Aho-Corasick-Algorithmus

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Der Aho-Corasick-Algorithmus ist ein String-Matching-Algorithmus, der von Alfred V. Aho und Margaret J. Corasick 1975 entwickelt wurde.[1]

Der Algorithmus führt eine Art Wörterbuch-Vergleich durch, bei dem die Eingabe effizient nach vorher festgelegten Signaturen durchsucht wird. Dabei wird kein Zeichen der Eingabe mehr als einmal gelesen. Das Verfahren ist dann besonders effizient, wenn sich die Signaturen überlappen, d. h. in Präfix- und Suffix-Beziehungen stehen (z. B. {„Igel“, „Geld“, „Eldorado“}). Der Aho-Corasick-Algorithmus besteht aus zwei Phasen:

  1. Zunächst erzeugt der Algorithmus auf Basis der gegebenen bzw. gewünschten Wörterbuchmenge eine Trie-Struktur, die auch als endlicher Zustandsautomat interpretiert werden kann. Jedem Zustand wird eine Ausgabemenge zugeordnet, die zunächst leer ist. Für jeden Zustand, bei dem ein Suchwort endet, wird dieses Suchwort seiner Ausgabemenge hinzugefügt.
  2. In der zweiten Phase werden die Knoten oder Zustände des Tries paarweise disjunkt nummeriert und eine Fehlerfunktion berechnet. Die Funktion ist für jeden Knoten definiert und legt fest, in welchem Zustand die Verarbeitung fortgesetzt wird, falls das gerade gelesene Zeichen der Eingabe keinen regulär gültigen Zustandsübergang bewirkt. Dadurch wird es möglich, schnell zwischen bereits erkannten Teilsignaturen zu wechseln und die Erkennung fortzusetzen, ohne den Automaten neu starten zu müssen.
Visualisierung eines mustererkennenden Automaten

Einfach gesagt baut der Algorithmus einen endlichen Zustandsautomaten auf und vergleicht diesen mit dem Eingabetext. Falls die Signatur bereits im Vorfeld bekannt ist (zum Beispiel bei einer Anti-Viren-Datenbank), kann der Aufbau auch vor dem Start des Programms off-line erfolgen und zur späteren Benutzung abgespeichert werden.

Der Aho-Corasick-Algorithmus ist die Basis des UNIX-Kommandos fgrep,[2] des Intrusion Detection Systems Snort[3], der Web Application Firewall ModSecurity[4] und des Malware-Signatur Frameworks YARA[5].

  1. Alfred V. Aho, Margaret J. Corasick: Efficient string matching: An aid to bibliographic search. In: Communications of the ACM. Band 18, Nr. 6, Juni 1975, S. 333–340, doi:10.1145/360825.360855 (englisch).
  2. grep: use Aho-Corasick algorithm to search multiple fixed words. In: grep: Git-Repository. 2. Juni 2016, abgerufen am 17. Dezember 2017 (englisch).
  3. Adir Gabai: Integrating Aho-Corasick based algorithm for Compressed Traffic (ACCH) Inside Snort. 2015 (englisch, deepness-lab.org [PDF]).
  4. Breach Security Inc.: ModSecurity Reference Manual
  5. YARA-X vs YARA. 7. September 2023, abgerufen am 23. Juli 2024 (englisch).