一种基于报文流数据的无缓存模式匹配方法组成比例

本发明专利技术涉及一种基于报文流数据的无缓存模式匹配方法，该方法在处理多报文数据时，无需进行报文缓存，即可完成跨报文的模式匹配工作。该方法包含如下步骤：读取匹配模式；把匹配模式转换为匹配状态树；初始化匹配起始状态；读取待匹配的数据；按照当前的匹配状态，调用匹配程序进行模式匹配；记录当前的匹配状态；如果匹配成功，上报匹配结果；否则转读取待匹配的数据步骤继续。本发明专利技术具有的优点：能够在不缓存报文数据的情况下，完成网络数据的完整数据模式匹配，从而大大节省由于数据缓存而引起的时间、空间消耗，提高整体性能。

A cache free pattern matching method based on message flow data

The invention relates to a cache free mode matching method based on message flow data, which can realize the mode matching of cross messages without processing a message cache when processing multi message data. The method includes the following steps: reading, the matching mode; mode conversion for matching state tree matching; initialization start state; read matching data; according to the current state of the matching, called matching program for pattern matching; record matching the current state; if the match is successful, reported matching results; otherwise to read data matching steps continue to. The invention has the advantages that: can not be in the buffer packet data, complete the data model of network data matching, thus saving due to data cache of the time and space consumption, improve the overall performance.

【技术实现步骤摘要】

本专利技术涉及，该方法可以广 泛的用于对网络报文进行监测的如网络入侵检测系统、审计系统等安全系统 中。
技术介绍
作为任何一种监测系统，都希望能够对网络上传输的文件，进行内容检 査，以便发现其中包含的蠕虫、恶意代码等内容。但由于完整的文件在网上 传输中，被分为一个个一定长度的报文，夹杂在其他各类报文中，因此，为防止一个匹配模式跨越2个、或者多个网络报文，必须缓存至少2个报文(缓 存数据的长度，至少等于匹配模式的长度)，再进行报文重组，然后再进行 模式匹配，匹配后丢弃无用的数据(匹配模式数据长度以外的数据)。这样， 可以保障在连续进行模式匹配过程中，不会因为数据的断续而出现漏报。但 也由于报文缓存，造成一定的时间、空间消耗，无法满足系统性能的需求。 本方法提出，采用匹配状态 树进行模式匹配，通过记忆每个报文匹配完成后的匹配状态树的位置，而不 用缓存报文数据，就能够保障数据模式匹配过程中没有漏报。
技术实现思路
本专利技术的目的是为了提高报文流数据的模式匹配速度，它按照匹配模式 建立匹配状态树，通过记录每个报文匹配后状态树的位置，并按照该位置进 行下次的模式匹配，完成无报文缓冲情况下，网络本文档来自技高网...

【技术保护点】
一种基于报文流数据的无缓存模式匹配方法，其特征在于：包含下面二个大步骤：　１）初始化过程，分为下面几个子步骤：　ａ）读取匹配模式；　ｂ）把匹配模式转换为匹配状态树；　ｃ）初始化匹配起始状态；　２）实时数据匹配， 分为下面几个子步骤：　ｄ）读取待匹配数据；　ｅ）按照当前的匹配状态，调用匹配程序进行模式匹配；　ｆ）记录当前的匹配状态；　ｇ）如果匹配成功，上报匹配结果数据；否则转到读取待匹配数据步骤。

【技术特征摘要】
1.一种基于报文流数据的无缓存模式匹配方法，其特征在于包含下面二个大步骤1)初始化过程，分为下面几个子步骤a)读取匹配模式；b)把匹配模式转换为匹配状态树；c)初始化匹配起始状态；2)实时数据匹配，分为下面几个子步骤d)读取待匹配数据；e)按照当前的匹配状态，调用匹配程序进行模式匹配；f)记录当前的匹配状态；g)如果匹配成功，上报匹配结果数据；否则转到读取待匹配数据步骤。2. 根据权利要求1所述的一种基于报文流数据的无缓存模 式匹配方法，其特征在于匹配模式指一个明文字符串，当一个或者 多个报文中包含该字符串时，将产生报警信息；这里的多个报文，指 一个匹配模式可能跨越一个、或者多个报文；模式匹配指在待匹配数 据中查找匹配模式的过程。3. 根据权利要求1所述的一种基于报文流数据的无缓存模 式匹配方法，其特征在于按照匹配模式生成用于模式匹配的匹配状 态树；这里的匹配状态树指按照匹配模式生成的、用于模式匹配的有 穷状态自动机。4. 根据权利要求1所述的一种...

【专利技术属性】
技术研发人员：许金鹏，邓炜，赵东宾，王虹，
申请(专利权)人：北京启明星辰信息技术股份有限公司，
类型：发明
国别省市：11[中国|北京]