[发明专利]网络包检测方法及装置

说明书

本发明实施例提供一种网络包检测方法及装置，方法包括：获取待检测网络包；将所述待检测网络包输入预先构建的更新后NFA状态关系网进行检测获得检测结果，其中所述更新后NFA状态关系网为对原始NFA状态关系网进行跳转关系更新处理后得到的。本发明实施例提供的一种网络包检测方法，通过对NFA状态关系网进行跳转关系更新处理，从而减少NFA状态关系网内的跳转状态，提高内存空间利用率，使得输入的网络包的字符的有效跳转状态减少，加快对网络包的检测匹配速度，达到及时对网络包进行安全检测的目的。

技术领域

本发明涉及文本搜索技术领域，尤其涉及一种网络包检测方法及装置。

背景技术

在网络包检测技术领域中，需要对网络包中的字符进行搜索匹配，以达到对网络包的安全判断。一般采用正则表达式匹配，先将正则表达式编译为NFA(非确定有穷自动机)。然后，如果内存空间和执行时间允许，再将NFA转换为DFA(确定有穷自动机)。最后，根据匹配模式(“子串搜索”和“全文匹配”)，执行匹配任务。但目前进行字符串匹配处理时，匹配速度较慢，无法实现快速完成对网络包的安全检测。

发明内容

针对现有技术存在的问题，本发明实施例提供一种网络包检测方法及装置。

第一方面，本发明实施例提供一种网络包检测方法，包括：

获取待检测网络包；

将所述待检测网络包输入预先构建的更新后NFA状态关系网进行检测获得检测结果，其中所述更新后NFA状态关系网为对原始NFA状态关系网进行跳转关系更新处理后得到的。

进一步地，所述更新后NFA状态关系网的获取步骤包括：

获取用于进行检测的多个正则表达式，将多个正则表达式进行编译获得对应的NFA状态关系式；

根据所述NFA状态关系式生成原始NFA状态关系网；

对所述原始NFA状态关系网进行跳转关系更新处理，获得更新后的NFA状态关系网。

进一步地，对所述原始NFA状态关系网进行跳转关系更新处理，获得更新后的NFA状态关系网，包括：

获取各个NFA状态关系式的头部状态信息和尾部状态信息，所述头部状态信息和尾部状态信息均包括输入边列表和输出边列表；

根据各个NFA状态关系式的头部状态信息和尾部状态信息对NFA状态关系网进行跳转关系更新处理，获得更新后的NFA状态关系网。

进一步地，所述根据各个NFA状态关系式的头部状态信息和尾部状态信息对NFA状态关系网进行跳转关系更新处理，获得更新后的NFA状态关系网，包括：

根据各个NFA状态关系式的头部状态信息和尾部状态信息对NFA状态关系网进行连接构造更新，和/或，或构造更新，和/或，闭包构造更新，获得更新后的NFA状态关系网，其中所述连接构造更新为根据各个NFA状态关系式的头部状态信息和尾部状态信息对各个NFA状态关系式间的连接操作进行的优化；所述或构造更新为根据各个NFA状态关系式的头部状态信息和尾部状态信息对各个NFA状态关系式间的或操作进行的优化；所述闭包构造更新为根据各个NFA状态关系式的头部状态信息和尾部状态信息对各个NFA状态关系式间的闭包操作进行的优化。

进一步地，根据各个NFA状态关系式的头部状态信息和尾部状态信息对NFA状态关系网进行连接构造更新，包括：

从各个NFA状态关系式确定相邻的两个NFA状态关系式，配置为当前NFA状态关系式和下一个NFA状态关系式；

确定当前NFA状态关系式为非空，若下一个NFA状态关系式的头部状态信息不存在输入边，则将当前NFA状态关系式的尾部状态信息与下一个NFA状态关系式的头部状态信息合并；