(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(10)申请公布号 CN 104753931 A
(43)申请公布日 2015.07.01
(21)申请号 CN201510118353.6
(22)申请日 2015.03.18
(71)申请人 中国人民解放军信息工程大学
    地址 450002 河南省郑州市金水区俭学街7号
(72)发明人 董永吉 陈庶樵 李康士 李玉峰 曹建业 袁征 陈博
(74)专利代理机构 郑州大通专利商标代理有限公司
    代理人 陈大通
(51)Int.CI
     
                                                                  权利要求说明书 说明书 幅图
(54)发明名称
      一种基于正则表达式的深度报文检测方法
(57)摘要
      本发明公开了一种基于正则表达式的深度报文检测方法,通过硬件实现高速网络的正则表达式匹配,提高了对报文检测的速度和灵活性,适用于10G以上高速网络的报文检测;包括:协议检测模块、流表项维护模块、格式封装模块、数据发送模块、正则表达式匹配模块、数据接收模块、格式解封装模块、流量整形模块、接口配置模块、结果输出模块、外部存储器模块。本发明提出了在 FPGA 实现正则表达式匹配的方法,基于可编程门阵列(Field Programmable Gate Array,FPGA)的正则表达式匹配即能够满足高速流量的要求又能够不断的跟新,而且实现的代价也相对较小,采用FPGA实现正则表达式匹配引擎设计,以并行流水线方式检测入侵数据,提高了数据的检测效率,实现了系统的检测性能的整体提升。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种基于正则表达式的深度报文检测方法,其特征在于:构建一个硬件环境,该硬件环境包括:协议检测模块(101)、流表项维护模块(102)、格式封装模块(103)、数据发送模块(104)、配置接口模块(110)、正则表达式模块(105)、数据接收模块(106)、格式解封装模块(107)、流量整形模块(108)、结果输出模块(109)、外部储存器模块(111);       
基于环境的正则表达式的深度报文检测匹配查方法步骤如下:       
步骤201:协议检测模块(101)对进入系统报文进行协议检测,如果有错误则丢弃,如果没有错误,则提取协议信息并且将数据传送到流表项维护模块(102)执行步骤二;       
步骤202:流表项维护模块(102)根据到达报文的五元组信息,对整个表项空间进行管理和维护,进而获得到达报文的流信息,并将流信息和报文送达格式封装模块(103);       
步骤203:格式封装模块(103)对报文进行格式头转换并按照正则表达式模块的处理格式要求,对报文进行数据格式封装,之后将封装好的数据传送到数据发送模块(104);       
步骤204:数据发送模块(104)将数据封装成MAC帧,再通过10G高速接口将MAC帧传送给正则表达式模块(105);       
正则匹配时间步骤205:正则表达式模块(105)根据预先定义的规则集对数据包的内容进行检测和匹配,并将报文和匹配结果返回至数据接收模块(106);       
步骤206:数据接收模块(106)通过10G高速接口接收由正则表达式模块105返回的数据;       
步骤207:格式解封装模块(107)从接收到的数据中解析出原始二层帧和匹配结果;       
步骤208:流量整形模块(108)根据用户配置的阀值对数据流进行整形使数据流尽可能趋于平稳;       
步骤209:结果输出模块(109)将原始查表报文和匹配结果交付给用户,由用户根据匹配查结果,对报
文进行自定义操作。       
2.根据权利要求1所述的系基于正则表达式的深度报文检测方法,其特征在于:所述规则表项维护的流程步骤如下:       
步骤301:由用户自定义匹配规则表项;       
步骤302:送入配置接口模块(110);       
步骤303:根据用户自定义的匹配规则表项对配置接口模块(110)中的规则表项进行生成、更新或删除操作;       
步骤304:将维护之后的匹配规则表项送至正则表达式匹配模块(105)。       
3.根据权利要求1和2所述的基于正则表达式的深度报文检测方法,其特征在于:所述协议检测模块(101)实现协议检测方法包括以下步骤:       

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。