[发明专利]一种基于正则表达式的深度包检测方法

权利要求书

1.一种基于正则表达式的深度包检测方法，包括：

步骤202、针对各种入侵行为的特点建立一组入侵行为的特征模式集，将该特征模式集分为m个一级子集，对于每个一级子集使用一个一级正则表达式来表征，该一级正则表达式能够对所对应一级子集中的入侵行为的共同特征进行识别，将该一级子集和一级正则表达式的对应关系保存到一级数据表中；

步骤204、对于该m个子集，在每个子集内部进行细分，将该子集范围内的每一个入侵行为的特征使用一个二级正则表达式来表征，并相应的设置每个特征对应的处理措施，将该二级正则表达式、其所属的一级子集、该入侵行为以及与入侵行为对应的处理措施的对应关系保存到二级数据表中；

步骤206、接收报文，对接收的报文进行DPI处理，将报文中的载荷使用所述一级正则表达式进行模式匹配；

步骤208、若无匹配结果则进入步骤206；若发现匹配结果则查找一级数据表得到该匹配结果的一级正则表达式对应的一级子集，进入步骤210；

步骤210、在二级数据表中查找由匹配结果得到的一级子集对应的二级正则表达式，进行模式匹配；若无匹配结果则进入步骤206；若发现匹配结果则查找二级数据表得到该匹配结果的二级正则表达式对应的入侵行为，进入步骤212；

步骤212、仅接收数据包，对数据包进行存储，暂停对数据包进行转发，统计一定时间内检测到入侵行为的数据包的个数和接收到的总数据包的个数，判断发生入侵行为的数据包的个数和总数据包的个数的比值是否大于第一门限；若是，则判定发生入侵行为，进入步骤214；若否，则进入步骤216；

步骤214、查找二级数据表中入侵行为对应的处理措施，使用该处理措施对数据包进行处理，结束数据包检测；

步骤216、将存储的数据包进行转发，并恢复对数据包的转发，进入步骤206，继续进行数据包的检测。