Detail publikace
Pattern Matching in YARA: Improved Aho-Corasick Algorithm
Kolář Dušan, doc. Dr. Ing. (UIFS FIT VUT)
Milkovič Marek, Ing. (UIFS FIT VUT)
Algoritmus Aho-Corasickové, vyhledávání vzorů, regulární výrazy, YARA
YARA je nástroj pro vyhledávání vzorů používaný specialisty na škodlivý software po celém světě. YARA dokáže skenovat soubory, ale i paměť procesů. Dovoluje definovat textové řetězce, hexadecimální řetězce a regulární výrazy. Použití regulárních výrazů je však omezeno kvůli obavám ze zpomalování procesu skenování. V tomto článku analyzujeme pravdou podstatu regulárních výrazů v YARA nástroji a její implementaci.
Odhalili jsme několik příčin, které doopravdy mohou způsobit snížení rychlosti skenování plynoucí z vlastností použitého algoritmu, Aho-Corasickové. Navrhli jsme novou podobu algoritmu a implementovali ji do originální verze nástroje.
Experimenty představené v tomto článku potvrdili, že rychlost skenování s regulárními výrazy může být vskutku zlepšena.
@ARTICLE{FITPUB12412, author = "Dominika Reg\'{e}ciov\'{a} and Du\v{s}an Kol\'{a}\v{r} and Marek Milkovi\v{c}", title = "Pattern Matching in YARA: Improved Aho-Corasick Algorithm", pages = "62857--62866", journal = "IEEE Access", volume = 9, number = 1, year = 2021, ISSN = "2169-3536", doi = "10.1109/ACCESS.2021.3074801", language = "english", url = "https://www.fit.vut.cz/research/publication/12412" }