技術領域

本發(fā)明涉及網(wǎng)絡安全領域，更具體地，涉及一種面向實時網(wǎng)絡數(shù)據(jù)流的高效事件匹配方法。

背景技術

隨著計算機技術、互聯(lián)網(wǎng)技術發(fā)展，網(wǎng)絡資源共享技術成熟，網(wǎng)絡安全問題已經(jīng)日益成為國家、國防及國民經(jīng)濟中重要問題。事件匹配算法作為深度包檢測中的重要關鍵技術，它主要通過掃描網(wǎng)絡中數(shù)據(jù)包，識別出與特征規(guī)則集匹配的數(shù)據(jù)包，從而實現(xiàn)實時監(jiān)測網(wǎng)絡流量，檢查和阻止網(wǎng)絡功能，以保證日常網(wǎng)絡安全目的。當前，實時網(wǎng)絡數(shù)據(jù)流中事件匹配技術面臨著如下一些新的挑戰(zhàn)：(1)處理實時性。網(wǎng)絡帶寬和流量高速增長導致了網(wǎng)絡系統(tǒng)中需處理數(shù)據(jù)流量需求增大，實時處理大流量的網(wǎng)絡數(shù)據(jù)流要求網(wǎng)絡數(shù)據(jù)流處理中事件匹配算法具有快速匹配能力。(2)數(shù)據(jù)復雜性。由于傳統(tǒng)的精確字符串已無法精確描述當前的網(wǎng)絡攻擊特征，需要提供更加精確和復雜的規(guī)則描述方法，從而增加數(shù)據(jù)復雜性。(3)種類規(guī)模性。目前網(wǎng)絡安全系統(tǒng)中需要關注的特征規(guī)則集增長迅速，己達到幾千乃至上萬種的規(guī)模，導致網(wǎng)絡中數(shù)據(jù)種類呈現(xiàn)大規(guī)模性。總之，隨著網(wǎng)絡中特征規(guī)則集的快速增長，網(wǎng)絡數(shù)據(jù)流呈現(xiàn)大流量性，復雜性和規(guī)模性特征。由于當前基于實時網(wǎng)絡數(shù)據(jù)中事件匹配算法缺乏可伸縮性，無法適應當前的高速網(wǎng)絡匹配需求，急需開展一種基于實時網(wǎng)絡數(shù)據(jù)中高性事件匹配方法。

目前關于實時網(wǎng)絡數(shù)據(jù)中事件匹配方法主面研究，主要開展了有確定型有限自動機(Deterministic?Finite?Automata，DFA)、非確定型有限自動機(Nondeterministic?Finite?Automata，NFA)和基于擴展有限自動機(eXtended?Finite?Automaton，XFA))等方面相關方法研究。但由于DFA具有大的存儲空間和高的內存開銷等缺點，NFA存在匹配速度慢等不足，因而限制它們廣泛在實時網(wǎng)絡數(shù)據(jù)流中的匹配應用。基于擴展有限自動機(eXtended?Finite?Automaton，XFA)方法，其作為當前在的實時網(wǎng)絡數(shù)據(jù)流中使用最為廣泛匹配方法，主要通過采用輔助變量替代額外DFA狀態(tài)去記錄部分匹配結果，并使用操作命令去檢查匹配是否成功，從而消除DFA狀態(tài)空間爆炸問題，達到顯著減少DFA中存儲空間目的，從而在一定程度上提升了其在實時網(wǎng)絡數(shù)據(jù)流中匹配能力。但由于XFA存在冗余遷移邊的問題，不僅消耗巨大存儲空間，而且增加額外的存儲器訪問次數(shù)和匹配時間，從而限制了其廣泛使用。

發(fā)明內容

本發(fā)明主要針對上述XFA方法在匹配實時網(wǎng)絡數(shù)據(jù)流時存在高的內存消耗，大的儲存空間和長的匹配時間等方面的問題，提出了一種面向實時網(wǎng)絡數(shù)據(jù)流的高效事件匹配方法。該方法是通過在XFA的開始狀態(tài)邊上增加一些額外判斷命令，生成HFA(高效自動機)，以減少XFA中不必要遷移路徑和遷移狀態(tài)，從而實現(xiàn)改善XFA在匹配實時網(wǎng)絡數(shù)據(jù)流時存在問題，改進了當前實時網(wǎng)絡數(shù)據(jù)流上基于自動機模式的事件檢測方法，對現(xiàn)有的事件檢測技術進行擴展，使其能夠比較高效地在海量實時網(wǎng)絡數(shù)據(jù)流上完成事件匹配工作，大大提高了事件在實時網(wǎng)絡數(shù)據(jù)流中匹配能力。

為實現(xiàn)上述目的，本發(fā)明采用了如下技術方案：

一種面向實時網(wǎng)絡數(shù)據(jù)流的高效事件匹配方法，包括以下步驟：

S1.按照給定的事件模式匹配表達式建立相應擴展自動機XFA，在XFA的開始狀態(tài)邊上通過增加判斷指今，減少XFA中不必要遷移路徑和遷移狀態(tài)，生成相應的高效自動機HFA；

S2.在HFA中初始化所有輔助變量Bit1為0；

S3.根據(jù)當前開始狀態(tài)值，含有輔助變量的判斷命令和輸入特征值選擇下一步執(zhí)行路徑；

S4.根據(jù)當前狀態(tài)值和輸入特征值確定下一步轉換狀態(tài)；

S5.當匹配進程達到部分預設目標時，設置輔助變量Bit1為1去記錄當前匹配狀態(tài)；當匹配進程完全達到模式表達式全部預設目標時，將執(zhí)行相應的匹配完成操作并更新相應的輔助變量Bit1為0，否則重復進行步驟S3，S4的操作，直到匹配工作結束；

S6.從匹配進程中讀取相應的匹配結果。

在步驟S1中首先需要根據(jù)事件模式匹配表達式先建立相對應的XFA，然后再通過通過增加判斷指今，減少XFA中不必要遷移路徑和遷移狀態(tài)，生成相應的HFA。

在步驟S2中，匹配開始前需要初始化輔助變量Bit1為0，以滿足接下來路徑選擇和轉換狀態(tài)選擇操作。

在步驟S3中，下一步執(zhí)行路徑的選擇需要同時依據(jù)當前開始狀態(tài)值，含有輔助變量判斷命令和輸入特征值三者值共同確定。

在步驟S4中，下一步轉換狀態(tài)的選擇需要同時根據(jù)當前狀態(tài)值和輸入特征值兩者值共同確定。