[发明专利]网络数据包的检测方法

权利要求书

1.一种网络数据包的检测方法，其特征在于，包括以下步骤：

A）捕获网络中的数据包；

B）对所捕获的数据包进行全协议栈解析，得到协议变量，即原始报文数据包的各协议层数据；

C）根据预先设定的模式特征和协议变量特征选择最合适的多模式匹配算法，然后加载模式匹配算法库，并在检测过程中根据当前网络状态来动态调整匹配算法。

2.如权利要求1所述的方法，其特征在于，所述步骤B中进行全协议栈解析是指按照协议的层次划分从底到顶逐层进行解析，即对包括应用层协议在内的所有协议数据进行重组后，再进一步继续进行解析。

3.如权利要求2所述的方法，其特征在于，对协议数据进行重组的具体步骤包括：

从捕获的原始数据包中提取与TCP协议相关的描述特征，分析其中的TCP报文；

对分析后的TCP报文按照其规范进行重新拼装，并保存到特定的内存结构中。

4.如权利要求1所述的方法，其特征在于，所述步骤C包括统计分析模块、匹配模块和评估切换模块；其中，所述统计分析模块用于对模式匹配输入规则树进行统计分析，并根据分析结果选择最优的多模式匹配算法；所述匹配模块用于通过统一调用接口为外部调用模块提供快速多模式匹配服务，并将模式匹配结果描述事件反馈给评估切换模块；所述评估切换模块用于根据匹配模块反馈的事件信息来获知当前网络状态，并据此做出调整当前多模式匹配算法的决定。

5.如权利要求4所述的方法，其特征在于，所述统计分析模块，根据事件配置文件建立模式匹配规则树，规则树中每一树节点代表某一类型模式匹配子任务包括对协议变量或报文数据载荷进行模式匹配；统计分析规则树中每一节点的协议变量特征和相关模式特征；考察算法库中每一备选多模式匹配算法特征，选择一种最适合该规则树节点的多模式匹配算法。

6.如权利要求4所述的方法，其特征在于，所述匹配模块，利用当前选择的匹配算法为外部调用模块提供快速多模式匹配服务，即对外部模块输入的网络报文或协议变量值执行多关键词搜索操作，并返回最后模式匹配结果；同时有选择地根据本次模式匹配的输入和结果生成相应的模式匹配反馈事件，供评估切换模块统计分析处理。

7.如权利要求4所述的方法，其特征在于，所述评估切换模块，根据匹配模块反馈的事件信息，来获知当前网络状态；在当前网络状态下对当前选择的多模式匹配算法进行评估，如果评估结果不满意，则考察算法库中各基本模式匹配算法特征，选出一种最适合当前网络状态的多模式匹配算法，指导算法调度引擎完成对当前多模式匹配算法的动态切换。