入侵检测系统用增强多哈希的源串还原方法

摘要

本发明公开一种用于检测计算机网络监视与分析的入侵检测系统用增强多哈希的源串还原方法，原始报文经过检测后，分为正常报文和异常报文，正常报文输出，异常报文的IP地址作为输入；异常报文的IP地址信息映射到两个多哈希方法结构中的一个；信息还原部件把结果发送给报警器，过程如下：排序，找到最大的十个数的位置；把每个哈希函数位置和存储器里计数器数字排列成一张表；(3)比较两个哈希函数表格，找不到或差别大，则返回a.b.0.0/16；如果找到，则查找两表格里相同重叠值的位置，找不到返回a.b.c.0/24；否则返回a.b.c.d；重复；把处理过的存储器组复位，结果发送给报警器，等待切换；报警器执行动作。本发明具有节约内存资源、节约计算资源等优点。

主权项

1、一种用于检测计算机网络监视与分析的入侵检测系统用增强多哈希的源串还原方法，其特征在于：1、原始报文经过异常检测器检测后，把原始报文分为正常报文和异常报文，正常报文输出，异常报文的IP地址作为信息还原的输入；2、异常报文的IP地址信息由哈希函数映射器映射到两个多哈希方法结构中的一个，若IP地址是a.b.c.d，a、b、c、d都表示0-255间的数值，则把取IP地址的高16比特的哈希函数称为第一哈希函数，记为Hh(a.b)；取中间16比特的哈希函数称为第二哈希函数，记为Hm(b.c)；取最低的16比特的哈希函数称为第三哈希函数，记为Hl(c.d)，在入侵检测系统里需要使用两组多哈希数组来处理异常IP地址的信息，当一组由多哈希存储器构成的数组用于映射原始元素的时候，另外一个多哈希存储器数组则用于信息还原。在定时器的控制下，两个多哈希存储器每过t分钟交换一次位置，根据需要，t可以在1到10间进行选择；3、信息还原部件把信息还原的结果发送给报警器，还原的过程如下：1)信息还原器对所处理的多哈希存储器数组里的所有哈希函数存储器里的数字分别进行排序，找到最大的十个数的位置；2)对于每个哈希函数，把位置和存储器里相应的计数器数字按照从大到小的数字顺序排列成一张表；3)对于第一哈希函数Hh(a.b)表格里的每一位置，在第二哈希函数Hm(b.c)对应的表格里查找有相同重叠值的位置，并比较对应的计数器，如果找不到对应的位置或者计数器差别在50％以上，则返回结果为a.b.0.0/16；4)如果找到Hh(a.b)与Hm(b.c)对应的位置，则在第三哈希函数Hl(c.d)里查找与第二哈希函数Hm(b.c)对应的表格里具有相同重叠值的位置，如果找不到对应的位置或者对应的计数器差别在50％以上，则返回结果a.b.c.0/24；5)否则返回结果a.b.c.d；6)重复3)到5)，直到第一哈希函数Hh(a.b)表格里的所有项目都被穷尽；7)把其处理过的存储器组复位，返回的所有结果的列表发送给报警器，等待多哈希方法结构切换；4、报警器根据还原的结果来执行相应的报警动作。