使用部分确定性有限自动模式匹配来进行网络攻击检测制造技术

本发明专利技术提供了一种用于确定网络流量是否包含一个或多个计算机安全威胁的技术。为了确定符号流是否符合符号模式，安全装置保存完全确定性有限自动机（ｆＤＦＡ），其接受符合符号模式的符号流。该安全装置还生成部分确定性有限自动机（ｐＤＦＡ），其包括对应于ｆＤＦＡ中具有最高访问级的节点的节点。该安全装置使用ｐＤＦＡ处理符号流中的每个符号，直到一个符号导致ｐＤＦＡ转换至失败节点或正在接受的节点。如果该符号导致ｐＤＦＡ转换至失败节点，则安全装置使用ｆＤＦＡ处理该符号以及在符号流中的后续符号。

【技术实现步骤摘要】

【技术保护点】
一种方法，包括：存储一组完全确定性有限自动机（ｆＤＦＡ）节点，其中，ｆＤＦＡ节点表示完全确定性有限自动机ｆＤＦＡ，其接受符合符号模式的符号流；生成一组ｐＤＦＡ节点，其中，所述ｐＤＦＡ节点表示部分确定性有限自动机（ｐＤＦＡ），其中，每个所述ｐＤＦＡ节点在ｆＤＦＡ节点中都具有对应的、超越访问阈的访问级的节点，其中，当所述ｆＤＦＡ节点中所对应的节点规定了符号向所述ｆＤＦＡ节点中的具有不超越所述访问阈的访问级的节点转换时，所述ｐＤＦＡ节点中的每个节点都规定所述符号向ｐＤＦＡ节点中的失败节点的转换；接收符号流中的符号；以及使用所述ｐＤＦＡ节点和所述ｆＤＦＡ节点来检测计算机安全威胁。

【技术特征摘要】
...

【专利技术属性】
技术研发人员：马庆鸣，布赖恩伯恩斯，克里希纳纳拉亚纳斯瓦米，维平拉瓦特，迈克尔君希霍，
申请(专利权)人：丛林网络公司，
类型：发明
国别省市：US[美国]