串。

使用一个结果链表，其中每个节点包括一个指向匹配的模式串的指针和该模式串在文本中的位置。

AC算法的时间复杂度为O(n+m)，其中n是文本的长度，m是模式串的总长度。

空间复杂度为O(m)，即模式串的长度。

BM算法（Boyer-Moore Algorithm）BM算法是一种字符串和匹配算法，通过对模式串的后缀进行预处理，实现在文本中的快速。

基于AC_QS多模式匹配算法的优化研究作者：董志鑫方滨兴来源：《智能计算机与应用》2017年第05期摘要：随着互联网的日益强大，互联网上数据急剧增多，如何在海量的数据中快速准确地找到所需信息，就显得尤为重要，这就需要多模式串匹配算法。

多模式串匹配算法在越来越多的领域里都有应用，比如：信息安全领域中，入侵检测系统、防火墙等，在医学领域、数据挖掘、信息检索等等领域中均有广泛的应用。

AC算法在多模式串匹配算法中是一个能达到线性时间的算法，其算法效率较高，AC_QS算法是在AC算法基础上增加坏字符规则，进一步增加了AC算法的匹配效率，但其空间复杂度较高。

本文在AC_QS算法的基础上，对算法预处理和匹配过程中继续优化，并对字典树存储时进行了优化，使算法在空间和时间复杂度上得到进一步优化，提高了算法性能。

实验结果也验证了该算法的高效性。

关键词：多模式；模式匹配； AC算法； QS算法中图分类号： TP301文献标志码： A文章编号： 2095-2163（2017）05-0100-04Abstract： With the Internet becoming more and more powerful and the data increasing dramatically on the internet， it is very important to find the needed information quickly and accurately in the mass of data， so it is determined to require multipatterns string matching algorithm. Multi-patterns string matching algorithm has been used in more and more fields such as information security， intrusion detection system and firewall， data mining and medicine， and also has a wide range of applications in the field of information retrieval and so on. AC algorithm in multipatterns string matching algorithm is a linear time algorithm， which can achieve high efficiency. AC_QS algorithm is to increase the bad character in the AC algorithm and then improve the matching efficiency of AC algorithm， but its space complexity is high. In this paper， based on the AC_QS algorithm， the algorithm will continue to optimize the preprocessing and matching process， and in the dictionary tree storage are optimized. After that， the algorithm in space/time complexity is further optimized， therefore the algorithm performance is improved. The experimental results also verify the efficiency of the algorithm.Keywords： multiple patterns； pattern matching； AC algorithm； QS algorithm0引言模式串匹配算法，适用于从某个序列中，找到具有某种属性的模式段或者位置等信息。

网络入侵检测系统中的模式匹配算法设计优化陈卓民【摘要】为了使网络入侵检测系统能够在高速网络环境中有效工作,就实现了网络入侵检测系统中模式匹配算法的优化设计.首先对网络入侵检测系统和算法进行全面的分析,介绍了网络入侵检测核心技术,也就是入侵检测算法,并且对传统入侵检测算法中的缺点进行了分析,提出了基于特征匹配的模式匹配算法优化,从而有效提高模式匹配算法效率,从而进一步提高系统的检测能力.通过结果表示,优化之后的模式匹配算法能够有效提高网络入侵检测系统检测的性能.【期刊名称】《电子设计工程》【年(卷),期】2018(026)015【总页数】5页(P154-157,162)【关键词】网络入侵检测;模式匹配算法;算法设计;优化【作者】陈卓民【作者单位】陕西警官职业学院教务处陕西西安710021【正文语种】中文【中图分类】TN99在现代互联网不断发展的过程中，网络规模在不断的扩大，网络应用也越来越朝着全球化的方向发展。

在此背景下，网络入侵攻击事件的发生机率也在不断的增加。

传统防火墙技术已经无法有效保证网络安全，网络入侵检测系统属于积极主动安全防护技术，其目前已经成为网络安全领域中的研究热点内容[1]。

网络入侵检测系统一般使用被动监听方式实现，通过关键网段实现网络传输数据包的获取，并且通过多种检测分析方式对数据包进行分析，从而寻找入侵的证据。

网络入侵检测系统能够基于不对网络性能造成影响然后实现网络检测，从而寻找网络攻击事件[2]。

现代网络入侵检测系统检测分析的方法主要包括两种，分别为异常检测和基于特征检测。

因为异常检测需要学习时间，并且具有较高的检测误报率，无法满足大流量网络实时检测需求。

所以，目前都使用基于模式匹配特征检测。

现代网络流量在不断的提高，并且入侵特征库在逐渐更新，对于基于特征匹配网络入侵实时检测性能提出了一定的挑战[3]。

基于此，文中对网络入侵检测系统模式匹配算法的设计进行全面的分析。

1 网络入侵检测系统和算法1.1 网络入侵检测系统网络入侵检测系统属于标识并且隔离入侵安全的技术，其也是防火墙以外的第二道防线，图1为网络入侵检测系统的结构。