[发明专利]基于云系统的数据包检测方法

说明书

技术领域

本发明涉及数据包检测方法，尤其涉及基于云系统的数据包检测方法。

背景技术

深度包检测源于显式字符串匹配方法，即从目标数据序列中匹配已有的字符串序列，而随着显式字符串逐渐被正则表达式所代替，基于有限状态机进行目标特征匹配成为深度包检测的主要形式。现有的研究可以将深度包检测技术大体上分为三类：基于启发式的字符串匹配算法；基于过滤器的匹配算法；基于状态机的匹配算法。

1、基于启发式的字符串匹配算法主要使用BM算法、WM算法以及它们的各种改进算法等。

2、基于过滤器的匹配算法主要应用如bloom filter的过滤器来进行匹配。

3、基于状态机的匹配算法由于其多模式匹配特性、快速的处理速度、与正则表达式的完美兼容，逐渐成为现在研究最热的匹配算法。

以攻击检测为例来说，现在的研究当中，用算法进行深度包检测时都是将数据包与模式串进行了一次匹配，然后根据与模式串匹配与否来进行攻击发生与否的判定。这样的包检测，使得大量的非攻击的数据包也进行了每个byte的匹配，这样就会浪费大量的时间用在非攻击数据包的检测中，不利于时间效率的提升。

发明内容

为了解决现有技术中的问题，本发明提供了一种基于云系统的数据包检测方法。

本发明提供了一种基于云系统的数据包检测方法，包括如下步骤：

A.                         对匹配串集中的各匹配串进行压缩，并且将压缩后的匹配串集构建出一个用于模式匹配的DFA；

B.                          将数据包中的字符串经过压缩处理后生成新的字符串，将新的字符串输入至所述DFA中做匹配；

C.                          将未经过滤的数据分类，再根据分类的结果选择适合的匹配串进行精确的匹配。

作为本发明的进一步改进，所述DFA具有五元组{Q（α，β），Σ，q0，δ，A}，其中Q为状态点集合；Σ为字符表；q0 为初始状态点；A （α，β）为终止状态点，其中α代表结束状态的深度、该深度表示从根节点到状态点所经历的边的个数，β代表结束状态所能输出的最长的匹配串的长度；δ为状态转移函数。

作为本发明的进一步改进，构建DFA使用的是AC算法。

作为本发明的进一步改进，在所述步骤A中将对匹配串集中的各匹配串进行压缩包括如下步骤：

A1. 将匹配串集中的各匹配串的字节序列转换为位序列；

A2. 将位序列转换为字节序列，从而完成匹配串压缩的过程。

作为本发明的进一步改进，在所述步骤A2中，将位序列从第一个位开始以每8个位为一个单位转换为1个字节；将位序列中最后余下不足8个位的进行丢弃。

作为本发明的进一步改进，在所述步骤B中将数据包中的字符串经过压缩处理后生成新的字符串包括如下步骤：

B1. 将数据包中的字符串的字节序列转换为位序列；

B2. 将位序列转换为字节序列，从而生成新的字符串。

作为本发明的进一步改进，在所述步骤B2中，将位序列从第一个位开始以每8个位为一个单位转换为1个字节；将位序列中最后余下不足8个位的进行丢弃。

本发明的有益效果是：本发明在数据包检测时首先进行了一步不精确的匹配，这样就可以过滤掉一部分非攻击数据；只对未过滤掉的数据进行精确的匹配，从一部分非攻击数据和全部的攻击数据中精确的找到攻击的数据；通过这种方式，减少了一部分非攻击数据的进行匹配的时间，提高了效率。

附图说明

图1是本发明基于云系统的数据包检测方法的流程图。

图2是本发明基于云系统的数据包检测方法中匹配串进行压缩处理的流程图。

图3是本发明基于云系统的数据包检测方法中字符串进行压缩处理的流程图。

图4是本发明基于云系统的数据包检测方法中匹配串压缩原理图。

图5是本发明基于云系统的数据包检测方法中字符串输入至DFA中做匹配的原理示意图。

具体实施方式