[发明专利]一种基于正则表达式的深度报文检测方法

权利要求书

1.一种基于正则表达式的深度报文检测方法，其特征在于：构建一个硬件环境，该硬件环境包括：协议检测模块（101）、流表项维护模块（102）、格式封装模块（103）、数据发送模块（104）、配置接口模块（110）、正则表达式模块（105）、数据接收模块（106）、格式解封装模块（107）、流量整形模块（108）、结果输出模块（109）、外部储存器模块（111）；

基于环境的正则表达式的深度报文检测匹配查找方法步骤如下：

步骤201：协议检测模块（101）对进入系统报文进行协议检测，如果有错误则丢弃，如果没有错误，则提取协议信息并且将数据传送到流表项维护模块（102）执行步骤二；

步骤202：流表项维护模块（102）根据到达报文的五元组信息，对整个表项空间进行管理和维护，进而获得到达报文的流信息，并将流信息和报文送达格式封装模块（103）；

步骤203：格式封装模块（103）对报文进行格式头转换并按照正则表达式模块的处理格式要求，对报文进行数据格式封装，之后将封装好的数据传送到数据发送模块（104）；

步骤204：数据发送模块（104）将数据封装成MAC帧，再通过10G高速接口将MAC帧传送给正则表达式模块（105）；

步骤205：正则表达式模块（105）根据预先定义的规则集对数据包的内容进行检测和匹配，并将报文和匹配结果返回至数据接收模块（106）；

步骤206：数据接收模块（106）通过10G高速接口接收由正则表达式模块105返回的数据；

步骤207：格式解封装模块（107）从接收到的数据中解析出原始二层帧和匹配结果；

步骤208：流量整形模块（108）根据用户配置的阀值对数据流进行整形使数据流尽可能趋于平稳；

步骤209：结果输出模块（109）将原始查表报文和匹配结果交付给用户，由用户根据匹配查找结果，对报文进行自定义操作；

所述规则表项维护的流程步骤如下：

步骤301：由用户自定义匹配规则表项；

步骤302：送入配置接口模块（110）；

步骤303：根据用户自定义的匹配规则表项对配置接口模块（110）中的规则表项进行生成、更新或删除操作；

步骤304：将维护之后的匹配规则表项送至正则表达式匹配模块（105）。

2.根据权利要求1所述的基于正则表达式的深度报文检测方法，其特征在于：所述协议检测模块（101）实现协议检测方法包括以下步骤：

步骤401：将发送报文存入协议检测预处理缓存；

步骤402：将报文从预处理缓存中读出，检测报文是否正确，如果正确则执行步骤403，如果错误则将报文直接丢弃；

步骤403：对正确报文的协议进行分析，记录包长，将对小于64字节的报文进行填充；

步骤404：提取报文五元组信息；

步骤405：将报文存入协议检测结果缓存。

3.根据权利要求1所述的基于正则表达式的深度报文检测方法，其特征在于：所述流表项维护模块（102）实现流表项维护方法包括以下步骤：

步骤501：对报文的五元组信息流进行分析查找；

步骤502：检测是否有相应的流表项，如果有执行步骤504，如果无则执行步骤503；

步骤503：根据五元组信息生成新的流表项，然后执行步骤六；

步骤504：根据时间戳判决步骤502的流表项送是否超时，如果是，执行步骤505，否则执行步骤506；

步骤505：将超时的流表项进行删除操作，将该流表项送至格式封装模块103；

步骤506：更新流表项统计的包长，包个数及时间戳；

步骤507：输出24字节的流状态索引。

4.根据权利要求1所述的基于正则表达式的深度报文检测方法，其特征在于：所述格式封装模块（103）实现格式封装步骤如下：

步骤601：将报文存入格式封装预处理缓存；

步骤602：将原始报文从格式封装预处理缓存中读出，并对报文格式头进行分析；

步骤603：根据流信息和正则表达式模块对格式头的要求构造格式头；

步骤604：根据构造的格式头对原始报文进行格式头转换和封装；

步骤605：将格式封装之后的报文存入格式封装结果缓存。