[发明专利]一种乱序数据包流免重组多模式匹配方法

权利要求书

1.一种乱序数据包流免重组多模式匹配方法，其特征在于，包括以下步骤：

S1：采用KMP算法对模式进行了预处理；

S2：在对模式进行了预处理后，对乱序数据包首尾的边缘字节进行扫描；

S3：利用区间树保存特征码片断并进行模式匹配。

2.根据权利要求1所述的乱序数据包流免重组多模式匹配方法，其特征在于，步骤S1中，所述预处理为检测数据包首位两端是否存在特征码片段，并针对数据包前端部分和后端部分分别进行预处理，其具体步骤如下：

S11：扫描数据包前端部分时需要从右往左；

S12：扫描末端部分时则相反，即从左往右。

3.根据权利要求1所述的乱序数据包流免重组多模式匹配方法，其特征在于，所述步骤S2扫描边缘字节包括下述具体步骤：

S21：针对数据包前端部分进行扫描时，扫描的长度为模式长度-1，从右往左扫描，当扫描到数据包第一个字母且此时模式的已匹配数不为0，那么就代表发现了特征码的片断，并马上利用区间树把特征码的类型和长度记录下来；

S22：针对数据包的末端部分进行扫描时，要扫描的部分就是MWM算法没有处理的末端部分；当扫描到数据包的最后一个字母且此时模式的已匹配数不为0，那么就利用区间树把特征码的类型和长度记录下来。

4.根据权利要求1所述的乱序数据包流免重组多模式匹配方法，其特征在于，步骤S3中，所述区间树是一种二叉搜索树，它将一个区间划分成一些单元区间，每个单元区间对应线段树中的一个叶结点；区间树的每一个节点都是代表一段区间，并且针对具体的情况为每一区间加上参数；所述区间树用于保存数据包可能含有的病毒特征码片断的信息，在插入操作时，根据数据包对应的区间的范围和它所属的TCP流插入到对应的区间树里面。

5.根据权利要求1所述的乱序数据包流免重组多模式匹配方法，其特征在于，所述步骤S3包括下述具体步骤：

S31：在实际的扫描中为每一个TCP连接建立一个区间树，用数据包包头的段号作为一个区间树的区间边界，并为每一个结点的左右区间边界加入一个参数S，这个参数S用来记录扫描出来的特征码片断的长度；

S32：在扫描完一个数据包，就根据数据包对应的段号的范围和它所属的TCP流插入到对应的区间树里面，并记录参数S；

S33：比较数据包特征码片段的长度相加的结果与病毒特征码的长度，如果相等，则表示该TCP流有病毒，发出警报，如果数据包特征码片段的长度相加的结果与病毒特征码的长度不相等，则不做任何提示；

S34：为了减少内存的消耗，设定一个时间限制，每隔一定时间，就释放区间树一部分结点；如果该TCP中没有发现病毒特征码，就释放该TCP流的所有空间。

6.根据权利要求5所述的乱序数据包流免重组多模式匹配方法，其特征在于，步骤S32中，进一步包括把相邻区间的边界参数S也标志上。