[发明专利]一种基于文件序列化的自动机远程分发和初始化方法

说明书

本发明提供一种基于文件序列化的自动机远程分发和初始化方法，将位于内存的自动机序列化成本地文件，然后将序列化后的文件进行分发和快速部署，以替代原有的基于规则和特征的分发和部署方式。该方法包括步骤：S1.配置后端服务器，将特征和规则进行初始化生成自动机；S2.在所述后端服务器上将自动机序列化到本地，以文件形式存储；S3.配置分发网络和n台处理机，所述后端服务器将文件形式存在的自动机通过分发网络发送给所有需要进行匹配处理的处理机；S4.每台处理机都接收文件形式存在的自动机，并初始化到内存；S5.处理机根据新生成自动机进行特征的匹配和检测处理。

技术领域

本发明涉及大规模分布式特征实时检测和匹配技术领域，尤其涉及到使用自动机匹配技术进行多模式子串匹配的分布式检测系统。

背景技术

互联网的飞速发展伴随着大量的网络攻击和恶意代码的传播，如何从海量的互联网流量中检测出这些攻击特征和恶意代码成为一个巨大的挑战。基于知名的开源引擎如SNORT，BRO等而形成的分布式特征检测与匹配系统是解决这个挑战的主要技术之一。而在这些分布式系统中，特征检测和匹配算法是其中的关键技术，基于自动机的匹配算法是众多匹配算法中的使用比较广泛的一种特征匹配算法。

原来自动机匹配算法的实现方式是先将所有的规则和特征分发到每一台处理机上，各自根据规则和特征初始化生成匹配自动机，然后基于自动机进行特征匹配。这种方式使得特征和规则暴露在所有的处理机上，形成安全隐患，而且每一台处理机都要进行同样的初始化过程，系统开销较大。

发明内容

本发明要解决的技术问题是提供一种基于文件序列化的自动机远程分发和初始化方法，将位于内存的自动机序列化成本地文件，然后将序列化后的文件进行分发和快速部署，以替代原有的基于规则和特征的分发和部署方式。

一种基于文件序列化的自动机远程分发和初始化方法，该方法包括步骤：

S1.配置后端服务器，将特征和规则进行初始化生成自动机；

S2.在所述后端服务器上将自动机序列化到本地，以文件形式存储；

S3.配置分发网络和n台处理机，所述后端服务器将文件形式存在的自动机通过分发网络发送给所有需要进行匹配处理的处理机；

S4.每台处理机都接收文件形式存在的自动机，并初始化到内存；

S5.处理机根据新生成自动机进行特征的匹配和检测处理。

本发明的有益效果：

本发明提供了一种可靠的自动机序列化方法，将位于内存的自动机序列化成本地文件，然后将序列化后的文件进行分发和快速部署，以替代原有的基于规则和特征的分发和部署方式。

具体实施方式

本发明提供了一种基于文件序列化的自动机远程分发和初始化方法，该方法包括步骤：

S1.配置后端服务器，将特征和规则进行初始化生成自动机；

S2.在后端服务器上将自动机序列化到本地，以文件形式存储；

S3.配置分发网络和n台处理机，后端服务器将文件形式存在的自动机通过分发网络发送给所有需要进行匹配处理的处理机；

S4.每台处理机都接收文件形式存在的自动机，并初始化到内存；

S5.处理机根据新生成自动机进行特征的匹配和检测处理；

其中，步骤S1之前还包括步骤：

A₁.启动异步消息网络系统；

其中，步骤S1还包括步骤：