[发明专利]一种基于有限自动机的深度报文检测方法

权利要求书

1.一种基于有限自动机的深度报文检测方法，其特征在于，包括步骤：

S1.系统初始化阶段，CPU将所有默认配置通过下指令的方式写入三级存储器；其中，第一级存储器存储所有违规字符串的前两个字符，第二级存储器存储所有违规字符串所包括的字符，第三级存储器存储违规字符串经过哈希计算后对应的值和所属的违规集合编号；

S2.根据预设配置将输入的数据包分解为多个连续的字符串，每个字符串内包括多个文本信息片段，并标明每一个文本信息片段所属的违规集合；

S3.利用确定有限自动机匀速检测数据包中的文本信息片段，并通过查询三级存储器得到所述文本信息片段所属的违规集合；

S4.将检测到的所有违规集合的编号，以集合的形式封装成新的数据包，将新的数据包发送到不确定的有限自动机；

S5.通过预先设置的检测规则，判断当前数据包中包含的多种违规集合编号是否允许共存在同一数据包中，若是，正常转发；若否，进行丢期或其他处理。

2.如权利要求1所述的基于有限自动机的深度报文检测方法，其特征在于：所述第一级存储器以26个字母交叉索引作为地址项，每一条地址所对应的存储内容为：以该字母为首字母的违规字符串在第二级存储器中的起始地址。

3.如权利要求1所述的基于有限自动机的深度报文检测方法，其特征在于：所述第二级存储器中每个地址都配置了64个字节的存储内容。

4.如权利要求1所述的基于有限自动机的深度报文检测方法，其特征在于：所述S2中，每个字符串的大小不超过10个字节，每个文本信息片段是每个字符串中一个字符或几个连续的字符，所述文本信息片段分别归属于32个违规集合，且每个文本信息片段也不超过10个字节。

5.如权利要求1所述的基于有限自动机的深度报文检测方法，其特征在于：所述有限自动机匀的检测速度为1Gbps。

6.如权利要求1所述的基于有限自动机的深度报文检测方法，其特征在于：在上述步骤中，管理员的配置命令随时编译成指令，交给CPU对相应地址的各级存储器进行配置。

7.如权利要求1所述的基于有限自动机的深度报文检测方法，其特征在于：所述每个存储器在统一始终周期内，只能接收一个对象的一次查询；设计状态跳转时序，保证两个不同字符串的查询操作不会影响对方。

8.如权利要求7所述的基于有限自动机的深度报文检测方法，其特征在于：所述状态跳转时序，对于两个不同字符串的查询，两者查询操作的时钟周期间隔交叉设置。