최근 폭발적인 인터넷 사용의 증가와 맞물려 발생하는 보안 문제들에 대용하기 위한 시스템으로 Signature-Based 방식의 IDS가 각광받고 있다. 변형이 많고 고정 문자열로 표현될 수 없는 공격들을 탐지하기 위해 IDS에서는 Perl 호환 정규 표현식(PCRE) 엔진을 지원하고 있으나 속도가 느려 표본 문자열(Sample String) 등의 편법을 사용하고 있는 현실이다. 본 논문에서는 시그니쳐 기반 IDS의 PCRE 탐지 성능을 높이기 위한 방법으로 중복되는 PCRE를 가진 시그니쳐 규칙들의 병합과 PCRE를 가진 규칙의 Just-in-Time (JIT) 컴파일을 제안하고, 실험을 통하여 제안된 방법의 효율성을 검증하였다.
Recently Signature-Based IDS is being spotlighted as a solution for security problems of arising explosive Internet use. For detecting the variant attacks which cannot be expressed as a static string like buffer overflow attack, IDS supports Perl Compatible Regular Expression (PCRE) engine. However. because of the relatively low speed of the PCRE engine, IDS uses sample string method as an expedient in reality. In this paper, we suggest PCRE rule merging and application of the PCRE JIT compilation to Signature-Based IDS, and verified the efficiency of proposed methods by simulation.
