一种识别信息的方法和电子装置制造方法及图纸

本发明专利技术提供一种识别信息的方法和电子装置，方法包括：将一非确定规则拆分为至少一个子规则，每一个子规则是一字符串，所述字符串中的字符连续且不包含通配符；为所述非确定规则构建一状态机，所述状态机中包括多个状态节点；在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关；一当前子规则与一病毒特征码匹配成功时，开启所述当前子规则的所述命中开关，允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配；当所有所述子规则均匹配成功时，认定所述非确定规则与所述病毒特征码匹配成功，且认定包含所述病毒特征码的信息为病毒信息。

【技术实现步骤摘要】

本专利技术涉及电子安全技术，特别是指一种识别信息的方法和电子装置。
技术介绍
多模式匹配(Multiple Pattern Matching)是计算机科学领域的基本问题,用于快速判断某一数据块中是否包含规则集中的某一或某些规则，广泛应用于文本处理、网络内容分析、入侵检测、信息检索、数据挖掘等领域。解决并行多模式匹配问题的经典方法之一，是基于有限状态机的方法。Aho-Corasick自动机方法(简称AC自动机)1975年产生于贝尔实验室，该方法应用有限自动机巧妙地将字符比较转化为了状态转移。该方法的基本思想如下:在预处理阶段，AC自动机建立三个函数:转向函数goto，失效函数failure和输出函数output，由此构造了一个树型有限自动机。在搜索查找阶段，交叉使用这三个函数扫描文本，定位出关键字在文本中的所有出现位置。现有技术中，AC自动机的一个匹配规则包括至少一个子规则，在具体的搜索过程中，当用AC自动机匹配成功一个子规则后，按子规则标识查找匹配状态表，获得子规则所属匹配规则的子规则总数和最近匹配的子规则顺序号，比较子规则顺序号和最近匹配的子规则顺序号，如果子规则顺序号比最近匹配的子规则顺序号大1，则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则，如果是，则搜索对象与匹配规则相匹配，如果不是，则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号。在处理诸如11*22*33*44的匹配字符串时，无法检测出11 22 33 22 44这样逻辑上复合匹配字符串的字段；同时，当遇到11 11 22 33 44 33 44时也仅仅能判断出字段1111 22 33 44命中了一次11*22*33*44，而实际上此字段命中了四次匹配字符串，分别为1111 22 33 44，11 22 33 44，11 11 22 33 44 33 44 和 11 22 33 44 33 44。 另外，虽然支持普通通配符*，但不支持特殊通配符？。如果用户想查找11和22之间有任意一个字符的字符串，如果用通配符表示则为11 22，此时，只有诸如llu22这样的字符串才满足要求，而lluu22这样的字符串并不满足要求。并且，搜索方法占用内存过大或搜索速度过慢；现在公开的方法，很难达到单线程Gb/s的处理速度，这样很难应用于存在大量数据交互的移动通信网络。多模式匹配方法搜索速度相对较快，搜索速度与需要查找的内容长度、个数无关，但一般存在着占用内存过大的问题。现有技术中对于病毒的行为分析技术中，针对电子装置病毒的防御大多数都侧重于用户侧，采用在电子装置上安装专门的电子装置病毒查杀软件对电子装置病毒进行防御，从电子装置病毒的行为分析来说，现有还没有专门的技术专利分析具体的实现方法。在电子装置终端处安装查杀软件进行病毒防御的方法存在两个局限:电子装置病毒库需要随时更新，如不更新，则无法防御新的电子装置病毒；对病毒的查杀依赖于客户端软件的安装情况。最容易受感染的用户往往是对电子装置病毒了解较少的用户，他们往往很少，或者根本意识不到电子装置病毒的存在，也不会专门在电子装置上安装专业的软件进行查杀，导致病毒一直发作而不被察觉。专利技术人发现现有技术存在如下问题:现有的病毒分析方法中，如果子规则顺序号比最近匹配的子规则顺序号大1，则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则，如果是，则搜索对象与匹配规则相匹配，如果不是，则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号，因此这会造成匹配过程中出现回退操作，这一回退操作会造成无法检测出某一些比较特殊的病毒特征码:以及不支持或不完全支持通配符匹配。而且，厂商都局限于在终端上安装杀毒软件，根据病毒特征码搜索电子装置病毒，用户需及时更新自己电子装置上的病毒特征库才能及时对病毒进行查杀。大部分购买了智能机但对智能机认知不够的用户才是最容易感染病毒的高危人群，依靠在终端上安装杀毒软件进行杀毒的方法显然是无效的，这将影响到他们的使用体验。
技术实现思路
本专利技术要解决的技术问题是提供一种识别信息的方法和电子装置，用于解决现有技术中:如果子规则顺序号比最近匹配的子规则顺序号大1，则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则，如果是，则搜索对象与匹配规则相匹配，如果不是，则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号，因此这会造成匹配过程中出现回退操作，这一回退操作会造成无法检测出某一些比较特殊的病毒特征码；以及不支持或不完全支持通配符匹配的缺陷。为解决上述技术问题，本专利技术的实施例提供一种识别信息的方法，包括:将一非确定规则拆分为至少一个子规则，每一个子规则是一字符串，所述字符串中的字符连续且不包含通配符；为所述非确定规则构建一状态机，所述状态机中包括多个状态节点；在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关；一当前子规则与一病毒特征码匹配成功时，开启所述当前子规则的所述命中开关，允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配；当所有所述子规则均匹配成功时，认定所述非确定规则与所述病毒特征码匹配成功，且认定包含所述病毒特征码的信息为病毒信肩、O所述的方法中，每一个所述状态节点中存放一个顺序号，所述顺序号表示该状态节点在所述状态机中的位置。所述的方法中，所述病毒特征码中至少包括两个特征码；所述一当前子规则与一病毒特征码匹配成功，具体包括:所述当前子规则与所述病毒特征码中的任一特征码匹配成功。所述的方法中，所述通配符包括普通通配符和特殊通配符；当所述病毒特征码携带了第一数量个特殊通配符时，允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配包括:当一第二子规则被命中时，以所述第二子规则的首字符的位置减去所述当前子规则的首字符在所述状态机中记录的原信息命中位置，再减去所述当前子规则的长度得到一个位移差，该位移差为所述第一数量时认定所述第二子规则匹配成功；其中，所述第二子规则是所述当前子规则后面的且紧邻所述当前子规则的一个子规则。所述的方法中，存在一终状态节点列表，存放所述非确定规则中各个子规则的类型，其中:第一类型表示匹配到达该子规则的终状态节点时，还需要与后续的子规则进行匹配，第二类型表示匹配到达该子规则的终状态节点时，所述非确定规则匹配成功；当所述非确定规则包括至少两个子规则时，最后一个子规则为第二类型，其余子规则为第一类型，当所述非确定规则只包括一个当前子规则时，所述当前子规则为第二类型，并在所述终状态节点列表的对应的记录里面添加一匹配终结标识。所述的方法中，所述终状态节点列表中还包括:下一子规则的终状态节点的位置；当所述当前子规则为第一类型时，在所述终状态节点列表中更新所述当前子规则对应的记录，更新后的所述记录记载一第二子规则的终状态节点的位置；当所述当前子规则为第二类型时，在所述终状态节点列表中所述当前子规则对应的记录里面添加所述匹配终结标识。所述的方法中，还包括:对病毒的动态行为进行监控，包括监控:操作时间，电子装置短信/彩信发送量，数据流量，短信，以及频繁开关机；当出现异常时，执行检测病毒特征码的操作。一种电子装置，包括:规则拆分单元，用本文档来自技高网...

【技术保护点】
一种识别信息的方法，其特征在于，包括：将一非确定规则拆分为至少一个子规则，每一个子规则是一字符串，所述字符串中的字符连续且不包含通配符；为所述非确定规则构建一状态机，所述状态机中包括多个状态节点；在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关；一当前子规则与一病毒特征码匹配成功时，开启所述当前子规则的所述命中开关，允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配；当所有所述子规则均匹配成功时，认定所述非确定规则与所述病毒特征码匹配成功，且认定包含所述病毒特征码的信息为病毒信息。

【技术特征摘要】
1.一种识别信息的方法，其特征在于，包括: 将一非确定规则拆分为至少一个子规则，每一个子规则是一字符串，所述字符串中的字符连续且不包含通配符； 为所述非确定规则构建一状态机，所述状态机中包括多个状态节点； 在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关； 一当前子规则与一病毒特征码匹配成功时，开启所述当前子规则的所述命中开关，允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配； 当所有所述子规则均匹配成功时，认定所述非确定规则与所述病毒特征码匹配成功，且认定包含所述病毒特征码的信息为病毒信息。2.根据权利要求1所述的方法，其特征在于，每一个所述状态节点中存放一个顺序号，所述顺序号表示该状态节点在所述状态机中的位置。3.根据权利要求1所述的方法，其特征在于，所述病毒特征码中至少包括两个特征码；所述一当前子规则与一病毒特征码匹配成功，具体包括: 所述当前子规则与所述病毒特征码中的任一特征码匹配成功。4.根据权利要求2所述的方法，其特征在于，所述通配符包括普通通配符和特殊通配符; 当所述病毒特征码携带了第 一数量个特殊通配符时，允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配包括: 当一第二子规则被命中时，以所述第二子规则的首字符的位置减去所述当前子规则的首字符在所述状态机中记录的原信息命中位置，再减去所述当前子规则的长度得到一个位移差，该位移差为所述第一数量时认定所述第二子规则匹配成功；其中，所述第二子规则是所述当前子规则后面的且紧邻所述当前子规则的一个子规则。5.根据权利要求1所述的方法，其特征在于，存在一终状态节点列表，存放所述非确定规则中各个子规则的类型，其中: 第一类型表示匹配到达该子规则的终状态节点时，还需要与后续的子规则进行匹配， 第二类型表示匹配到达该子规则的终状态节点时，所述非确定规则匹配成功； 当所述非确定规则包括至少两个子规则时，最后一个子规则为第二类型，其余子规则为第一类型， 当所述非确定规则只包括一个当前子规则时，所述当前子规则为第二类型，并在所述终状态节点列表的对应的记录里面添加一匹配终结标识。6.根据权利要求5所述的方法，其特征在于，所述终状态节点列表中还包括:下一子规则的终状态节点的位置； 当所述当前子规则为第一类型时，在所述终状态节点列表中更新所述当前子规则对应的记录，更新后的所述记录记载一第二子规则的终状态节点的位置； 当所述当前子规则为第二类型时，在所述终状态节点列表中所述当前子规则对应的记录里面添加所述匹配终结标识。7.根据权利要求1所述的方法，其特征在于，还包括:对病毒的动态行为进行监控，包括监控: 操作时间，电子装置短信/彩信发送量， 数据流量， 短...

【专利技术属性】
技术研发人员：尹启禄，林淼，潘广津，徐舜尧，孙同伦，任荣，陈冬妮，秦睦迪，
申请(专利权)人：中国移动通信集团广东有限公司，
类型：发明
国别省市：