[发明专利]基于索引分簇的网络协议特征匹配方法

摘要

本发明公开了基于索引分簇的网络协议特征匹配方法，目的是优化设计载荷特征与协议识别规则的关联关系，提高规则匹配性能。技术方案是第一步预处理，输入协议识别规则集合，建立深度报文检查索引分簇和固定位置引分簇；第二步深度报文检查；采用当前主流的深度报文匹配引擎遍历检查网络报文的报文载荷中是否包含字符串集合中字符串，输出命中结果；第三步规则匹配；首先，借助深度报文检查索引分簇表，重构深度报文检查引擎返回的命中结果，其次，对深度报文检查特征串索引分簇的规则进行匹配，然后对固定位置索引分簇的规则进行匹配。本发明相比于目前基于报文深度检查的协议识别方法，显著减少了协议规则的匹配次数，提高了协议识别的性能。

主权项

基于索引分簇的网络协议特征匹配方法，其特征在于包含以下步骤：第一步，预处理，流程如下：步骤1.1建立深度报文检查索引分簇；输入协议识别规则集合R，从协议识别规则的载荷特征中提取深度报文检查字符串集合D，针对每条规则按照长度优先原则筛选深度报文检查字符串作为索引要素，建立深度报文检查索引分簇表A，记录规则处理状态B[N]及未处理规则数Y，Y为整数；其中变量定义如下：协议识别规则集合R，R中包含N条协议规则，N为整数；记R_i表示第i条协议规则，R_i包含M_i个载荷特征，r_i,j为R_i第j个载荷特征，1≤i≤N，1≤j≤M_i，i、j、M_i均为整数；载荷特征包含字符串和固定位置两个元素，记r_i,j＝<string[K],offset>，其中，string[K]表示长度为K的字符串，令string_k表示r_i,j中第k个字符，1≤k≤K，k、K均为整数；令offset表示固定位置要求，若offset等于‑1，则r_i,j为浮动位置串；通过r_i,j.string[K]访问r_i,j中的string[K]，通过r_i,j.offset访问r_i,j中的offset；深度报文检查字符串集合D初始值为空，D中不包含重复字符串；载荷特征映射表S[N][M]为N行M列矩阵，S[N][M]初始值为全0，S_i,j表示协议规则R_i的载荷特征r_i,j在集合D中的编号，若S_i,j等于0，说明r_i,j的字符串r_i,j.string[K]不属于集合D；深度报文检查索引分簇表A，A_d表示D中第d个字符串的描述信息，d为整数，A_d包含4部分信息，记A_d＝<float,location[P],index,rule[L]>，其中：●float为浮动位置标记，若float等于1，表示A_d字符串属于浮动位置载荷特征，通过A_d.float访问A_d的float元素；●location[P]表示长度为P的固定位置向量，若location_p等于1，说明A_d来自某个固定位置载荷特征，且该固定位置特征载荷的offset等于p，1≤p≤P，p、P均为整数，通过A_d.location_p访问A_d的location_p元素；●index为索引标记，若index等于1，表示A_d为某协议规则的索引要素，通过A_d.index访问A_d的index元素；●rule[L]为长度为L的向量，其中存储A_d作为索引要素的协议规则的编号，通过A_d.rule[L]访问A_d的rule[L]元素，通过A_d.rule_l访问A_d的rule_l元素，1≤l≤L，l为整数；固定位置索引分簇表F，F_f表示第f个固定位置索引，包含2部分信息，记F_f＝<offset,rule[ROW][L]>，f为整数，其中：●offset表示F_f所在的偏移位置，采用索引偏移位置为offset的字节为索引，通过F_f.offset访问F_f的offset元素；●rule[Row][L]为ROW行L列矩阵，存储对应该字节的ROW种取值的协议识别规则编号，其中rule_r,s表示编号等于rule_r,s的协议规则包含某个固定位置特征，该固定位置特征要求偏移位置为offset的字节取值等于r，1≤r≤256，1≤s≤L，r、s均为整数，通过F_f.rule[ROW][L]访问F_f的rule[ROW][L]元素，ROW≥256；协议识别规则处理状态向量B[N]，初始值为全0，B_i标记第i条协议识别规则R_i的处理状态，若B_i等于0，表明该规则尚未处理，若B_i等于1，表明该规则已完成索引分簇；一条规则最多包含M个载荷特征，一个索引要素最多关联L条规则，报文数据载荷的最大长度为P字节，M、L、P均为整数；步骤1.2建立固定位置索引分簇；输入协议识别规则集合R，针对未处理的协议识别规则，按照信息熵评估结果选择固定位置载荷作为索引要素，建立固定位置索引分簇表F，记录规则处理状态B[N]及未处理规则数Y；第二步，深度报文检查，流程如下：向深度报文检查引擎输入深度报文检查字符串集合D、网络报文；深度报文检查引擎遍历检查网络报文的报文载荷DATA中是否包含D中字符串，输出命中结果Result，Result中包含rnum个命中结果，其中第ci个命中结果Result_ci＝<offset,id>，分别通过Result_ci.offset、Result_ci.id访问offset和id元素，其中Result_ci.offset表示命中位置，Result_ci.id表示命中的字符串编号；Result按照offset从小到大排序，ci、rnum均为正整数，1≤ci≤rnum；第三步，规则匹配，流程如下：步骤3.1深度报文检查结果重构；根据深度报文检查索引分簇表A，将命中结果Result筛选和重构，提取命中结果中包含的深度报文检查索引要素编号，构成索引要素命中队列HIT，及字符串命中明细表C，其中HIT_hi表示第hi个索引要素编号，C_ck表示集合D中第ck个字符串的命中位置列表，采用链表结构存储，C_ck,cz表示链表C_ck中存储的第cz个命中位置，hi、ck、cz均为正整数；步骤3.2深度报文检查索引类规则匹配；根据索引要素命中队列HIT中记录的字符串编号遍历相关规则；步骤3.3固定位置类索引规则匹配；根据固定位置索引分簇表F遍历相关规则，输出命中的协议规则编号，结束。