[发明专利]使用部分确定性有限自动模式匹配来进行网络攻击检测

说明书

技术领域

本发明涉及计算机网络，更具体而言，涉及网络安全。

背景技术

企业计算机网络典型地包括交换数据并共享资源的一组相互连接的计算设备集。这些设备例如可包括：网络服务器、数据库服务器、文件服务器、路由器、打印机用户端计算机以及其它设备。各种设备可执行各式不同服务和通信协议。这些不同服务和通信协议中的每一个都使得上述企业计算机网络暴露了不同的安全性漏洞。

用于检测网络攻击的常规技术使用模式匹配。例如，企业可部署一个或一个以上的安全性设备来检测网络流量是否有病毒或其它安全性威胁。这种安全性设备一般把常规表达式或子串匹配应用到该网络流量中，以在协议流中检测所定义的模式。多种模式可用于尝试检测不同类型的攻击并通常改善了这种攻击检测的准确性和有力程度。

发明内容

本文披露描述了用于检测网络流量是否包含一种或多种计算机安全威胁的技术。如本文所述，安全装置(例如，侵入检测和防 范装置、防火墙、或其他网络装置)可使用这些技术检测符号流是否符合计算机安全威胁相关的符号模式。为了检测符号流是否符合符号模式，安全装置存储了完全确定性有限自动机(full deterministicfinite automaton，缩写为fDFA)，其用于接受(accept)符合符号模式的符号流。该安全装置还生成部分确定性有限自动机(Partialdeterministic finite automaton，缩写为pDFA)，其包括对应于fDFA中的具有最高访问级的那些节点的节点。该安全装置使用pDFA来处理符号流中的每个符号，直到一个符号导致pDFA转换至失败节点或转换至正在接受(accepting)的节点。如果该符号导致pDFA转换至失败节点，则安全装置使用fDFA来处理该符号以及在符号流中的后续符号。

在一个实施例中，一种方法包括：存储一组完全确定性有限自动机(fDFA)节点。fDFA节点表示完全确定性有限自动机fDFA。第一fDFA接受符合第一符号模式的符号流。该方法还包括生成一组pDFA节点。每个pDFA在fDFA中都具有对应的、超越访问阈的访问级的节点。当fDFA节点中的对应节点规定(specify)了符号向fDFA节点中的具有超越访问阈的访问级的节点转换时，pDFA中的每个节点都规定该符号向pDFA节点中的节点的转换。当fDFA节点中的对应节点规定了符号向fDFA节点中具有不超越访问阈的访问级的节点转换时，pDFA中的每个节点都规定该符号向pDFA节点中的失败节点的转换。另外，该方法还包括接收(receive)符号流中的符号。该方法还包括确定pDFA节点中的当前节点是否为失败节点。进一步讲，该方法包括：当pDFA节点中的当前节点不是失败节点时，确定pDFA节点中的当前节点是否规定该符号向失败节点的转换。另外，该方法也包括：当pDFA节点中的当前节点规定了该符号向失败节点的转换时，将fDFA节点中的对应于pDFA节点的当前节点的节点标识为fDFA节点中的当前节点。该方法还包括：当pDFA节点中的当前节点是失败节点时以及当fDFA节点 中的当前节点规定了该符号向正在接受的节点转换时，检测计算机安全威胁。

在另一实施例中，一种中间网络装置包括：存储模块，用于存储一组完全确定性有限自动机(fDFA)节点。这些fDFA节点表示fDFA节点表示接受符合符号模式的符号串的完全确定性有限自动机(fDFA)。该中间网络装置还包括：pDFA更新模块，用于生成一组pDFA节点。这些pDFA表示部分确定性有限自动机(pDFA)。每个pDFA节点在fDFA中都具有对应的、超越访问阈的访问级的节点。当fDFA节点中的对应节点规定了符号向fDFA节点中的具有超越访问阈的访问级的节点转换时，pDFA中的每个节点都规定该符号向pDFA节点中的节点的转换。当fDFA节点中的对应节点规定了符号向fDFA节点中具有不超越访问阈的访问级的节点转换时，pDFA中的每个节点都规定该符号到pDFA节点中的失败节点的转换。另外，该中间网络装置还包括DFA引擎，其用于：接收(receive)符号流中的符号；确定pDFA节点中的当前节点是否为失败节点；当pDFA节点中的当前节点不是失败节点时，确定pDFA节点中的当前节点是否规定该符号向失败节点的转换；当pDFA节点中的当前节点规定了该符号向失败节点转换时，将fDFA节点中的对应于pDFA节点中的当前节点的节点标识为fDFA节点中的当前节点；以及当pDFA节点中的当前节点是失败节点时以及当fDFA节点中的当前节点规定了该符号向正在接受的节点转换时，就检测计算机安全威胁。