[发明专利]一种基于关键字词频特征的多模式匹配方法

说明书

本发明提供一种基于关键字词频特征的多模式匹配方法，首先从已知的信息数据库中提取关键字并统计出现频率作为其词频信息，其次采用构造含有关键字词频信息的二叉树完成其中的模式串匹配，在字符匹配过程中若出现字符不相等，则与该不匹配字符所在节点的兄弟节点所含字符进行匹配。其利用信息来源的模式的关键字词频信息构造基于字典树的二叉树完成其中的模式串的匹配，并与AC算法进行了比较。传统的AC算法需要维护三张表，并且在模式匹配过程中会频繁访问这三张表；本发明的一种基于关键字词频特征的多模式匹配方法更多的利用了模式本身的词频信息，并不需要维护过多的信息，这就大大减少了系统的内存消耗。

技术领域

本发明涉及计算机网络安全技术领域，具体涉及一种基于关键字词频特征的多模式匹配方法。

背景技术

入侵检测系统(IDS，Intrusion Detection System)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。IDS以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。

误用入侵检测系统中常用的检测方法有：模式匹配法、专家系统法、基于状态转移分析的检测法。其中模式匹配法常常被用于入侵检测技术中，它通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较，从而对违背安全策略的行为进行发现。模式匹配法可以显著地减少系统负担，有较高的检测率和准确率。

Aho-Corasick算法在1975年产生于贝尔实验室，是著名的多模匹配算法之一。Aho-Corasick算法对应的数据结构是Aho-Corasick自动机，简称AC自动机。AC算法的特点是可以保证对于给定的长度为n的文本，和模式集合P{p1,p2,...pm}，在O(n)时间复杂度内，找到文本中的所有目标模式，而与模式集合的规模m无关。

但是AC算法在模式匹配的过程中预处理时间较长，并且因其需维护goto表、fail表和output表导致内存消耗巨大，算法性能仍然有待提高。

发明内容

为了克服现有技术的不足，本发明提供一种基于关键字词频特征的多模式匹配方法，它能解决现有技术在模式匹配的过程中预处理时间过长及占用较大内存等问题。

本发明采用的基于关键字词频特征的多模式匹配方法，首先从已知的信息数据库中提取关键字并统计出现频率作为其词频信息，其次采用构造含有关键字词频信息的二叉树完成其中的模式串匹配，在字符匹配过程中若出现字符不相等，则与该不匹配字符所在节点的兄弟节点所含字符进行匹配。

本发明利用信息来源的模式的关键字词频信息构造基于字典树的二叉树完成其中的模式串的匹配，并与AC算法进行了比较。传统的AC算法需要维护三张表，并且在模式匹配过程中会频繁访问这三张表；本发明的一种基于关键字词频特征的多模式匹配方法更多的利用了模式本身的词频信息，并不需要维护过多的信息，这就大大减少了系统的内存消耗。

本发明采用的具体技术方案是：

一种基于关键字词频特征的多模式匹配方法，包括以下步骤：

S21初始化二叉树；

S22输入待匹配模式串后开始匹配；

S23若匹配成功则判断该节点是否含有模式串结束标志，若是则输出模式串，若否则判断匹配成功节点的左分支节点是否存在，若是则将指针指向其左分支节点并返回S22，若否则结束匹配；若匹配失败则判断匹配失败节点的右分支节点是否存在，若是则将指针指向其右分支节点并返回S22，若否则结束匹配；

S24判断指针移动后是否超出待匹配模式串串尾，若否则返回S22，若是则结束匹配。