技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，更具體地，涉及一種面向?qū)崟r(shí)網(wǎng)絡(luò)數(shù)據(jù)流的高效事件匹配方法。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)、互聯(lián)網(wǎng)技術(shù)發(fā)展，網(wǎng)絡(luò)資源共享技術(shù)成熟，網(wǎng)絡(luò)安全問題已經(jīng)日益成為國家、國防及國民經(jīng)濟(jì)中重要問題。事件匹配算法作為深度包檢測中的重要關(guān)鍵技術(shù)，它主要通過掃描網(wǎng)絡(luò)中數(shù)據(jù)包，識(shí)別出與特征規(guī)則集匹配的數(shù)據(jù)包，從而實(shí)現(xiàn)實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)流量，檢查和阻止網(wǎng)絡(luò)功能，以保證日常網(wǎng)絡(luò)安全目的。當(dāng)前，實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流中事件匹配技術(shù)面臨著如下一些新的挑戰(zhàn)：(1)處理實(shí)時(shí)性。網(wǎng)絡(luò)帶寬和流量高速增長導(dǎo)致了網(wǎng)絡(luò)系統(tǒng)中需處理數(shù)據(jù)流量需求增大，實(shí)時(shí)處理大流量的網(wǎng)絡(luò)數(shù)據(jù)流要求網(wǎng)絡(luò)數(shù)據(jù)流處理中事件匹配算法具有快速匹配能力。(2)數(shù)據(jù)復(fù)雜性。由于傳統(tǒng)的精確字符串已無法精確描述當(dāng)前的網(wǎng)絡(luò)攻擊特征，需要提供更加精確和復(fù)雜的規(guī)則描述方法，從而增加數(shù)據(jù)復(fù)雜性。(3)種類規(guī)模性。目前網(wǎng)絡(luò)安全系統(tǒng)中需要關(guān)注的特征規(guī)則集增長迅速，己達(dá)到幾千乃至上萬種的規(guī)模，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)種類呈現(xiàn)大規(guī)模性。總之，隨著網(wǎng)絡(luò)中特征規(guī)則集的快速增長，網(wǎng)絡(luò)數(shù)據(jù)流呈現(xiàn)大流量性，復(fù)雜性和規(guī)模性特征。由于當(dāng)前基于實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)中事件匹配算法缺乏可伸縮性，無法適應(yīng)當(dāng)前的高速網(wǎng)絡(luò)匹配需求，急需開展一種基于實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)中高性事件匹配方法。

目前關(guān)于實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)中事件匹配方法主面研究，主要開展了有確定型有限自動(dòng)機(jī)(Deterministic?Finite?Automata，DFA)、非確定型有限自動(dòng)機(jī)(Nondeterministic?Finite?Automata，NFA)和基于擴(kuò)展有限自動(dòng)機(jī)(eXtended?Finite?Automaton，XFA))等方面相關(guān)方法研究。但由于DFA具有大的存儲(chǔ)空間和高的內(nèi)存開銷等缺點(diǎn)，NFA存在匹配速度慢等不足，因而限制它們廣泛在實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流中的匹配應(yīng)用。基于擴(kuò)展有限自動(dòng)機(jī)(eXtended?Finite?Automaton，XFA)方法，其作為當(dāng)前在的實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流中使用最為廣泛匹配方法，主要通過采用輔助變量替代額外DFA狀態(tài)去記錄部分匹配結(jié)果，并使用操作命令去檢查匹配是否成功，從而消除DFA狀態(tài)空間爆炸問題，達(dá)到顯著減少DFA中存儲(chǔ)空間目的，從而在一定程度上提升了其在實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流中匹配能力。但由于XFA存在冗余遷移邊的問題，不僅消耗巨大存儲(chǔ)空間，而且增加額外的存儲(chǔ)器訪問次數(shù)和匹配時(shí)間，從而限制了其廣泛使用。

發(fā)明內(nèi)容

本發(fā)明主要針對(duì)上述XFA方法在匹配實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流時(shí)存在高的內(nèi)存消耗，大的儲(chǔ)存空間和長的匹配時(shí)間等方面的問題，提出了一種面向?qū)崟r(shí)網(wǎng)絡(luò)數(shù)據(jù)流的高效事件匹配方法。該方法是通過在XFA的開始狀態(tài)邊上增加一些額外判斷命令，生成HFA(高效自動(dòng)機(jī))，以減少XFA中不必要遷移路徑和遷移狀態(tài)，從而實(shí)現(xiàn)改善XFA在匹配實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流時(shí)存在問題，改進(jìn)了當(dāng)前實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流上基于自動(dòng)機(jī)模式的事件檢測方法，對(duì)現(xiàn)有的事件檢測技術(shù)進(jìn)行擴(kuò)展，使其能夠比較高效地在海量實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流上完成事件匹配工作，大大提高了事件在實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流中匹配能力。

為實(shí)現(xiàn)上述目的，本發(fā)明采用了如下技術(shù)方案：

一種面向?qū)崟r(shí)網(wǎng)絡(luò)數(shù)據(jù)流的高效事件匹配方法，包括以下步驟：

S1.按照給定的事件模式匹配表達(dá)式建立相應(yīng)擴(kuò)展自動(dòng)機(jī)XFA，在XFA的開始狀態(tài)邊上通過增加判斷指今，減少XFA中不必要遷移路徑和遷移狀態(tài)，生成相應(yīng)的高效自動(dòng)機(jī)HFA；

S2.在HFA中初始化所有輔助變量Bit1為0；

S3.根據(jù)當(dāng)前開始狀態(tài)值，含有輔助變量的判斷命令和輸入特征值選擇下一步執(zhí)行路徑；

S4.根據(jù)當(dāng)前狀態(tài)值和輸入特征值確定下一步轉(zhuǎn)換狀態(tài)；

S5.當(dāng)匹配進(jìn)程達(dá)到部分預(yù)設(shè)目標(biāo)時(shí)，設(shè)置輔助變量Bit1為1去記錄當(dāng)前匹配狀態(tài)；當(dāng)匹配進(jìn)程完全達(dá)到模式表達(dá)式全部預(yù)設(shè)目標(biāo)時(shí)，將執(zhí)行相應(yīng)的匹配完成操作并更新相應(yīng)的輔助變量Bit1為0，否則重復(fù)進(jìn)行步驟S3，S4的操作，直到匹配工作結(jié)束；

S6.從匹配進(jìn)程中讀取相應(yīng)的匹配結(jié)果。

在步驟S1中首先需要根據(jù)事件模式匹配表達(dá)式先建立相對(duì)應(yīng)的XFA，然后再通過通過增加判斷指今，減少XFA中不必要遷移路徑和遷移狀態(tài)，生成相應(yīng)的HFA。

在步驟S2中，匹配開始前需要初始化輔助變量Bit1為0，以滿足接下來路徑選擇和轉(zhuǎn)換狀態(tài)選擇操作。

在步驟S3中，下一步執(zhí)行路徑的選擇需要同時(shí)依據(jù)當(dāng)前開始狀態(tài)值，含有輔助變量判斷命令和輸入特征值三者值共同確定。

在步驟S4中，下一步轉(zhuǎn)換狀態(tài)的選擇需要同時(shí)根據(jù)當(dāng)前狀態(tài)值和輸入特征值兩者值共同確定。