技術領域

本發明涉及網絡安全領域，特別涉及一種亂序數據包流免重組多模式匹配方法。?

背景技術

隨著網絡通信流量的迅速增長，安全防御產品的性能變得更加重要。通常有兩種方法檢測安全威脅：模式匹配和統計分析。前一種方法采用一組相對固定的模式集合，然后對于符合某些特征的網絡字節流發出警報或主動攔截；而后一種方法常常通過采集網絡協議包頭的統計信息并將其與已知的攻擊或者安全狀態進行比較，來發現或者感知攻擊。Fisk等人在2003年的研究結果已經表明，類似的入侵監測系統的性能，主要取決于采用的匹配數據包和特征模式的內容匹配算法的性能，例如Snort?2.0采用了一個改進的內容匹配算法，其性能提升到了原來的500％。?

在傳統的電路交換網絡中并不存在數據包亂序的問題，隨著數據包交換網絡的發展，這個問題變得越來越重要。對于數據包非亂序到達的情況，目前模式匹配已有許多高效的算法，如單模式匹配算法KMP和Boyer-Moore，多模式匹配算法有Aho-Corasick、Wu-Manber、MWM(Snort系統中默認使用的檢測算法)等。亂序數據包流的多模式匹配是在TCP/IP網絡通信的數據流中進行動態內容查找的關鍵技術，網絡通信安全防御(如UTM、防火墻、入侵檢測與防御系統)中的惡意代碼檢測、惡意行為檢測、不良內容檢測及病毒檢測等功能的實現都依賴該技術。但對于亂序數據包流的模式匹配，目前尚無權威的算法，一般的方法仍然是先進性數據包重組(或者部分重組)，即緩沖后續的亂序數據包，再調用有序數據包的模式匹配算法進行檢測。此方法需要極大的緩沖空間，在最壞的情況下，緩沖高速到達的亂序數據包會使所需的存儲空間持續增加，由于網絡速度的高速發展，這個問題尤其顯得突出。而且，在一個網絡通信連接里，由于通信數據流被拆分成多個部分分別封裝在多個不同的數據包中，而DPI(Deep?Packet?Inspection)要求對一系列連續的數據包頭部和負載傳輸進行?應用級語義檢測，故以數據包為檢測單位無法檢測出整個特征。?

發明內容

本發明的目的在于克服現有技術的缺點與不足，提供一種亂序數據包流免重組多模式匹配方法，該方法檢測亂序數據包邊緣的字節序列以發現跨數據包的模式，并以正則表達式作為模式語言，進一步減少了需要存貯的邊緣模式碎片的長度，顯著地降低了存儲空間要求。?

為了達到上述目的，本發明采用以下技術方案：?

(1)采用KMP算法對模式進行了預處理，為了要檢測亂序數據包首尾兩端是否存在特征碼片段，要針對數據包前端部分和后端部分分別進行預處理，其具體方法如下：?

(1.1)掃描數據包前端部分時需要從右往左；?

(1.2)掃描末端部分時則相反從左往右。?

(2)在對模式進行了預處理后，對亂序數據包首尾的邊緣字節進行掃描。?

(2.1)針對數據包前端部分進行掃描時，掃描的長度為模式長度-1，從右往左掃描，當掃描到數據包第一個字母且此時模式的已匹配數不為0，那么就代表發現了特征碼的片斷，并馬上利用區間樹把特征碼的類型和長度記錄下來。?

(2.2)針對數據包的末端部分進行掃描時，要掃描的部分就是MWM算法沒有處理的末端部分；當掃描到數據包的最后一個字母且此時模式的已匹配數不為0，那么就利用區間樹把特征碼的類型和長度記錄下來。?

(3)利用區間樹保存特征碼片斷和進行模式匹配。?

(3.1)區間樹是一種二叉搜索樹，它將一個區間劃分成一些單元區間，每個單元區間對應線段樹中的一個葉結點。?

(3.2)區間樹用于保存數據包可能含有的病毒特征碼片斷的信息，在插入操作時，根據數據包對應的區間的范圍和它所屬的TCP流插入到對應的區間樹里面。?

(3.3)在插入區間樹的節點時，如果數據包特征碼片斷的長度相加的結果等于病毒特征碼的長度，就代表該TCP流有病毒，發出警報；如果數據包特征碼片段的長度相加的結果與病毒特征碼的長度不相等，則不做任何提示。?

(3.4)為了減少內存的消耗，設定一個時間限制，每隔一定時間，就釋放區間樹一部分結點；如果該TCP中沒有發現病毒特征碼，就釋放該TCP流的所?有空間。?

本發明相對于現有技術具有如下的優點及效果：?

1、本發明以正則表達式作為模式語言，減少了需要存貯的邊緣模式碎片的長度，與緩沖所有的亂序數據包相比，該方法使用了更少的存貯空間，該方法用來處理高速網絡亂序流是切實可行的。?