技术总结
本发明公开了基于索引分簇的网络协议特征匹配方法,目的是优化设计载荷特征与协议识别规则的关联关系,提高规则匹配性能。技术方案是第一步预处理,输入协议识别规则集合,建立深度报文检查索引分簇和固定位置引分簇;第二步深度报文检查;采用当前主流的深度报文匹配引擎遍历检查网络报文的报文载荷中是否包含字符串集合中字符串,输出命中结果;第三步规则匹配;首先,借助深度报文检查索引分簇表,重构深度报文检查引擎返回的命中结果,其次,对深度报文检查特征串索引分簇的规则进行匹配,然后对固定位置索引分簇的规则进行匹配。本发明相比于目前基于报文深度检查的协议识别方法,显著减少了协议规则的匹配次数,提高了协议识别的性能。
技术研发人员:孙一品;陈曙晖;庞立会;王飞;钟求喜;张博锋;刘宇靖;闫晓明
受保护的技术使用者:中国人民解放军国防科学技术大学
技术研发日:2015.12.31
技术公布日:2018.06.12