本發(fā)明提供了一種面向并行數據流的深度包檢測方法，包括如下步驟：步驟101)構造DFA集，利用DFA最優(yōu)負載均衡算法，將正則規(guī)則庫中的正則表達式分配至DFA集中的若干個DFA，由此每個DFA包含一個正則規(guī)則子集；初始化DFA集的接收速率、緩存大小、數據隊列大小參數；步驟102)接收多路并行數據流并進行預處理；步驟103)為每個數據流增加DFA標志位，數據流按照其優(yōu)先級通過數據隊列進入DFA集進行檢測；步驟104)輸出數據流的檢測結果。本發(fā)明的方法利用多個DFA協(xié)同檢測數據流，并結合高效調度算法，大大提高了并行數據流的檢測速度。

技術領域

本發(fā)明涉及計算機網絡和深度包檢測技術，具體涉及一種面向并行數據流的深度包檢測方法及系統(tǒng)。

背景技術

隨著移動互聯(lián)時代的到來，網絡數據流量出現(xiàn)了指數爆炸式的增長。由此產生了網絡攻擊防范、網絡包內容安全等問題。為了解決這類問題，深度包檢測(DPI)技術應運而生。

深度包檢測技術是一種面向網絡數據的高速檢測方法，主要用于檢測網絡包的載荷字段內容。該技術在入侵防御系統(tǒng)(IPS)、入侵檢測系統(tǒng)(IDS)中被廣泛應用。傳統(tǒng)的檢測方法包括確定性有窮自動機(DFA)和非確定性有窮自動機(NFA)，這些方法是利用確定字串或者正則表達式形式的規(guī)則，進行多模匹配。然而，隨著網絡環(huán)境的復雜化以及網絡帶寬的日益增長，DFA方法和NFA方法不再適用。

NFA雖然內存占用小，但檢測速度低，不能適應高速網絡數據檢測的要求。而DFA雖然在檢測上是線性時間復雜度，但由于其空間復雜度存在指數爆炸的現(xiàn)象，不能應對目前龐大的規(guī)則特征庫的需求。目前許多系統(tǒng)從壓縮DFA的狀態(tài)空間和遷移邊空間出發(fā)，提出了許多有效的DFA改進方法；包括壓縮狀態(tài)遷移邊空間的CDFA、壓縮狀態(tài)空間的空間融合DFA、改進DFA整體運行機制的XFA和利用多個DFA構造MDFAs等方法。

然而，上述改進方法主要關注單個DFA面向單路數據流的檢測能力，沒有從并行數據流角度考慮整體檢測系統(tǒng)的構造，因此不能滿足數據流多并發(fā)的網絡特征。

發(fā)明內容

本發(fā)明的目的在于克服目前深度包檢測技術中沒有針對并行數據流的整體深度包檢測方法，利用多DFA自動機協(xié)同檢測，提出了一種面向并行數據流的深度包檢測方法。

為了實現(xiàn)上述目的，本發(fā)明提供了一種面向并行數據流的深度包檢測方法，所述方法包括如下步驟：

步驟101)構造DFA集，利用DFA最優(yōu)負載均衡算法，將規(guī)范化的正則規(guī)則庫中的正則表達式分配至DFA集中的若干個DFA中，由此每個DFA包含一個正則規(guī)則子集；并初始化DFA集的接收速率、緩存大小、數據隊列大小參數；

步驟102)接收多路并行數據流并進行預處理；

步驟103)為每個數據流增加DFA標志位，數據流按照其優(yōu)先級通過數據隊列進入DFA集進行檢測；

步驟104)輸出數據流的檢測結果。

上述技術方案中，所述步驟102)的預處理包括：對多路并行數據流進行整合，將可合并的數據流整合為一路數據流；為每個數據流生成數據流摘要信息。

上述技術方案中，所述步驟103)進一步包括：

步驟103-1)為接收到的每個數據流增加一個DFA標志位；

DFA標志位為{n,n≤N；集合：N-n個DFA編號}，其中N為DFA集中DFA的個數；DFA標志位初始值為：{0；(1,2,…N)}；

步驟103-2)按照優(yōu)先級將數據流發(fā)送至數據隊列；

步驟103-3)從數據隊列中取一個優(yōu)先級最高的待檢測數據流；