專利名稱:基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)包檢測(cè)方法�����,尤其涉及基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法���。
背景技術(shù):
深度包檢測(cè)源于顯式字符串匹配方法����,即從目標(biāo)數(shù)據(jù)序列中匹配已有的字符串序列,而隨著顯式字符串逐漸被正則表達(dá)式所代替�,基于有限狀態(tài)機(jī)進(jìn)行目標(biāo)特征匹配成為深度包檢測(cè)的主要形式。現(xiàn)有的研究可以將深度包檢測(cè)技術(shù)大體上分為三類基于啟發(fā)式的字符串匹配算法��;基于過濾器的匹配算法�����;基于狀態(tài)機(jī)的匹配算法��。I��、基于啟發(fā)式的字符串匹配算法主要使用BM算法���、WM算法以及它們的各種改進(jìn)算法等?�!?br>
2�、基于過濾器的匹配算法主要應(yīng)用如bloom filter的過濾器來進(jìn)行匹配。3�����、基于狀態(tài)機(jī)的匹配算法由于其多模式匹配特性、快速的處理速度��、與正則表達(dá)式的完美兼容��,逐漸成為現(xiàn)在研究最熱的匹配算法���。以攻擊檢測(cè)為例來說����,現(xiàn)在的研究當(dāng)中�,用算法進(jìn)行深度包檢測(cè)時(shí)都是將數(shù)據(jù)包與模式串進(jìn)行了一次匹配,然后根據(jù)與模式串匹配與否來進(jìn)行攻擊發(fā)生與否的判定��。這樣的包檢測(cè)�����,使得大量的非攻擊的數(shù)據(jù)包也進(jìn)行了每個(gè)byte的匹配���,這樣就會(huì)浪費(fèi)大量的時(shí)間用在非攻擊數(shù)據(jù)包的檢測(cè)中�,不利于時(shí)間效率的提升��。
發(fā)明內(nèi)容
為了解決現(xiàn)有技術(shù)中的問題����,本發(fā)明提供了一種基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法����。本發(fā)明提供了一種基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法�����,包括如下步驟
A.對(duì)匹配串集中的各匹配串進(jìn)行壓縮��,并且將壓縮后的匹配串集構(gòu)建出一個(gè)用于模式匹配的DFA ��;
B.將數(shù)據(jù)包中的字符串經(jīng)過壓縮處理后生成新的字符串����,將新的字符串輸入至所述DFA中做匹配;
C.將未經(jīng)過濾的數(shù)據(jù)分類���,再根據(jù)分類的結(jié)果選擇適合的匹配串進(jìn)行精確的匹配。作為本發(fā)明的進(jìn)一步改進(jìn)�,所述DFA具有五元組{Q ( α,β )�,Σ,α0�����,δ,A}�,其中Q為狀態(tài)點(diǎn)集合;Σ為字符表��;q0為初始狀態(tài)點(diǎn)�;A ( α,β )為終止?fàn)顟B(tài)點(diǎn),其中α代表結(jié)束狀態(tài)的深度�����、該深度表示從根節(jié)點(diǎn)到狀態(tài)點(diǎn)所經(jīng)歷的邊的個(gè)數(shù)�,β代表結(jié)束狀態(tài)所能輸出的最長(zhǎng)的匹配串的長(zhǎng)度;S為狀態(tài)轉(zhuǎn)移函數(shù)�����。作為本發(fā)明的進(jìn)一步改進(jìn)����,構(gòu)建DFA使用的是AC算法。作為本發(fā)明的進(jìn)一步改進(jìn)��,在所述步驟A中將對(duì)匹配串集中的各匹配串進(jìn)行壓縮包括如下步驟
Al.將匹配串集中的各匹配串的字節(jié)序列轉(zhuǎn)換為位序列���;
Α2.將位序列轉(zhuǎn)換為字節(jié)序列�,從而完成匹配串壓縮的過程。作為本發(fā)明的進(jìn)一步改進(jìn)����,在所述步驟Α2中,將位序列從第一個(gè)位開始以每8個(gè)位為一個(gè)單位轉(zhuǎn)換為I個(gè)字節(jié)��;將位序列中最后余下不足8個(gè)位的進(jìn)行丟棄�。作為本發(fā)明的進(jìn)一步改進(jìn),在所述步驟B中將數(shù)據(jù)包中的字符串經(jīng)過壓縮處理后生成新的字符串包括如下步驟
BI.將數(shù)據(jù)包中的字符串的字節(jié)序列轉(zhuǎn)換為位序列�����;
B2.將位序列轉(zhuǎn)換為字節(jié)序列 ����,從而生成新的字符串。作為本發(fā)明的進(jìn)一步改進(jìn)����,在所述步驟B2中,將位序列從第一個(gè)位開始以每8個(gè)位為一個(gè)單位轉(zhuǎn)換為I個(gè)字節(jié)���;將位序列中最后余下不足8個(gè)位的進(jìn)行丟棄����。本發(fā)明的有益效果是本發(fā)明在數(shù)據(jù)包檢測(cè)時(shí)首先進(jìn)行了一步不精確的匹配��,這樣就可以過濾掉一部分非攻擊數(shù)據(jù)�;只對(duì)未過濾掉的數(shù)據(jù)進(jìn)行精確的匹配,從一部分非攻擊數(shù)據(jù)和全部的攻擊數(shù)據(jù)中精確的找到攻擊的數(shù)據(jù)�����;通過這種方式�����,減少了一部分非攻擊數(shù)據(jù)的進(jìn)行匹配的時(shí)間�����,提高了效率����。
圖I是本發(fā)明基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法的流程圖。圖2是本發(fā)明基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法中匹配串進(jìn)行壓縮處理的流程圖�����。圖3是本發(fā)明基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法中字符串進(jìn)行壓縮處理的流程圖。圖4是本發(fā)明基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法中匹配串壓縮原理圖����。圖5是本發(fā)明基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法中字符串輸入至DFA中做匹配的原理示意圖。
具體實(shí)施例方式如圖I所示���,本發(fā)明公開了一種基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法��,包括步驟SI至步驟S3��。在步驟SI中�����,對(duì)匹配串集中的各匹配串進(jìn)行壓縮�,并且將壓縮后的匹配串集構(gòu)建出一個(gè)用于模式匹配的DFA����。在步驟S2中,將數(shù)據(jù)包中的字符串經(jīng)過壓縮處理后生成新的字符串����,將新的字符串輸入至所述DFA中做匹配。在步驟S3中,將未經(jīng)過濾的數(shù)據(jù)分類���,再根據(jù)分類的結(jié)果選擇適合的匹配串進(jìn)行精確的匹配。本發(fā)明所述的基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法主要應(yīng)用于云系統(tǒng)的網(wǎng)關(guān)上��。在步驟SI中����,壓縮匹配串信息,減少匹配串長(zhǎng)度��。步驟S2中�,在DFA的匹配當(dāng)中,由于匹配串(pattern)是被壓縮(reducefunction)過的�,對(duì)于原始的輸入串來說,這次的匹配就是一個(gè)不精確的匹配�;所以將會(huì)有部分的非攻擊信息被過濾掉,另一部分的非攻擊信息將會(huì)隨同攻擊數(shù)據(jù)進(jìn)入到精確查找的模塊當(dāng)中進(jìn)行進(jìn)一步的精確查找�,這時(shí)候可以根據(jù)模糊匹配的分類結(jié)果選擇適當(dāng)?shù)钠ヅ浯?pattern)進(jìn)行精確的查找。如圖2所示�����,在所述步驟SI中將對(duì)匹配串集中的各匹配串進(jìn)行壓縮包括步驟Ql和步驟Q2����。在步驟Ql中��,將匹配串集中的各匹配串的字節(jié)序列轉(zhuǎn)換為位序列��。在步驟Q2中����,將位序列轉(zhuǎn)換為字節(jié)序列�����,從而完成匹配串壓縮的過程����;將位序列從第一個(gè)位開始以每8個(gè)位為一個(gè)單位轉(zhuǎn)換為I個(gè)字節(jié);將位序列中最后余下不足8個(gè)位的進(jìn)行丟棄��。如圖3所示����,在所述步驟S2中將數(shù)據(jù)包中的字符串經(jīng)過壓縮處理后生成新的字符串包括步驟Wl和步驟W2。在步驟Wl中����,將數(shù)據(jù)包中的字符串的字節(jié)序列轉(zhuǎn)換為位序列。在步驟W2中,將位序列轉(zhuǎn)換為字節(jié)序列���,從而生成新的字符串����;將位序列從第一個(gè)位開始以每8個(gè)位為一個(gè)單位轉(zhuǎn)換為I個(gè)字節(jié)�����;將位序列中最后余下不足8個(gè)位的進(jìn)行丟棄�����。由于在步驟SI和步驟S2中�����,匹配串(pattern)經(jīng)過壓縮(reduce function)處理���,所以當(dāng)輸入字符串(input string)經(jīng)過這些匹配串(pattern)進(jìn)行查找時(shí)能夠快速的完成一次全部匹配、即完成模糊匹配���;從而過濾部分正常數(shù)據(jù)�,只對(duì)部分的正常數(shù)據(jù)及全部的攻擊數(shù)據(jù)進(jìn)行下一步的精確匹配,所以減少了精確匹配的時(shí)間��。在步驟S3中���,根據(jù)前面的模糊匹配結(jié)果���,可以將過濾后的數(shù)據(jù)信息進(jìn)行分類,再將分類后的信息各自選擇一些適合的匹配串及合適的匹配算法進(jìn)行精確匹配��,找出攻擊數(shù)據(jù)��。該輸入字符串(input string)就是步驟S2中數(shù)據(jù)包中的字符串�����。在步驟S2中的壓縮處理與步驟SI中的壓縮采用相同的方法�。下面僅以步驟SI中的壓縮方法進(jìn)行舉例說明匹配串(pattern)的每個(gè)字節(jié)(byte)轉(zhuǎn)換為對(duì)應(yīng)的δ個(gè)位(bits),然后再以8個(gè)位(bits)單位重新轉(zhuǎn)換為I個(gè)字節(jié)(byte)。從而起到壓縮(reduce function)匹配串集(pattern set)信息的作用����。在匹配串處理模塊中,經(jīng)過壓縮(reducefunction)處理后的匹配串集(pattern set)將生成一個(gè)DFA����。而在輸入串查找模塊,經(jīng)過 壓縮(reduce function)后的字符串被輸入到生成的DFA中做匹配�����。在這里為了保證匹配串(pattern)的壓縮性�����,η可以取1���、2、4�����。其算法步驟如下
我們定義匹配串集(pattern set) 為卩{
P1, P2, Pa.,...…Pb, P3 }�����,其中P:(i = 1,2 ,n)表示一個(gè)匹配串(pattern), R1Pi2Pi3.,.…Piai表
示巧的m個(gè)字節(jié)(byte)�����。b:1b=bi3……bsm表示!^經(jīng)過壓縮轉(zhuǎn)換為位序列(bit sequence)���。
在匹配串集(pattern set)處理開始時(shí)首先將P中的每一個(gè)元素^經(jīng)過壓縮進(jìn)行處理���。由壓縮的變換規(guī)則如下(這里我們以S等于I為例)
權(quán)利要求
1.一種基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法,其特征在于�,包括如下步驟 A.對(duì)匹配串集中的各匹配串進(jìn)行壓縮,并且將壓縮后的匹配串集構(gòu)建出一個(gè)用于模式匹配的DFA ���; B.將數(shù)據(jù)包中的字符串經(jīng)過壓縮處理后生成新的字符串���,將新的字符串輸入至所述DFA中做匹配; C.將未經(jīng)過濾的數(shù)據(jù)分類�,再根據(jù)分類的結(jié)果選擇適合的匹配串進(jìn)行精確的匹配。
2.根據(jù)權(quán)利要求I所述的數(shù)據(jù)包檢測(cè)方法�,其特征在于所述DFA具有五元組{Q(α,β )���,Σ���,qO,δ�����,A}���,其中Q為狀態(tài)點(diǎn)集合���;Σ為字符表�����;q0為初始狀態(tài)點(diǎn)���;A ( α,β )為終止?fàn)顟B(tài)點(diǎn)���,其中α代表結(jié)束狀態(tài)的深度���、該深度表示從根節(jié)點(diǎn)到狀態(tài)點(diǎn)所經(jīng)歷的邊的個(gè)數(shù)�����,β代表結(jié)束狀態(tài)所能輸出的最長(zhǎng)的匹配串的長(zhǎng)度��;S為狀態(tài)轉(zhuǎn)移函數(shù)�����。
3.根據(jù)權(quán)利要求2所述的數(shù)據(jù)包檢測(cè)方法,其特征在于構(gòu)建DFA使用的是AC算法�����。
4.根據(jù)權(quán)利要求I至3任一項(xiàng)所述的數(shù)據(jù)包檢測(cè)方法���,其特征在于�,在所述步驟A中將對(duì)匹配串集中的各匹配串進(jìn)行壓縮包括如下步驟 Al.將匹配串集中的各匹配串的字節(jié)序列轉(zhuǎn)換為位序列�; Α2.將位序列轉(zhuǎn)換為字節(jié)序列,從而完成匹配串壓縮的過程���。
5.根據(jù)權(quán)利要求4所述的數(shù)據(jù)包檢測(cè)方法�����,其特征在于�,在所述步驟Α2中����,將位序列從第一個(gè)位開始以每8個(gè)位為一個(gè)單位轉(zhuǎn)換為I個(gè)字節(jié);將位序列中最后余下不足8個(gè)位的進(jìn)行丟棄�����。
6.根據(jù)權(quán)利要求I至3任一項(xiàng)所述的數(shù)據(jù)包檢測(cè)方法,其特征在于����,在所述步驟B中將數(shù)據(jù)包中的字符串經(jīng)過壓縮處理后生成新的字符串包括如下步驟 BI.將數(shù)據(jù)包中的字符串的字節(jié)序列轉(zhuǎn)換為位序列; Β2.將位序列轉(zhuǎn)換為字節(jié)序列���,從而生成新的字符串��。
7.根據(jù)權(quán)利要求6所述的數(shù)據(jù)包檢測(cè)方法���,其特征在于,在所述步驟Β2中�,將位序列從第一個(gè)位開始以每8個(gè)位為一個(gè)單位轉(zhuǎn)換為I個(gè)字節(jié);將位序列中最后余下不足8個(gè)位的進(jìn)行丟棄����。
全文摘要
本發(fā)明提供了一種基于云系統(tǒng)的數(shù)據(jù)包檢測(cè)方法,包括如下步驟A.對(duì)匹配串集中的各匹配串進(jìn)行壓縮��,并且將壓縮后的匹配串集構(gòu)建出一個(gè)用于模式匹配的DFA�;B.將數(shù)據(jù)包中的字符串經(jīng)過壓縮處理后生成新的字符串��,將新的字符串輸入至所述DFA中做匹配�����;C.將未經(jīng)過濾的數(shù)據(jù)分類,再根據(jù)分類的結(jié)果選擇適合的匹配串進(jìn)行精確的匹配�。本發(fā)明的有益效果是本發(fā)明在數(shù)據(jù)包檢測(cè)時(shí)首先進(jìn)行了一步不精確的匹配,這樣就可以過濾掉一部分非攻擊數(shù)據(jù)��;只對(duì)未過濾掉的數(shù)據(jù)進(jìn)行精確的匹配�����,從一部分非攻擊數(shù)據(jù)和全部的攻擊數(shù)據(jù)中精確的找到攻擊的數(shù)據(jù)��;通過這種方式��,減少了一部分非攻擊數(shù)據(jù)的進(jìn)行匹配的時(shí)間�,提高了效率。
文檔編號(hào)H04L29/06GK102904951SQ20121038700
公開日2013年1月30日 申請(qǐng)日期2012年10月12日 優(yōu)先權(quán)日2012年10月12日
發(fā)明者曾國(guó)坤, 潘正祥, 王海強(qiáng) 申請(qǐng)人:哈爾濱工業(yè)大學(xué)深圳研究生院