[发明专利]一种对数据包进行特征匹配的方法及装置

说明书

技术领域

本发明涉及网络安全领域，更具体地说，涉及一种对数据包进行特征匹配 的方法及装置。

背景技术

深包检测技术是网络安全领域的一次重要技术变革，是网络内容安全的核 心技术。深包检测技术的核心环节是用特征匹配技术检测网包负载(packet payload)中是否出现预定义的特征(Pattern)。特征匹配是(Pattern Matching)是指查找“特征”(Pattern)在“文本串”(Text)中的一个或全 部出现位置的操作，“文本串”的长度大于等于“特征”长度。按照特征构成 的不同，特征匹配技术可以分为字符串特征匹配和正则表达式匹配。一方面， 正则表达式特征具备更加灵活强大的描述能力，然而过于复杂的形式导致匹配 性能急剧下降同时限制了它的应用，正则表达式匹配算法的空间复杂度很高， 无法满足实际应用的需要。另一方面，字符串特征最简单，应用范围也最广， 但随着一些新应用的产生，单纯的字符串匹配已经不能满足新应用的需求，在 许多情况下，需要将多个字符串特征结合起来获得匹配结果，利用多个字符串 特征之间的位置信息来进行特殊处理。从某种意义上来讲，这种多字符串结合 起来的方式已经是一种特殊的正则表达式，为区别起见，称为与或逻辑表达式。

基于与或逻辑表达式的特征串匹配算法跟单字符串、多字符串匹配都不 同，它需要根据表达式的与或逻辑关系，当其中特定的几个字符串都匹配时， 并满足与或逻辑表达式的逻辑要求，才表示此条与或逻辑表达式发生了匹配。

这类表达式形式上描述如下：

<Expression>＝<String>and<Expression>

<Expression>＝<String>or<Expression>

<Expression>＝<String>

在这里，字符串(String)指的是固定的一个字符序列，比如“abcd3”、 “xyz5”等；每一条与或逻辑表达式(Expression)都是由多个字符串(String) 组成，几个字符串(String)之间是“与”或“或”的逻辑关系。

因为与或逻辑表达式中的字符串之间存在与、或两种逻辑关系，处理起来 很麻烦，本系统设计时做了一些修改，将其定义为如下形式：

<Expression>＝<String>and<Expression>

<Expression>＝<String>

本系统只针对上述定义的“与或逻辑表达式”进行研究，虽然上述定义少 了一条定义“<Expression>＝<String>or<Expression>”，但这两种形式是完全 等价的，根据与或关系表达式转换，

<Expression_A>＝<String_B>or<Expression_C>

等价于

<Expression_A>＝<String_B>

<Expression_temp>＝<Expression_C>

从上面公式可以看出，将规则中的“或”关系去掉，等价于拆成两条只包 含“与”关系的规则，因此这两种定义可以任意互相转换，两种定义是等价的。