Detail publikace
Pattern Matching in YARA: Improved Aho-Corasick Algorithm
Kolář Dušan, doc. Dr. Ing. (UIFS FIT VUT)
Milkovič Marek, Ing. (UIFS FIT VUT)
Algoritmus Aho-Corasickové, vyhledávání vzorů, regulární výrazy, YARA
YARA je nástroj pro vyhledávání vzorů používaný specialisty na škodlivý software po celém světě. YARA dokáže skenovat soubory, ale i paměť procesů. Dovoluje definovat textové řetězce, hexadecimální řetězce a regulární výrazy. Použití regulárních výrazů je však omezeno kvůli obavám ze zpomalování procesu skenování. V tomto článku analyzujeme pravdou podstatu regulárních výrazů v YARA nástroji a její implementaci.
Odhalili jsme několik příčin, které doopravdy mohou způsobit snížení rychlosti skenování plynoucí z vlastností použitého algoritmu, Aho-Corasickové. Navrhli jsme novou podobu algoritmu a implementovali ji do originální verze nástroje.
Experimenty představené v tomto článku potvrdili, že rychlost skenování s regulárními výrazy může být vskutku zlepšena.
@ARTICLE{FITPUB12412,
author = "Dominika Reg\'{e}ciov\'{a} and Du\v{s}an Kol\'{a}\v{r} and Marek Milkovi\v{c}",
title = "Pattern Matching in YARA: Improved Aho-Corasick Algorithm",
pages = "62857--62866",
journal = "IEEE Access",
volume = 9,
number = 1,
year = 2021,
ISSN = "2169-3536",
doi = "10.1109/ACCESS.2021.3074801",
language = "english",
url = "https://www.fit.vut.cz/research/publication/12412"
}