[发明专利]一种利用自动机实现报文深度检测的系统和方法

说明书

技术领域

本发明属于网络安全领域，具体涉及一种利用自动机实现报文深度检测的系统和方法。

背景技术

常规的报文检测技术是在报文中搜索固定的感兴趣子串，但网络报文感兴趣子串往往不是固定不变的字符串，而是一类形状相近的正则串。另外，在常规的报文检测中，如果感兴趣的字串特别多，则在对每一个固定字串查找、匹配时，需要遍历一遍报文，这样效率也低下。

专利号CN200710302322.1(网络连通性的自动检测方法及装置)公开了一种网络连通性的自动检测方法及装置。其中，该方法包括以下步骤：步骤一，构建自动检测组，并在自动检测组中配置一个或多个欲检测对象和检测策略；步骤二，通过向一个或多个欲检测对象发送互联网控制消息协议请求报文，按照检测策略检测一个或多个欲检测对象是否可达；以及步骤三，通过向一个或多个与自动检测组关联的应用业务发送检测结果通知消息，向一个或多个应用业务报告检测结果。通过本发明，可以在对被检测双方都没有严格要求的条件下，实现网络互通性的检测，从而有效满足了各应用业务的需求。

专利号CN200910083531.0(基于深度报文检测设备的业务识别网络的管理方法与系统)公开了一种基于DPI设备的业务识别网络的管理方法，涉及业务识别网络的管理技术，为解决未有对业务识别网络的DPI设备管控的技术方案而提出，所采用的技术方案为：将业务识别网络按层进行划分，在每一层中根据所收集到的本层中深度报文检测DPI设备的状态及运行信息，结合所述层的策略配置信息，生成所述层的DPI设备的策略管理信息，按所述层的所述策略管理信息对所述层的DPI设备进行管理。本发明同时公开了一种实现前述方法的系统。本发明方便地实现了对业务识别网络中各层DPI设备的联动管理，通过对DPI设备的管理实现对整个业务识别网络的管控。本发明实现简单且实用。

目前对报文的检测技术多是关键字匹配，即在网络报文中搜索感兴趣的关键字串。但是实际网络报文往往呈现出一类相近的正则特征串。此时，利用关键字就不能匹配一类报文。还有就是利用DFA状态机对报文进行检测。但这种方案需要对报文中的每一个字节都进行匹配查找，也就是对每一个字节都需要访存。这样效率势必有所下降。

本发明方法通过关键字和自动机技术相结合，对在线报文、离线报文进行深度检测，可以查找、匹配感兴趣的固定子窜以及正则子串，同时利用自动机技术对所有感兴趣正则子串编译生成自动机，只需对报文遍历一遍，能够明显提高匹配速度，同时也能够明显提高匹配的精确度。

发明内容

本发明克服现有技术存在的不足，实现固定关键字匹配引擎和正则式匹配引擎可以用不同的策略。

本发明提供了一种利用自动机实现报文深度检测的系统，其包括：

1)固定关键字匹配引擎模块，用于匹配固定关键字串，如果匹配，则进入正则式匹配引擎模块，否则结束匹配；

2)正则式匹配引擎模块，用于匹配正则式，如果匹配，则进入正则式匹配引擎模块，否则结束匹配；

3)匹配处理模块。

本发明提供的利用自动机实现报文深度检测的系统，其包括DFA状态表，该DFA状态表是通过将感兴趣的串进行归类整理，并把具有固定子串但不同正则子串的划分成一组，之后将其所有的正则子串编译生成的。

本发明还提供了一种利用自动机实现报文深度检测的方法，其包括：

4)固定关键字匹配引擎步骤，如果匹配，则进入正则式匹配引擎步骤，否则结束匹配；

5)正则式匹配引擎步骤，如果匹配，则进入正则式匹配引擎步骤，否则结束匹配；

6)匹配处理步骤。

本发明提供的利用自动机实现报文深度检测的方法，其通过将感兴趣的串进行归类整理，并把具有固定子串但不同正则子串的划分成一组，之后将其所有的正则子串编译生成DFA状态表。

与现有技术相比，本发明的有益效果在于：本发明方案将传统的关键字匹配和正则式DFA匹配引擎结合起来，即实现了关键字匹配的高效，同时又实现了正则式DFA匹配的灵活。是一种高效、灵活的匹配方案。

附图说明

图1是本发明的结构示意图。

具体实施方式