The invention relates to a matching method of complete state tree matching in complete parallel integer, pattern matching and generic, matching integer value, which is used for a computer or network intrusion monitoring, auditing and other methods based on monitoring data. The steps of the method of the invention are steps of reading an integer definition mode, generating a state tree, steps for reading data, steps for pattern matching, and reporting results. The invention can complete the matching of integers while the string matches, thus improving the speed of matching. It accelerates the speed of data detection and audit, reduces the hardware overhead and improves the efficiency of data detection and auditing.
【技术实现步骤摘要】
本专利技术涉及,是一种并行模式的 处理方法,在完成通用的字符串模式匹配同时,完成整数的数值匹配。是一种 用于计算机或网络的入侵监测、审计等多种基于数据监测系统的方法。
技术介绍
在目前的各类网络报文和文件数据的监测系统中,不仅需要对字符串内容进行监测,也需要对处于网络报文或者文件中不同位置的整数数值进行监测。单个的整数匹配操作比较简单,且速度非常快,但当有多个整数进行比较,且 与字符串匹配一同进行时,其效率就不是很高。目前的各类的IDS、审计等监测系统中,都是把整数比较与字符串比较分开 进行,然后再对各个匹配的结果,统一考虑处理。这样的处理效率比较低。如下列2个匹配模式data[3]=34and data[4〗 abcd data[7]>67and data[23] ghjkl *匹配式l的含义为当匹配数据的第3个字节等于34,且第4位起,包含abcd字符串时,符合匹配模式。 *匹配式2的含义为当匹配数据的第7个字节大于67,且第4位起,包含ghjkl字符串时,符合匹配模式。 按照传统方法,需要分别对2个匹配式的4个子式进行匹配,再进行与 分析。其中,2...
【技术保护点】
一种状态树匹配方法,其特征在于含有以下的步骤: 读取整数定义模式的步骤:读取文件中的整数比较定义式,定义格式为: [addr,num]op data 其中,addr表示整数在输入数据中所在的位置,或者偏移量、num表示整数 类型,有1、2、4三种、op为运算操作符,包括>、>=、=、<=、<五种、data为比较的数据数值; 生成状态树的步骤:按照整数类型和运算符号,对于一字节整数生成一字节整数匹配状态树结构,对于二字节整数生成二字节整数匹配状态树结构,对 于四字节整数生成四字节整数匹配状态树结构; 读取数据的步骤:读取需要匹配的数...
【技术特征摘要】
1.一种状态树匹配方法,其特征在于含有以下的步骤读取整数定义模式的步骤读取文件中的整数比较定义式,定义格式为[addr,num]op data其中,addr表示整数在输入数据中所在的位置,或者偏移量、num表示整数类型,有1、2、4三种、op为运算操作符,包括>、>=、=、<=、<五种、data为比较的数据数值;生成状态树的步骤按照整数类型和运算符号,对于一字节整数生成一字节整数匹配状态树结构,对于二字节整数生成二字节整数匹配状态树结构,对于四字节整数生成四字节整数匹配状态树结构;读取数据的步骤读取需要匹配的数据;模式匹配的步骤按照状态树,依次读取每个字节数据,并按照状态树的结构,进入相应的状态节点,直到生成匹配结果;上报结果的步骤在进入匹配成功的状态节点后,上报匹配成功结果。2. 根据权利要求1所述的一种状态树匹配方法,其特征在于所述的生成状 态树的步骤中生成一字节整数匹配状态树结构的步骤有[单字节X]:表示匹配起始节点,当前整数数值为X;、 [X-l]:表示小于X的状态树节点;这些节点对应的运算结果应该是小 于状态,即模式定义为小于X时匹配成功;[X]:表示等于X的状态树节点;该节点对应的运算结果应该是等于状态, 即模式定义为等于X时匹配成功;[X+l]、 [ff]:表示大于x的状态树节点;这些节点对应的运算结果应该是大 于状态,即模式定义为大于X时匹配成功;当把[等于]状态与大于、小于2个状态合并时,可以生成大于等于、小于等 于运算结果。3. 根据权利要求1所述的一种状态树匹配方法,其特征在于所述的生成状态树的步骤中生成二字节整数匹配状态树结构的步骤有[高字节X][低字节y]:表示匹配起始节点,当前整数的高位字节数值为X,低位字节数值为y;[高字节X]:首先匹配高字节,有三种可能的结果大于X、等于X、小于X; 在这三个状态基础上,进行低字节的匹配;[低字节y][〈X]:当高字节数值小于X时,无论低字节数值是多少,该整数 都是小于给定数值的;这里*表示任意数值;其匹配结果必然是小于状态;[低字节y][〉x]:当高字节数值大于X时,无论低字节数值是多少,该整数 都是大于给定数值的;这里*表示任意数值;其匹配结果必然是大于状态;[低字节y]^x]:当高字节数值等于x时,根据低字节数值的大小,有三种 可能结果,分别是小于、等于、大于;当把低字节的[等于]状态与低字节的大于、等于2个状态合并时,可以生成 大于等于、小于...
【专利技术属性】
技术研发人员:许金鹏,邓炜,赵东宾,王虹,
申请(专利权)人:北京启明星辰信息技术股份有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。