|
これまでは検知ルールのうち必要なもののみをセッションごとに選別してからコンパイルしていたTCP向け軽量検知モジュールにおいて、コンパイル済みのマッチ用テーブルをファイルに保存し、高速に検索できる4次元索引を付加することで、セッション開始時のセットアップ時間を大幅に短縮した。実験によれば、すでに保存ずみのファイノレが存在する場合、セットアップ時間を従来の1/80程度に短縮することが可能となり、すべての計算機に内蔵できる、性能低下の少ない侵入検知システムの実現という研究目標のために重要な効率向上が達成できた。
また、セッションごとにTCP通信を監視する検知モジュンールに加え、UDPやICMPを含む任意.のネットワーク通信をパケットごとに検査するカーネルレベルの検知モジュールを試作し、その性能の評価を行った。実験の結果、実用的なパケットサイズにおける速度低下は最大70%程度であることが分かった。この結果、TCPに限定されずすべてのパゲツトを効率的に検査する軽量な侵入検知フレームワークが実用性を大きく増すことになつた。
さらに、研究の過程で開発したメモリ効率の良い有限状態オートマトンの表現法を言語処理系に応用する研究も行った。正規表現を宥限状態オートマトンに変換する字句解析器生成系にこの手法を適用したところ、従来のものよりもメモリ効率と実行速度のトレードオフを改善し、効率の良い処理系が生成できることが明らかになった。
|
