专利名称:一种利用自动机实现报文深度检测的系统和方法
技术领域:
本发明属于网络安全领域,具体涉及一种利用自动机实现报文深度检测的系统和方法。
背景技术:
常规的报文检测技术是在报文中搜索固定的感兴趣子串,但网络报文感兴趣子串往往不是固定不变的字符串,而是一类形状相近的正则串。另外,在常规的报文检测中,如果感兴趣的字串特别多,则在对每一个固定字串查找、匹配时,需要遍历一遍报文,这样效率也低下。专利号CN200710302322. 1 (网络连通性的自动检测方法及装置)公开了一种网络连通性的自动检测方法及装置。其中,该方法包括以下步骤步骤一,构建自动检测组,并在自动检测组中配置一个或多个欲检测对象和检测策略;步骤二,通过向一个或多个欲检测对象发送互联网控制消息协议请求报文,按照检测策略检测一个或多个欲检测对象是否可达;以及步骤三,通过向一个或多个与自动检测组关联的应用业务发送检测结果通知消息, 向一个或多个应用业务报告检测结果。通过本发明,可以在对被检测双方都没有严格要求的条件下,实现网络互通性的检测,从而有效满足了各应用业务的需求。专利号CN200910083531. 0(基于深度报文检测设备的业务识别网络的管理方法与系统)公开了一种基于DPI设备的业务识别网络的管理方法,涉及业务识别网络的管理技术,为解决未有对业务识别网络的DPI设备管控的技术方案而提出,所采用的技术方案为将业务识别网络按层进行划分,在每一层中根据所收集到的本层中深度报文检测DPI 设备的状态及运行信息,结合所述层的策略配置信息,生成所述层的DPI设备的策略管理信息,按所述层的所述策略管理信息对所述层的DPI设备进行管理。本发明同时公开了一种实现前述方法的系统。本发明方便地实现了对业务识别网络中各层DPI设备的联动管理,通过对DPI设备的管理实现对整个业务识别网络的管控。本发明实现简单且实用。目前对报文的检测技术多是关键字匹配,即在网络报文中搜索感兴趣的关键字串。但是实际网络报文往往呈现出一类相近的正则特征串。此时,利用关键字就不能匹配一类报文。还有就是利用DFA状态机对报文进行检测。但这种方案需要对报文中的每一个字节都进行匹配查找,也就是对每一个字节都需要访存。这样效率势必有所下降。本发明方法通过关键字和自动机技术相结合,对在线报文、离线报文进行深度检测,可以查找、匹配感兴趣的固定子窜以及正则子串,同时利用自动机技术对所有感兴趣正则子串编译生成自动机,只需对报文遍历一遍,能够明显提高匹配速度,同时也能够明显提高匹配的精确度。
发明内容
本发明克服现有技术存在的不足,实现固定关键字匹配引擎和正则式匹配引擎可以用不同的策略。
本发明提供了一种利用自动机实现报文深度检测的系统,其包括1)固定关键字匹配引擎模块,用于匹配固定关键字串,如果匹配,则进入正则式匹配引擎模块,否则结束匹配;2)正则式匹配引擎模块,用于匹配正则式,如果匹配,则进入正则式匹配引擎模块,否则结束匹配;3)匹配处理模块。本发明提供的利用自动机实现报文深度检测的系统,其包括DFA状态表,该DFA 状态表是通过将感兴趣的串进行归类整理,并把具有固定子串但不同正则子串的划分成一组,之后将其所有的正则子串编译生成的。本发明还提供了一种利用自动机实现报文深度检测的方法,其包括4)固定关键字匹配引擎步骤,如果匹配,则进入正则式匹配引擎步骤,否则结束匹配;5)正则式匹配引擎步骤,如果匹配,则进入正则式匹配引擎步骤,否则结束匹配;6)匹配处理步骤。本发明提供的利用自动机实现报文深度检测的方法,其通过将感兴趣的串进行归类整理,并把具有固定子串但不同正则子串的划分成一组,之后将其所有的正则子串编译生成DFA状态表。与现有技术相比,本发明的有益效果在于本发明方案将传统的关键字匹配和正则式DFA匹配引擎结合起来,即实现了关键字匹配的高效,同时又实现了正则式DFA匹配的灵活。是一种高效、灵活的匹配方案。
图1是本发明的结构示意图。
具体实施例方式本发明首先将感兴趣的串进行归类整理,把具有固定子串但不同正则子串的划分成一组,将其所有的正则子串编译生成一组DFA。这样,对于待匹配的报文来说,首先查看是否匹配固定关键字串,如果匹配再在所对应组的DFA状态表中查询。如果不匹配固定关键字串就说明此报文不能匹配规则。其流程如附图1所示。对于输入的待匹配报文,首先进入固定关键字匹配引擎模块,如果没有匹配则说明此报文不能匹配,下一个报文匹配开始。如果能够匹配,则进入正则式匹配引擎模块,如果不匹配任何规则,则进入下一轮报文匹配。如果匹配成功则进入匹配处理模块,待处理完毕进入下一轮匹配。明方法通过关键字匹配和正则式DFA匹配相结合,可以查找、匹配报文感兴趣的固定子窜以及正则子串,同时利用自动机技术对所有感兴趣正则子串编译生成自动机,提高匹配速度的同时也能够明显提高匹配的精确度。以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所述领域的普通技术人员应当理解依然可以对本发明的具体实施方式
进行修改或者同等替换,而未脱离本发明精神和范围的任何修改或者等同替换, 其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种利用自动机实现报文深度检测的系统,其包括1)固定关键字匹配引擎模块,用于匹配固定关键字串,如果匹配,则进入正则式匹配引擎模块,否则结束匹配;2)正则式匹配引擎模块,用于匹配正则式,如果匹配,则进入正则式匹配引擎模块,否则结束匹配;3)匹配处理模块。
2.权利要求1的系统,其特征在于,其包括DFA状态表,该DFA状态表是通过将感兴趣的串进行归类整理,并把具有固定子串但不同正则子串的划分成一组,之后将其所有的正则子串编译生成的。
3.一种利用自动机实现报文深度检测的方法,其包括4)固定关键字匹配引擎步骤,如果匹配,则进入正则式匹配引擎步骤,否则结束匹配;5)正则式匹配引擎步骤,如果匹配,则进入正则式匹配引擎步骤,否则结束匹配;6)匹配处理步骤。
4.权利要求3的系统,其特征在于,其通过将感兴趣的串进行归类整理,并把具有固定子串但不同正则子串的划分成一组,之后将其所有的正则子串编译生成DFA状态表。
全文摘要
本发明提供一种利用自动机实现报文深度检测的系统和方法,其包括固定关键字匹配引擎模块,用于匹配固定关键字串,如果匹配,则进入正则式匹配引擎模块,否则结束匹配;正则式匹配引擎模块,用于匹配正则式,如果匹配,则进入正则式匹配引擎模块,否则结束匹配;匹配处理模块。本发明提供的利用自动机实现报文深度检测的系统和方法,通过关键字和自动机技术相结合,对在线报文、离线报文进行深度检测,可以查找、匹配感兴趣的固定子窜以及正则子串,同时利用自动机技术对所有感兴趣正则子串编译生成自动机,只需对报文遍历一遍,能够明显提高匹配速度,同时也能够明显提高匹配的精确度。
文档编号H04L12/24GK102387050SQ20111041349
公开日2012年3月21日 申请日期2011年12月13日 优先权日2011年12月13日
发明者刘兴奎, 刘朝辉, 李锋伟, 白宗元, 纪奎, 邵宗有 申请人:曙光信息产业(北京)有限公司