[发明专利]生僻字符匹配方法、字符串模式匹配方法及存储介质

说明书

本发明提供一种生僻字符匹配方法、字符串模式匹配方法及存储介质，其中，生僻字符匹配方法，包括：提取模式串中的生僻字符；查找目标文本中是否存在所述生僻字符；当所述目标文本中存在所述生僻字符时，确认所述模式串与所述目标文本中包含所述生僻字符的字符段是否相等，并且相等时，匹配成功，结束，其中，所述模式串的字符与所述字符段的字符一一对应。本发明充分利用生僻字匹配算法和BM匹配算法的优点，无论模式串长短，均能达到最佳的匹配性能。

技术领域

本发明涉及计算机网络信息安全领域，尤其涉及计算机网络入侵检测系统的模式匹配算法，具体来说就是一种生僻字符匹配方法、字符串模式匹配方法及存储介质。

背景技术

随着计算机技术的普及计算机网络技术的飞速发展，丰富的网络信息资源为人们的生活提供了极大的便利，然后与此同时，计算机网络屡遭计算机病毒入侵，计算机网络安全事件频频发生。为了保障计算机网络的安全，保证计算机网络系统免受非法入侵，入侵检测系统(Intrusion Detection System)应运而生，为计算机网络的安全传输保驾护航。

但是，入侵检测系统基于自己的规则库进行模式匹配，每匹配成功一次就能防止了一次网络入侵，然而随着计算机网络的急剧膨胀，入侵检测系统的核心匹配算法越来越不能满足剧增的网络流量，模式匹配算法也越发成为了入侵检测系统发展的瓶颈。举例来说，当前入侵检测系统中使用的主流匹配算法为Boyer-Moore算法，Boyer-Moore算法简称BM算法，是由Boyer教授和Moore教授发明的一种高效的字符串匹配算法，该字符串匹配算法从模式串的尾部开始扫描，在不匹配时，用两个算法bad-character(坏字符规则算法)和good-suffix(好后缀规则算法)来确定模式串在主串中移动的距离。不同于一般算法，BM算法自右向左对模式串进行扫描。进行比较时，待匹配文本T(text)与模式串P(pattern)最左边对齐，但是匹配的方向是从P的最右边开始依次向左，直至出现不匹配字符，当出现不匹配字符时，通过“坏字符、好后缀”两种策略进行模式串偏移。

(1)坏字符规则：当P中的某个字符与T中对应的字符不匹配时(即坏字符)，采用坏字符规则来移动P，移动距离有如下两种情况：T中的坏字符不在P中，直接将模式串右移P的长度；T中的坏字符存在P中，移动P直至T中的坏字符与P中相同的字符对齐。

(2)好后缀规则：该规则指明P和T末尾有部分字符串t(即好后缀)匹配时如何移动。具体分为：第一种情况，模式串P剩余部分中仍包含子串t，此时移动模式串，让该子串和好后缀对齐即可，如果超过一个子串匹配上好后缀，则选择最靠左边的子串对齐；第二种情况，模式串P剩余部分不包含子串t，此时需要寻找模式串的一个最长前缀，并让该前缀等于好后缀的后缀，寻找到该前缀后，让该前缀和好后缀对齐即可；第三种情况，模式串P剩余部分不包含子串t，并且在模式串中找不到最长前缀，让该前缀等于好后缀的后缀。此时，直接移动模式到好后缀的下一个字符。

BM算法根据以上两种规则计算偏移并选择较大的偏移量移动模式串。基于以上的匹配规则，BM算法在搜索阶段可以达到的时间复杂度为O(n+m)，因为性能优异，成为了目前入侵检测系统的首选算法，但BM算法并非完美，因其并非专门为入侵检测领域开发的匹配算法，所以并不能很好地针对检测规则的特性，达到高效的匹配。例如，BM算法并不考量模式串是否符合一定格式，这虽然使得BM算法更加通用，

但也使得其在入侵检测规则匹配中的效率。在入侵检测规则中，模式串并非人为输入，是一开始就确定好而且往往较短，而众所周知，BM算法依据“坏字符、好后缀”启发模式，最长跳为模式串的长度，在短模式串情况下，BM算法优势大大下降，这是新算法需要攻克的关键点。除此之外，BM算法不能完成入侵检测规则中经常出现的二进制模式串与文本数据的匹配，这一点也尤为重要。

因此，本领域技术人员亟需研发一种适用于入侵检测领域的模式匹配算法，实现短模式串的快速匹配，满足海量网络数据检测的需要。

发明内容