[发明专利]基于模式匹配方式的网络数据流识别方法

权利要求书

1.一种基于模式匹配方式的网络数据流识别方法，包括如下步骤：

(1)用正则文法设定流模式，该流模式是由表示单个数据包特征的流字符和表示 流字符之间关系的流操作符组合成的元字符序列；

(2)对于任意一种类型的网络数据流，用所述流模式描述其特征；

(3)从每一个流模式中用Lex、Yacc、Flex或Bison工具生成一个解析树，从该解 析树中通过Glushkov算法构造一个有限状态自动机，用该有限状态自动机表示对流模 式描述的网络数据流的识别；

(4)将捕获的网络数据流送入任意一种类型的流模式对应的有限状态自动机中， 将每个数据包按照流字符的特征信息定义转化为一个“流元”，当流元同条件流字符相 匹配时，转移条件生效，有限状态自动机的当前状态从源状态转移到目的状态，若有 限状态自动机到达终止状态，则判定该数据流符合相应流模式描述的特征；若有限状 态自动机未到达终止状态，则判定该数据流不符合相应流模式描述的特征；

所述的流字符，由下列的几类特征信息中的一个或多个构成：

数据包的包头信息，包括IP地址、端口号、TCP旗标信息中的一个或多个；

数据包的载荷信息；

数据包的统计信息，包括数据包方向、数据包长度和数据包频度信息中的一个 或多个；

所述的流操作符，它们之间按照如下优先级递减顺序排列：

用来强制调整优先级的括号操作符；

用来表示流字符重复零次或多次的星操作符；

用来表示流字符重复次数限定的大括号操作符，该操作符中包含了重复次数限 定的上界和下界；

用来表示流字符重复零次或一次的问号操作符；

用来表示流字符重复一次或多次的加号操作符；

用来表示流字符“或”关系的选择操作符；

用来表示流字符“与”关系的连接操作符；

所述的解析树，它是一种树型数据结构，每个流模式对应唯一的一个解析树，每个 解析树对应唯一的一个流模式；解析树的叶子节点对应流字符；解析树的非叶子节点 对应流操作符。

2.根据权利要求1所述的网络数据流识别方法，其中步骤(1)所述的流模式是通 过XML语言进行描述。

3.根据权利要求1所述的网络数据流识别方法，其中步骤(3)所述的有限状态自 动机包括状态集合和转移集合，该状态集合包括有限状态自动机中所有的状态，并且 含有一个初始状态和至少一个终止状态；该转移集合，包含所有的条件流字符，每个 转移表示从一个源状态到另一个目的状态的跳转。