基于正則表達(dá)式的深度包檢測研究.pdf

1、隨著專門針對應(yīng)用層攻擊現(xiàn)象的增多，傳統(tǒng)的狀態(tài)檢測防火墻有效性越來越低。防火墻的功能重心從網(wǎng)絡(luò)層發(fā)展到了應(yīng)用層，因而誕生了深度包檢測技術(shù)。深度包檢測技術(shù)不僅檢測網(wǎng)絡(luò)層和傳輸層數(shù)據(jù)包頭部，而且深入到應(yīng)用層數(shù)據(jù)包的有效載荷所封裝的內(nèi)容中，搜尋合法或非法的內(nèi)容以決定是否允許數(shù)據(jù)包通過。 隨著深度包檢測技術(shù)的發(fā)展，傳統(tǒng)上用于過濾數(shù)據(jù)包內(nèi)容的模式集合(包含模式的匹配串)逐漸被正則表達(dá)式集合所代替。例如Linux的應(yīng)用協(xié)議分類器L7-filt

2、er，通過基于正則表達(dá)式的模式集合識別應(yīng)用層的數(shù)據(jù)包；Snort、Bro等入侵檢測系統(tǒng)也已將正則表達(dá)式應(yīng)用于它的規(guī)則集當(dāng)中。 然而，雖然正則表達(dá)式在模式匹配時(shí)比字符串表現(xiàn)得更優(yōu)異，但在現(xiàn)有的網(wǎng)絡(luò)應(yīng)用中，一個(gè)典型的模式集合往往由上百個(gè)正則表達(dá)式和數(shù)以萬計(jì)的狀態(tài)數(shù)組成，將模式集合構(gòu)造成一個(gè)有限自動機(jī)，所需的內(nèi)存可達(dá)幾百兆，甚至幾G，結(jié)果導(dǎo)致了基于正則表達(dá)式的深度包檢測的響應(yīng)時(shí)間過長，極大地影響了檢測效率。目前，如何提高基于正則表達(dá)式

3、的深度包檢測技術(shù)的效率，在國內(nèi)外都尚處于探索階段。本文所進(jìn)行的研究正是在該背景下展開的。 本文首先在分析傳統(tǒng)防火墻工作原理的基礎(chǔ)上，介紹了采用深度包檢測技術(shù)的新一代智能防火墻。然后在詳細(xì)說明數(shù)據(jù)包過濾技術(shù)和入侵防護(hù)檢測技術(shù)的基礎(chǔ)上，闡述了深度包檢測技術(shù)的工作原理。通過對常見模式匹配算法的優(yōu)缺點(diǎn)的分析，本文提出了一種新的基于正則表達(dá)式的匹配算法。在深入分析了DFA(DFA)狀態(tài)數(shù)對算法性能影響的基礎(chǔ)上，本文進(jìn)一步提出了構(gòu)造最優(yōu)DF