ＩＰＳに特化した探索アルゴリズムに関する研究

2012 Fiscal Year Research-status Report

• Project/Area Number: 24500074
• Research Category: Grant-in-Aid for Scientific Research (C)
• Research Institution: Chiba University
• Principal Investigator: 今泉 貴史 千葉大学, 総合メディア基盤センター, 教授 (70242287)
• Project Period (FY): 2012-04-01 – 2015-03-31
• Keywords: アルゴリズム / 侵入遮断システム

Research Abstract

高速な固定文字列の探索アルゴリズムについて研究を行った。
高速な単一の文字列探索アルゴリズムであるShift-Or法を、同時に複数文字列の処理が可能なように拡張した。この拡張では、探索器械に対しては変更は行わず、テーブルの変更のみを行っている。そのため、探索実行時の速度を低下させることなく、複数文字列の処理が可能となった。Shift-Or法では、入力文字列をストリーミング処理しながらパターンの一致を調べるため、これにより、入力文字列を1度走査するだけで、あらかじめ指定されているすべてのパターンが出現しないこと（いずれかのパターンが出現すること）を確認できるようになった。
テーブルの拡張は、それぞれの探索文字列に出現するすべての文字の出現を許すことで行う。探索文字列がabcとxyzであれば、1文字目はaかx、2文字目はbかy、3文字目はcかzを許すようなものとなる。このテーブルを使うことで、abcとxyzのどちらも1度の走査で検知できる。
ただし、テーブルを複数文字列に対応したものに変更する際に、誤りが混入してしまう。先ほどの例では、abzなども許されてしまう。ここで混入する誤り率について、2-gramとハッシュ値を用いた事後チェックを導入することにより、どの程度抑えられるのかを調べた。典型的なIDSでのシグネチャの利用形態と、ランダムな入力を仮定した場合、数％程度の誤り率に抑えられることが数値解析により判明した。
以上より、Shift-Or法を拡張した方式を用いることで、複数文字列のマッチングを高速に行えることが確認できた。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

平成24年度の研究実施計画は、固定文字列の並列探索アルゴリズムについて研究することであった。当初の予定通り、Shift-Or法を改良することにより、速度を落とすことなく複数文字列の探索が可能となった。ただし、単純に複数文字列に対応させたのでは誤り率が大きくなりすぎるため、2-gramやハッシュ値を導入した。余計な処理を加えることなく、実現できると良かったのだが、追加した処理は速度面での性能に大きく寄与するものではないため、おおむね順調に進展しているといえる。

Strategy for Future Research Activity

平成24年度に、固定文字列に対する複数文字列への拡張ができたため、今後は、研究の対象を固定文字列の探索からパターンマッチングに移行する。パターンマッチングの場合、固定文字列の探索に対してShift-Or法で行ったような方法ではうまくいかない。パターンを複数集めても、実際には「選択」により融合された1つのパターンとして扱うことができてしまうため高速化することにはならず、固定文字列の場合と同様な方法で複数のパターンを扱うことは意味がない。並列化の恩恵を受けるためには、パターンを複数扱うのではなく、検査するデータを複数準備することが有効である。しかし、侵入遮断・検知システムでは、パケットが到着するたびに検査を行う必要があり、複数のパケットが到着するまで待つことはできない。そのため、データを複数準備することはできないため、1つのパケットペイロードを複数に分割することで並列化を行う方法が有効であると考える。

Expenditure Plans for the Next FY Research Funding

当初の計画では、最終的にはSnortなどを改変する形でソフトウェアとして実装することを想定していたが、OpenFlowなどの広がりとともに、SDN機器が増えてきたため、安価なSDN機器を購入してそのうえでの実装を試みる。そのためのSDN機器の購入に充てる予定である。