[发明专利]一种面向高速网络的模式匹配方法

说明书

技术领域

本发明是一种字符串模式匹配的方法，适用于高速网络环境下网络入侵检测、网络入侵保护、计算机病毒特征码匹配等需要进行字符匹配的领域的应用。

背景技术

目前模式匹配方法很多，其中应用最广泛的就是基于BM方法原理实现的模式匹配方法。BM模式匹配方法是一种精确单匹配方法，该方法利用启发式策略跳过不必要的比较来减少模式串与文本的比较次数来提高匹配效率。在进行匹配时将模式串与文本左端对齐，由模式串右端起向左逐个字符比较。开始阶段先对模式串的后缀与文本进行匹配，在完成一次尝试(无论匹配失败或者成功)后，利用移位函数将模式串向右滑动一定的距离，重新从模式串的后缀进行匹配。

著名的轻量级入侵检测系统Snort的核心部分检测引擎中就采用了BM方法进行规则的匹配。但是由于该方法没有考虑已匹配的后缀与导致匹配失败的当前字符之间的相邻关系，使得字符串匹配的效率不够高。

发明内容

本发明要解决的问题是，通过分析已有模式匹配方法，针对现有字符串匹配方法的缺陷，适应当前高速网络对模式匹配高效率的需求，提出一种面向高速网络的模式匹配方法，即HPMM方法，用于高速网络环境下网络入侵检测、网络入侵保护和计算机病毒特征码匹配等需要进行字符匹配的领域，提高匹配效率。

本发明的解决方案是，结合BM方法的比较方式，提出一种面向高速网络的模式匹配方法，首先由计算机对每种攻击网络的数据流提取出特征值并按照规则语言将其写成规则模式；网络通信中，计算机通过检测系统将捕获到的数据包与所述规则模式进行匹配；如果匹配成功，则检测系统将其判断为攻击行为；所述匹配具体包括如下步骤：

(1)设所述捕获到的数据包中的正文串T＝T₁…Tn(长度为n)

所述规则模式的模式串P＝P₁...P_m(长度为m)，(n>>m)

(2)给出滑动距离函数

上述函数给出了正文串中可能出现的任意字符c在模式串中的位置

(3)给出判断字符在模式串中出现的频次的函数；

(4)T[1]和P[1]对齐，对P[m]与T[m]匹配；

若P[m]与T[m]匹配不成功，则按步骤(5)计算出模式串向右移动的距离，右移相应距离；若P[m]与T[m]匹配成功，则比较模式P[1]与文本相应的字符，若P[1]匹配不成功，则按步骤(5)将模式串右移；若p[1]匹配成功，则依次对P[m-1]P[2]P[m-2]P[3]...进行匹配，依次类推，直到匹配完成。

(5)计算向右移动距离，其移动步骤为：

1)：在失去匹配时，首先计算出由文本串最后一个字符，设为T[k]，启发得到的右移位置k+Skip[k]，其值记为k₁；

2)：计算由文本串的下一个字符T[k+1]启发得到的右移位置k+1+Skip[k+1]，其值记为k₂；

3)：判断k₁、k₂的大小，如果k₁>k₂，再判断T[k+1]在模式串出现频次，用步骤(2)中的函数B(c)判断T[k+1]在模式串出现的频次。若B(T[k+1])＝1，即T[k+1]在模式串只出现一次，则将模式串末端和T[k+1+m]处对齐进行新一轮的匹配；若B(T[k+1])＝0，即T[k+1]在模式串只出现大于一次，则将模式串末端和T[k₁]处对齐进行新一轮的匹配；如果k₂>＝k₁，则将模式串末端和T[k₂]对齐进行新一轮的匹配。

本发明提供的上述面向高速网络的模式匹配方法HPMM，结合BM方法从比较方式和移动策略两个方面出发实现创新突破：一是打破了传统的从左向右或是从右向左的匹配方式，采用从模式两端向中间位置交替的匹配顺序，减少了在BM方法匹配过程中，出现模式的一部分后缀与文本匹配，而模式的前缀却不匹配情况下不必要的比较；二是同时考虑字符串后一位字母的唯一性，提高最大位移m+1的出现概率。本发明适合于高速网络环境下网络入侵检测、网络入侵保护和计算机病毒特征码匹配等需要进行快速字符匹配的领域应用。

附图说明

图1是本发明所述模式匹配方法的移动策略示意图；

图2是实施例中BM与HPMM方法的测试数据结果；

图3是实施例中测试数据包类型统计；