[发明专利]基于后缀自动机正则引擎构造的深度包检测方法

权利要求书

1.一种基于后缀自动机正则引擎构造的深度包检测方法，其特征在于，包括以下步骤：

S1，入侵检测系统抽取攻击特征构建正则表达式；

S2，构造后缀NFA引擎并利用其进行多模式匹配；

S3，从Web服务器获取应用层协议数据包和Web服务器日志文件；

S4，对上述协议数据包和日志文件进行深度包检测并将检测结果发送给防火墙。

2.根据权利要求1所述的基于后缀自动机正则引擎构造的深度包检测方法，其特征在于，步骤S2中所述的构造后缀NFA引擎的具体方法包括：

a.对正则表达式进行分组；

b.将每一组中的多条正则表达式利用或运算整合成一条正则表达式；

c.将整合后的正则表达式改写成逆波兰形式，得后缀正则式；

d.构造后缀正则式的二叉解析树；

e.基于后序遍历操作对二叉解析树进行节点编号，确定自动机的状态空间；

f.基于编号的二叉解析树设置自动机的终止状态标识，得后缀正则树；

g.基于后缀正则树的中序遍历操作得后缀NFA引擎。

3.根据权利要求2所述的基于后缀自动机正则引擎构造的深度包检测方法，其特征在于，步骤c中所述的将整合后的正则表达式改写成逆波兰形式，得后缀正则式的具体方法包括：A.正则表达式中按照原有顺序依次出现的输入符号作为后缀正则式从左至右输入的符号；

B.运算符号按其实际计算顺序紧跟在其运算对象后面出现；

C.将正则表达式中的小括号删除。

4.根据权利要求2所述的基于后缀自动机正则引擎构造的深度包检测方法，其特征在于，步骤d中所述的构造后缀正则式的二叉解析树的方法是：

1）后缀正则式中的所有输入符号作为二叉解析树的叶子节点，从左至右依次排列；

2）根据后缀正则式中运算符的逻辑顺序依次由叶子节点到根节点自底向上建立整棵二叉解析树，其中，或运算和连接运算为双目运算，其运算对象：输入符号所对应的叶子节点或某个运算的运算结果所对应的子树的根节点分别为其左右孩子；闭包运算为单目运算，其运算对象为其左孩子，右孩子空缺。

5.根据权利要求2所述的基于后缀自动机正则引擎构造的深度包检测方法，其特征在于，步骤e所述的基于后序遍历操作对二叉解析树进行节点编号的具体方法包括：

i.初始化编号n:=1；

ii.若当前的节点是连接运算符节点，且该节点的前两个节点分别为闭包运算和连接运算，则，置该节点的整数标识为n，否则，按照步骤iii中情况执行；

iii.若当前的节点为连接运算符节点，并且不满足步骤ii中的情况，则n:=n+1，置当前节点的整数标识为n。

6.根据权利要求2所述的基于后缀自动机正则引擎构造的深度包检测方法，其特征在于，步骤f中所述的基于编号的二叉解析树设置自动机的终止状态标识的方法包括：

（1）若根节点为连接运算符节点，则将该节点的整数标识设置为终止状态标识；

（2）若二叉解析树的根节点是或运算节点，则置离根节点最近的左子树上的整数标识节点为终止状态节点；

（3）若二叉解析树的根节点是闭包运算节点，则不对任何一个整数标识置终止状态标识。

7.根据权利要求2所述的基于后缀自动机正则引擎构造的深度包检测方法，其特征在于，步骤g所述的基于后缀正则树的中序遍历操作得后缀NFA引擎的方法包括：

1）假设后缀正则树中编号的最大整数为n，则创建n+1个状态，状态名分别为0、1、2、......、n，并将状态0设置为开始状态；

2）若后缀正则树中存在一个整数i被标识为终止状态，则将该整数i所对应的状态i设置为终止状态；若不存在，则将开始状态0同时设置为终止状态；

3）中序遍历后缀正则树，按照遍历顺序建立状态转移，最终获得只有一个开始状态和一个终止状态的并且size达到最优的NFA。

8.根据权利要求1～7任一所述的基于后缀自动机正则引擎构造的深度包检测方法，其特征在于，所述方法还包括：

S5.进行IP溯源，追踪到攻击源后，将攻击源的IP地址发送到防火墙进行包过滤。