目前，絕大多數(shù)IDS（入侵檢測(cè)系統(tǒng)）的檢測(cè)機(jī)制還停留在：基本的數(shù)據(jù)包捕獲加以非智能模式匹配與特征搜索技術(shù)來(lái)探測(cè)攻擊。而協(xié)議分析能夠智能地“理解”協(xié)議，利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在，從而避免了模式匹配所做的大量無(wú)用功——導(dǎo)致所需計(jì)算的大量減少。

特征模式匹配技術(shù)的流程

模式匹配技術(shù)按照以下方式進(jìn)行操作：

網(wǎng)絡(luò)上每一個(gè)數(shù)據(jù)包都被檢查，尋找攻擊特征；

與攻擊特征相同長(zhǎng)度的一組字節(jié)從可疑數(shù)據(jù)包首部取出，并對(duì)兩組字節(jié)進(jìn)行比較；

如果兩組字節(jié)一樣，攻擊特征即被檢測(cè)出來(lái)；

如果兩組字節(jié)不一樣，攻擊特征“前移一個(gè)字節(jié)”，重復(fù)比較流程；

第二次檢測(cè)時(shí)，特征與數(shù)據(jù)包中第二位開(kāi)始的字節(jié)進(jìn)行比較；

該流程被重復(fù)，每次的比較起始位置都增加一個(gè)字節(jié)，直到所有的數(shù)據(jù)字節(jié)都與攻擊特征進(jìn)行比較。

特征模式匹配技術(shù)的兩個(gè)缺陷

特征模式匹配技術(shù)有兩個(gè)最根本的缺陷：

計(jì)算的負(fù)載——持續(xù)該運(yùn)算法則所需的計(jì)算量極其巨大，對(duì)于滿負(fù)載的100Mbps以太網(wǎng)，需要的計(jì)算量將是：（攻擊特征字節(jié)數(shù)）×（數(shù)據(jù)包字節(jié)數(shù)）×（每秒的數(shù)據(jù)包數(shù)）×（數(shù)據(jù)庫(kù)的攻擊特征數(shù)）。假設(shè)一個(gè)攻擊特征有20字節(jié)，平均數(shù)據(jù)包大小為300字節(jié)，每秒30000個(gè)數(shù)據(jù)包，數(shù)據(jù)庫(kù)有2000個(gè)攻擊特征，我們每秒就需要有360000000000字節(jié)的計(jì)算量。這樣的計(jì)算速率遠(yuǎn)遠(yuǎn)超過(guò)當(dāng)今技術(shù)允許的范圍。折中的方法就是通過(guò)在發(fā)現(xiàn)一個(gè)字節(jié)不匹配時(shí)就放棄繼續(xù)對(duì)比，認(rèn)為該數(shù)據(jù)包安全，這樣可以構(gòu)造出一個(gè)所謂部分覆蓋的IDS。因?yàn)檫@種系統(tǒng)有性能問(wèn)題困擾，因此容易被黑客利用。

探測(cè)準(zhǔn)確性——第二個(gè)根本的缺陷是模式匹配/特征搜索技術(shù)使用固定的特征模式來(lái)探測(cè)攻擊。使用固定的特征模式就只能探測(cè)出明確的、唯一的攻擊特征，即便是最輕微變換的攻擊串都會(huì)被忽略。

特征模式匹配IDS的根本問(wèn)題

一個(gè)基于模式匹配的IDS系統(tǒng)不能智能地判斷看似不同字符串/命令串的真實(shí)含義和最終效果。在模式匹配系統(tǒng)中，每一個(gè)這樣的變化都要求攻擊特征數(shù)據(jù)庫(kù)增加一個(gè)特征記錄。這種技術(shù)運(yùn)算規(guī)則的內(nèi)在缺陷使得所謂的龐大特征庫(kù)實(shí)際上是徒勞的，最后的結(jié)果往往是付出更高的計(jì)算負(fù)載，而導(dǎo)致更多的丟包率，也就產(chǎn)生遺漏更多攻擊的可能，黑客們往往利用這種缺陷進(jìn)行攻擊。

基于模式匹配技術(shù)的IDS的根本問(wèn)題在于它把數(shù)據(jù)包作為一系列隨機(jī)變換的字節(jié)流，它假設(shè)數(shù)據(jù)包的結(jié)構(gòu)不可知。當(dāng)模式匹配被用來(lái)從大量隨機(jī)變化數(shù)據(jù)，如一個(gè)數(shù)據(jù)影像或一個(gè)音頻流中搜索特征模式時(shí)，可以說(shuō)是一個(gè)正確明智的方法。模式匹配軟件最初就是為分析數(shù)據(jù)影像和音頻信息而開(kāi)發(fā)的。但很明顯，分析數(shù)據(jù)影像和分析網(wǎng)絡(luò)通信協(xié)議是截然不同的。模式匹配軟件可以在入侵檢測(cè)系統(tǒng)中使用，但它絕不是理想的，因?yàn)樗旧砭筒皇潜辉O(shè)計(jì)來(lái)完成這種任務(wù)的。